08. Firmware Analysis

펌웨어 분석의 필요성

IoT 기기, 스마트 기기 등 임베디드 시스템의 바이너리 안전성 증진 필요
스마트 가전 등 IoT 기기 공격 증가
원격 메디컬 펌웨어 공격 증가
펌웨어 수준의 난이도 높은 공격 증가
국가기간망 펌웨어 공격 증가

OWASP IoT Top 10

Weak, Guessable, or Hardcoded Passwords
Insecure Network Services
Insecure Ecosystem Interfaces

Insecure web, backend API, cloud, …

Lack of Secure Update Mechanism
Use of Insecure or Outdated Components
Insufficient Privacy Protection
Insecure Data Transfer and Storage
Lack of Device Management

Asset management, system monitoring, response, …

Insecure Default Settings
Lack of Physical Hardening

펌웨어 분석 프로세스

펌웨어 획득 및 추출: 제조사 제공, 패킷 스니핑, 플래시 메모리 덤프, JTAG 이용, UART 연결
정적 분석: 펌웨어 구조 분석, 파일 시스템 분석
동적 분석:
- 검증 vector 선정: 인터페이스 분석, 네트워크 패킷 분석
- 검증 vector 탐색
- 검증 vector 평가 및 선정
분석 환경 조성: 의존성 문제 해결, 동적 분석 수행

펌웨어 이미지 획득

제조사 제공 펌웨어: 제조사 홈페이지에서 업데이트 등의 지원을 위해 제공
패킷 스니핑: 네트워크를 통한 펌웨어 업데이트 시 전송되는 이미지 추출
플래시 메모리 덤프: 임베디드 장치의 플래시 메모리에 저장된 펌웨어 덤프 (디바이스 분해 및 데이터 시트 참고 필요)
JTAG (Joint Test Action Group) 이용: 임베디드 기기 디버깅 표준 장비. Emulator 이용 가능. 비휘발성 메모리 데이터(펌웨어) 추출 기능 제공
UART (Universal Asynchronous Receiver/Transmitter): 병렬/직렬 데이터 전송 하드웨어. JTAG보다 간단하고 저렴. 디버깅 용도로 많이 이용. UART 포트 존재 시 펌웨어 덤프 가능

동적 분석 펌웨어 분석

동적 분석: 정적 분석만으로는 실제 처리 과정 및 결과 확인 어려움. 특정 입력에 대한 출력 과정과 결과 확인 가능
동적 분석 환경: QEMU와 같은 emulator 이용. 대상 디바이스와 동일 환경 구현. GDB 등 디버거로 동적 분석 수행. 하드웨어 의존성 문제 해결 필요

펌웨어 구조 분석 펌웨어 분석

펌웨어 구조 분석: Bootloader / kernel 이미지 / filesystem 등의 offset 파악 필요. 대표 도구: Firmware Mod Kit, binwalk
파일 시스템 추출 및 분석: 펌웨어 이미지에서 filesystem 덤프. 지원 운영체제에서 mount (예: sudo mount –v –o loop –t ext2 filesys.img /tmp/fs). Mount된 파일 시스템 내 실행 코드 파일 추출 및 분석

이미지 파일 분석 펌웨어 분석

펌웨어 이미지 파일 구조 분석:
- Bootloader: 시스템 하드웨어 초기화 및 kernel을 메모리에 적재
- Kernel: 하드웨어와 소프트웨어 간 중간자
- File system: 크기 문제로 압축되어 있음
펌웨어 무결성 검증 방법:
- 해시 값이나 체크섬 값 이용
- 검증 과정 변조 시 무력화
- Watchdog 사용 가능 (자체 변조 가능성으로 신뢰도 문제)

소스코드 분석 – 정적 분석 펌웨어 분석

펌웨어 소스코드/바이너리 분석 예:
- Buffer overflow 발생 가능 취약 함수 검사 (예: strcpy(), sprint())
- Debugging code 포함 여부 검사
- 업데이트 모듈 분석
- 로그인 모듈 분석
- Password/암호화 키의 하드코딩 여부 분석

펌웨어 취약점 분석

FirmwareModificationKit을 통한 추출 및 분석: 펌웨어 이미지로부터 파일 시스템 추출. 무결성 검증 루틴 포함 파일 분석
문자열 검색 기반 분석: 키워드 문자열 검색 (예: Certificate)으로 무결성 검증 방법 분석
부팅 로그 분석: 부팅 로그 분석을 통한 무결성 검증 과정 확인. (예: 1024 bit RSA 키 자체 생성 확인)
파일시스템 파일 분석: 인증서 연결 형태 / 인증서 파일 자체 분석

NAS 취약점 분석 사례 1 취약점 분석 사례

펌웨어 획득: 제조사 홈페이지 제공 (버전 5592, 릴리즈 2015.08.08)
기본 인터페이스: 기본 관리자 계정 없음. 리눅스를 브라우저 기반 OS로 customizing
제조사 웹페이지 제공 펌웨어 이미지 분석 시도:
- FMK 이용
- 의미 있는 filesystem 탐색 불가능
- 일반적인 펌웨어 구조가 아님

NAS 취약점 분석 사례 2 취약점 분석 사례

UART 연결 시 shell: UART 연결 시 root 권한의 부트로더 쉘 획득 가능
취약한 인자 전달 루틴
펌웨어 획득: 제조사 홈페이지 제공
디버깅용 백도어: 별도 인가 과정 없이 접근 가능한 바이너리에 존재. 특정 인자값 전달 시 사용 가능

