ファームウェア解析はじめました

ファームウェア解析はじめました kuzushiki 第２０回初心者のためのセキュリティ勉強会 kuzu7shiki

発表内容今までとは違う種類の脆弱性を見つけたくなる過去に報告した脆弱性 Webアプリのクロスサイトスクリプティング（XSS）スマホアプリにハードコードされた API キー ↓ JVN IPedia
で過去 IPA に脆弱性の届出がされた製品をチェックした ↓ 思いのほか IoT 機器（ルータ、プリンタ）での報告が多かった ↓ IoT 機器のハッキングをやりたくなったので調べてみた第２０回初心者のためのセキュリティ勉強会 kuzu7shiki 2 / 15

IoT機器が脆弱と言われる4つの理由限られた処理能力とハードウェアの限界強固なセキュリティの仕組みとデータ保護を搭載するためのリソースがありません不均一な伝送技術一般的なセキュリティの保護機能と IoT 機器で使われるプロトコルの両立が困難になる可能性がありますソフトウェアが脆弱共通の基本ソフトウェアに脆弱性があった場合、Ripple20 のように何百万個もの
IoT 機器に影響が及びます IoT 機器に対するセキュリティ意識の不足 IoT 機器に対するユーザ側のセキュリティ意識は PC などに比べるとまだ低いと言えます第２０回初心者のためのセキュリティ勉強会 kuzu7shiki IOT機器が脆弱と言われる４つの理由と利害関係者の対策 | IOTのセキュリティ情報なら「IOT SECURITY」から抜粋 3 / 15

IoT機器のハッキング手法について（静的手法）設計文書レビュー機器の設計書を確認し、不適切なサービスや不適切な設定が存在しないかなどを確認するソースコード解析ソースコードを確認し、要求を満たすか、処理フローに問題が無いかなどを確認するファームウェア解析機器のファームウェアを抽出する。バイナリ解析手法と併せて行われることが多いバイナリ解析ファームウェア等のバイナリコードについて、実行パスに異常は無いか、不正なアドレス命令が無いかを静的に確認する第２０回
初心者のためのセキュリティ勉強会 kuzu7shiki 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きから抜粋 4 / 15

IoT機器のハッキング手法について（動的手法）ネットワークスキャンどのポートに対して通信可能か、接続が許可されていない機器やサービスが存在しないかを確認する既知脆弱性の診断既知の脆弱性が機器に内在しうるかを調べ、実際に悪用可能かを確認するファジング極端に長い文字列や記号の組み合わせ等、問題が起こりそうなデータを挿入し、その挙動を確認するネットワークキャプチャ機器やサービスのネットワークパケットを取得し、不審なパケットが無いかを確認する第２０回
初心者のためのセキュリティ勉強会 kuzu7shiki 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きから抜粋 5 / 15

なぜファームウェア解析を選んだか理由: ファームウェアはIoT機器メーカーのHPで配布されていることが多く入手が容易本体がなくても解析できるのでコストがかからない注）解析行為が禁止されている場合はやらないこと！第２０回初心者のためのセキュリティ勉強会 kuzu7shiki 6 /
15

そもそもファームウェアってなんだっけ？ファームウェアとは、一言で説明するとインターネットやパソコンの周辺機器を動作させるソフトウェアのことです。ファームウェアとはPCの起動時、OSの起動前に実行される、ハードウェアに依存したプログラム群だ。一般的なセキュリティ対策ソフトウェアはOS上で動くため、OS起動前の攻撃を防げない。第２０回初心者のためのセキュリティ勉強会 kuzu7shiki ファームウェアとは｜更新しないとどうなる？搭載機器とアップデート方法を解説 | @NIFTYIT小ネタ帳
から引用高度なファームウェア攻撃に対抗する、たった1つの簡単な方法：箱を開けて、電源を入れるだけ - ITMEDIA エンタープライズから引用 7 / 15

ファームウェア解析の全体像 Stage 1. Information gathering and reconnaissance Stage 2. Obtaining
firmware Stage 3. Analyzing firmware Stage 4. Extracting the filesystem Stage 5. Analyzing filesystem contents Stage 6. Emulating firmware Stage 7. Dynamic analysis Stage 8. Runtime analysis Stage 9. Binary Exploitation 情報収集ファームウェアの入手ファームウェアの解析ファイルシステムの抽出ファイルシステムの中身の解析ファームウェアのエミュレーション動的解析ランタイム解析バイナリエクスプロイト第２０回初心者のためのセキュリティ勉強会 kuzu7shiki OWASP FIRMWARE SECURITY TESTING METHODOLOGY から引用 8 / 15

Stage 1. 情報収集ターゲットに関する情報をできるだけ多く収集し、その全体的な構成と基盤技術を理解する。設計図とデータフロー図ソースコードレポジトリの場所データシート etc. 可能であれば、OSINT ツールやテクニックを使用してデータを取得する。
オープンソースソフトウェアが使用されている場合、リポジトリをダウンロードし、コードに対して静的解析を行う。第２０回初心者のためのセキュリティ勉強会 kuzu7shiki OWASP FIRMWARE SECURITY TESTING METHODOLOGY から抜粋して要約 9 / 15

