如何使用CFB对Windows驱动程序进行模糊测试


关于CFB

CFB,全名为Canadian Furious Beaver,是一款功能强大的Windows驱动程序模糊测试工具,该工具可以帮助广大研究人员监控Windows驱动程序中的IRP处理器,并对Windows驱动程序漏洞进行分析、复现和模糊测试。

CFB本质上是一款分布式工具,可以捕捉发送给任何Windows驱动程序的IRP。它主要由两部分组成:

(1) 该工具的“Broker”(代理)结合了用户端代理和一个能将自己安装到目标系统上的自提取驱动程序(IrpDumper.sys)。运行之后,它将暴露(取决于编译选项)远程命名管道(可从\\target.ip.address\pipe\cfb访问)或侦听TCP/1337的TCP端口。该工具所实现的通信协议设计简单,允许任何第三方工具轻松地(通过简单的JSON消息)从同一个代理转储驱动程序IRP。

(2) CFB的GUI是一个采用ProcMon风格的Windows 10 UWP应用程序:它将连接到代理所在的任何位置,并提供一个方便的GUI来操作代理(驱动程序枚举、钩子和IRP捕获)。它还提供了伪造/重放IRP、自动模糊测试(即对捕获的每个IRP采用特定的模糊策略)或以各种格式提取IRP,方便研究人员进行深入分析。捕获的数据可以以易于解析的格式(*.cfb=SQLite)保存在磁盘上,以便进一步分析,或随后在GUI中重新加载。

尽管GUI显然需要Windows 10环境(UWP应用程序)中使用,但代理本身可以部署在任何Windows 7+主机(x86或x64)上。目标主机必须启用testsigning BCD策略,因为自解压驱动程序不支持WHQL。

机制分析

IrpDumper.sys是CFB Broker代理的驱动程序部分,它将在启动时自动提取和安装。驱动程序将负责通过代理传递的IOCTL挂接请求挂接到驱动程序的IRP主功能表。成功后,驱动程序的IRP表将指向IrpDumper.sys拦截程序,我们也可以轻松通过调试器或WinObjEx64之类的工具查看到相关信息。

IrpDumper.sys本身可以充当一个rootkit,并代理所有对目标驱动程序的调用。当DeviceIoControl被发送给挂钩的驱动程序时,IrpDumper只需捕获数据(如果有),并将消息推送到用户端代理,然后将执行返回给合法的驱动程序,从而允许预期的代码按预期继续执行。代理会将所有这些数据存储在用户区域中,等待事件去请求它们。

工具构建

(1) GUI

首先,我们需要使用下列命令将该项目源码克隆至本地:

  1. git clone https://github.com/hugsy/CFB.git

接下来,使用Visual Studio构建项目根目录中的CFB.sln代理解决方案。除此之外,我们还可以通过构建GUI(Unicersal Windows)项目来构建App GUI。

(2) 命令行

首先,我们需要使用下列命令将该项目源码克隆至本地:

  1. git clone https://github.com/hugsy/CFB.git

然后通过VS命令行终端运行下列命令:

  1. C:\cfb\> msbuild CFB.sln /p:Configuration=$Conf

其中的$Conf可以设置为Releases或Debug。

工具安装&配置

在Windows 7+设备上(推荐使用Windows 10 SDK VM),启用BCD测试签名选项(以管理员权限启动cmd.exe):

  1. C:\> bcdedit.exe /set {whatever-profile} testsigning on

如果使用了调试模式,IrpDumper.sys将提供更多的详细信息。我们可以通过DebugView.exe之类的工具或WinDbg之类的内核调试器来查看全部的相关信息。此时,我们必须启用内核调试BCD选项(以管理员权限启动cmd.exe):

  1. C:\> bcdedit.exe /set {whatever-profile} debug on

工具运行截图

IRP拦截界面:

IRP详情

IRP重放:

项目地址

CFB:【GitHub传送门】

160万个WordPress 网站遭受大规模网络攻击

一场针对160多万个WordPress网站的网络攻击正在进行,安全研究人员发现,攻击者总计使用了16000个IP地址,利用四个不同的插件和几个Epsilon框架主题的漏洞进行攻击。近日,知名安全公司 Wordfence进一步披露了此次攻击的细节。在短短36个小...
服务器安全WordPress网络攻击网站

数据泄露后,攻击者是如何应对事件响应的?

最近,SolarWinds攻击事件说明了高级持久性攻击者是如何长期隐藏在网络中而不被发现的。由于时间、机会和投资,攻击者已经深入组织,试图保持隐蔽并进一步推进其目标。组织必须知道在检测到数据泄露后该怎么做,准备应对计划以阻止更多的恶意活动。在此,我们将深入了解...
服务器安全网络攻击安全数据泄露

10种常见网站安全攻击手段及防御方法

在某种程度上,互联网上的每个网站都容易遭受安全攻击。从人为失误到网络罪犯团伙发起的复杂攻击均在威胁范围之内。网络攻击者最主要的动机是求财。无论你运营的是电子商务项目还是简单的小型商业网站,潜在攻击的风险就在那里。知己知彼百战不殆,当今网络时代,了解自己面对着何...
漏洞服务器安全网络攻击网站安全

防范IP地址攻击的5种方法

黑客想要进行攻击,必须经过两个端口,IP地址与端口。端口就是计算机与外界通信交流的出口。而IP地址则相当于网络主机的一个虚拟地址,黑客如果想要攻击某个网络主机,首先要确定该目标的域名或者IP地址,然后通过端口来攻击该主机。对于大多数人来说,IP地址只是一个数字...
服务器安全IP攻击IP地址攻击