NAS 펌웨어 분석 결과 취약점 분석 사례

일반 사용자 디버깅용 백도어 접근 및 활용:
1. help.cgi는 d 인자가 999인지 확인. 참이면 디버깅용 백도어 루틴 실행 허용
2. 백도어 루틴은 votmdnjem 인자의 값이 !@elqjrld&* 인지 비교. 동일하면 명령 실행 및 결과 출력
디버깅용 백도어 활용 명령어 실행 예시:
1. 백도어 접속: NAS 일반 사용자 로그인 후, [IP]/help.cgi?d=999 로 접속
2. id 명령어 실행: !@elqjrld&* 입력
3. ls 명령어 실행: !@elqjrld&* 입력 및 Input Box에 열람할 html 파일 입력 (예: logout.html)

스마트 스피커 분석 취약점 분석 사례

스피커 제조사의 메인 서버에서 명령 및 데이터 처리
스피커는 사용자 음성 명령 입력 및 서버 명령 출력 역할
제한된 공격 경로

스마트 스피커 분석 스마트 스피커 분석

스마트 스피커의 물리적 구조 확인 (NUGU 스피커):
- 접근 쉬운 위치(고무커버 밑)에 UART, USB 추정 테스트 포트 발견
- USB 포트의 D-pair 연결 확인 (USB 통한 공격 가능)
- 마이크가 기판 사이에 위치 (레이저 이용 공격 불가능)
스마트 스피커의 분해 사진자료 (SKT NUGU): (사진 자료: USB N.C.되지 않음, 메인보드 집적회로, 기판 뒷면 마이크, 밑면 테스팅 포트)
NUGU candle 해체:
- 하단 부분 해체 시 UART 핀 노출
- UART_RX, UART_TX, GND, DC_IN_PW 핀 확인
UART (Universal Asynchronous Receiver / Transmitter) 핀 역할:
- TX: 데이터 송신
- RX: 데이터 수신
- GND: 그라운드
- VCC: 전압

UART 포트 접속 및 분석 스마트 스피커 분석

방법 1: 케이블 전원 공급 후 아두이노 이용 연결:
- AI 스피커용 케이블로 전원 공급 후 아두이노로 UART 연결
- 결과: 읽을 수 없는 문자열만 출력
방법 2: 케이블 전원 공급 후 UART to USB 이용 연결:
- AI 스피커용 케이블로 전원 공급 후 UART to USB로 연결
- 주로 사용되는 baud rate 모두 시도
- 결과: 읽을 수 없는 문자열 출력
방법 3: 신호분석기를 통한 UART 핀 분석:
- Baud rate 115200일 때 부팅 메시지 출력 확인
- Python script 작성 분석 결과, 부팅 메시지 정상 출력 확인
방법 4: FT232RL USB to UART converter:
- Baud rate 115200으로 설정
- 연결 케이블 재확인
- 결과: Uboot shell 획득 성공

Uboot Shell 스마트 스피커 분석

Uboot는 디바이스 부팅 과정 중 하나
Uboot 명령어는 Kernel 실행 전에 실행됨
메모리 직접 수정/읽기 가능
임의 주소 메모리 덤프 (펌웨어 덤프) 가능

펌웨어 업데이트 패킷 분석 스마트 스피커 분석

NUGU 스피커 펌웨어 업데이트 패킷은 암호화되어 있음

펌웨어 분석 요약

펌웨어 획득: 제조사 다운로드, 패킷 스니핑, 디버깅 포트 덤프 등
펌웨어 구조 분석: 섹션 별 offset 확인, 파일 시스템 확인 및 분석
정적/동적 분석: 바이너리 파일 분석과 유사 (디버깅 코드, 하드코딩된 패스워드, 취약 함수 사용 여부 등)
검증 벡터 선정: 사용자 인터페이스, 네트워크 처리, 외부 입력 데이터 처리, 펌웨어 무결성 처리 부분 분석

Firmware Analysis

strings command options:
- -n: 최소 글자 수
- -e: 인코딩 타입
- -tx, -to: 문자열의 offset 출력 (x: hexadecimal, o: octal)

binwalk

설치 방법 (linux): sudo apt install binwalk
파일 탐색기 root 디렉토리: \\wsl$
WSL 확인: wsl –l -v
Ubuntu version 확인: lsb_release –a
백업: wsl –export Ubuntu-20.04 backup.tar
복구: wsl –import Ubuntu-20.04 (install location) (file location)
펌웨어 이미지 확인: binwalk ****.bin (커널 이미지와 주소 확인)
커널 이미지 추출: dd if=****.bin skip=시작주소 bs=1 of=kernel.lzma
- if: input file
- bs: block size
- of: output file
커널 파일 확인:
- file kernel.lzma
- unlzma kernel.lzma
- file kernel
- binwalk kernel (kernel version 및 데이터 확인)
sasquatch 설치: git clone https://github.com/devttys0/sasquatch (설치 후 binwalk 실행)

firmware modification kit (FMK)

사이트:
- https://www.kali.org/tools/firmware-mod-kit/#firmware-mod-kit
- https://github.com/rampageX/firmware-mod-kit
설치 (Ubuntu 20.04 and newer):
- sudo apt-get install git build-essential zlib1g-dev liblzma-dev python3-magic autoconf python-is-python3 (에러 시 sudo apt update 후 재시도)
- Git Clone: git clone https://github.com/rampageX/firmware-mod-kit
펌웨어 추출: ./extract-firmware.sh ****.bin

Firmware analysis 과제

Procedure:
- Download 펌웨어 from the Internet
- Try to find hardcoded passwords
- Extract the file system of the firmware
- Analyze the file system (Directory hierarchy, Analyze important files)
Your report must include:
- Where/how you download the firmware
- Screenshots of the above procedure steps
- Detailed explanation of the screenshots