Stage 2. ファームウェアの入手ファームウェアの内容を確認するためには、ファームウェアのイメージファイルを取得する必要がある。開発チーム、ベンダ、または顧客から直接入手ベンダのサポートサイトからの入手 Google Dorks (
site:<調査したいベンダのドメイン> , intext:firmware , filetype:zip など ) アップデート時の MITM (Man-in-the-Middle) デバイス通信 UART、JTAG、PICit などを介してハードウェアから直接抽出 etc. 第２０回初心者のためのセキュリティ勉強会 kuzu7shiki ` ` ` ` ` ` OWASP FIRMWARE SECURITY TESTING METHODOLOGY から抜粋して要約 10 / 15

Stage 3. ファームウェアの解析ファームウェアイメージを入手したら、その特徴を特定するためにファイルを調査する。 file でファイル形式の確認 strings で文字列の確認 binwalk でファイルの中に含まれているファイルを確認
暗号化されている場合も binwalk -E でエントロピーを確認 -> エントロピーが高ければ暗号化（または何らかの方法で圧縮）されている可能性が高い第２０回初心者のためのセキュリティ勉強会 kuzu7shiki ` ` ` ` ` ` ` ` OWASP FIRMWARE SECURITY TESTING METHODOLOGY から抜粋して要約 11 / 15

Stage 4. ファイルシステムの抽出ファームウェアの内部を調べ、ファイルシステムのデータを解析する。例） binwalk -ev でファイルを抽出する -> Squashfs
filesystem が見つかった第２０回初心者のためのセキュリティ勉強会 kuzu7shiki ` ` 1 $ binwalk DIR850L_REVB.bin 9 1704084 0x1A0094 Squashfs filesystem, little endian, version 4.0, compression:lzma, size: 8256900 bytes, 2688 inod 2 3 DECIMAL HEXADECIMAL DESCRIPTION 4 ----------------------------------------------------------------------------- --- 5 6 0 0x0 DLOB firmware header, boot partition: """"dev=/dev/mtdblock/1"""" 7 10380 0x288C LZMA compressed data, properties: 0x5D, dictionary size: 8388608 bytes, uncompressed size: 5213748 by 8 1704052 0x1A0074 PackImg section delimiter tag, little endian size: 32256 bytes; big endian size: 8257536 bytes ` ` OWASP FIRMWARE SECURITY TESTING METHODOLOGY から抜粋して要約 12 / 15

Stage 5. ファイルシステムの中身の解析ファイルシステムを抽出できたら、以下のようなものが含まれているかどうかを調査する。 etc/shadow, etc/passwd 設定ファイル ( .cfg など
) .pem , .crt などの SSL 関連ファイル admin, password, remote, AWS keys などのキーワードが含まれるファイル etc. firmwalker というスクリプトで自動化できる第２０回初心者のためのセキュリティ勉強会 kuzu7shiki ` ` ` ` ` ` OWASP FIRMWARE SECURITY TESTING METHODOLOGY から抜粋して要約 13 / 15

デモ netgear社製 D6000 という型番の WIFI Modem のファームウェアを解析してみよう！バージョンは V1.0.0.41 のものを対象とする。
デモの内容は下記の書籍を参考にした。 Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things 第２０回初心者のためのセキュリティ勉強会 kuzu7shiki 14 / 15

終わりにファームウェア解析をはじめてみた実機がなくてもファームウェアは入手できるので IoT 機器のハッキング入門にオススメ！ ※実際に脆弱性があるかを検証するには実機が必要となる場合もファームウェア解析をはじめてみませんか？第２０回初心者のためのセキュリティ勉強会 kuzu7shiki
15 / 15

ファームウェア解析はじめました

ファームウェア解析はじめました

kuzushiki

More Decks by kuzushiki

Other Decks in Technology

Featured

Transcript

ファームウェア解析はじめました kuzushiki 第２０回初心者のためのセキュリティ勉強会 kuzu7shiki

発表内容今までとは違う種類の脆弱性を見つけたくなる過去に報告した脆弱性 Webアプリのクロスサイトスクリプティング（XSS）スマホアプリにハードコードされた API キー ↓ JVN IPedia

ファームウェア解析の全体像 Stage 1. Information gathering and reconnaissance Stage 2. Obtaining

Stage 3. ファームウェアの解析ファームウェアイメージを入手したら、その特徴を特定するためにファイルを調査する。 file でファイル形式の確認 strings で文字列の確認 binwalk でファイルの中に含まれているファイルを確認

Stage 4. ファイルシステムの抽出ファームウェアの内部を調べ、ファイルシステムのデータを解析する。例） binwalk -ev でファイルを抽出する -> Squashfs

Stage 5. ファイルシステムの中身の解析ファイルシステムを抽出できたら、以下のようなものが含まれているかどうかを調査する。 etc/shadow, etc/passwd 設定ファイル ( .cfg など

デモ netgear社製 D6000 という型番の WIFI Modem のファームウェアを解析してみよう！バージョンは V1.0.0.41 のものを対象とする。