[논문]디지털 포렌식 관점에서 BIOS 펌웨어 이미지 파일 수집 및 분석에 관한 연구

정승훈; 이윤호; 이상진

doi:10.3745/ktccs.2016.5.12.491

디지털 포렌식 관점에서 BIOS 펌웨어 이미지 파일 수집 및 분석에 관한 연구
A Study of Acquisition and Analysis on the Bios Firmware Image File in the Digital Forensics 원문보기

정보처리학회논문지. KIPS transactions on computer and communication systems 컴퓨터 및 통신 시스템, v.5 no.12, 2016년, pp.491 - 498

정승훈 (고려대학교 정보보호대학원 금융보안학과) , 이윤호 (고려대학교 정보보호대학원 정보보호학과) , 이상진 (고려대학교 정보보호대학원)

초록
AI-Helper

최근 Windows PE와 같은 포터블 OS를 USB, CD/DVD 등의 이동식 저장매체에 저장하여 부팅하는 기법으로 기밀자료 및 내부정보가 유출되는 사례가 증가하고 있다. 이동식 저장매체를 이용한 이 부팅 기법은 타깃 PC에 설치된 USB 보안, 매체제어솔루션 등의 보안 소프트웨어의 우회가 가능하고, 부팅 후 PC의 저장매체를 마운트하여 정보 추출 및 악성코드 삽입 등의 행위가 가능하며, 이동식 저장매체의 사용흔적과 같은 로그기록이 남지 않는 특징이 있어 자료유출여부 확인과 역추적이 어렵다. 이에 본 논문에서는 플래시 메모리에서 BIOS 설정과 관련된 데이터가 기록되는 BIOS 펌웨어 이미지를 수집 및 분석하여 이상행위로 추정할 수 있는 이동식 저장매체를 이용한 부팅 흔적을 찾아 기업의 감사 또는 디지털 포렌식 수사를 수행하는데 도움이 될 수 있는 방안을 제시한다.

Abstract ▼ AI-Helper

Recently leakages of confidential information and internal date have been steadily increasing by using booting technique on portable OS such as Windows PE stored in portable storage devices (USB or CD/DVD etc). This method allows to bypass security software such as USB security or media control solution installed in the target PC, to extract data or insert malicious code by mounting the PC's storage devices after booting up the portable OS. Also this booting method doesn't record a log file such as traces of removable storage devices. Thus it is difficult to identify whether the data are leaked and use trace-back technique. In this paper is to propose method to help facilitate the process of digital forensic investigation or audit of a company by collecting and analyzing BIOS firmware images that record data relating to BIOS settings in flash memory and finding traces of portable storage devices that can be regarded as abnormal events.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 포터블 OS를 USB와 같은 이동식 저장매체를 통하여 부팅한 흔적을 찾기 위해, 이전에는 확인하지 않았던 BIOS 설정과 관련된 데이터가 저장된 BIOS 펌웨어 이미지를 수집 및 분석하여, 이상행위 여부를 판단할 수 있는 방법을 제안하고, 기업 또는 정부기관 등에서 이상행위 탐지 및 디지털 포렌식 수사를 진행하는데 도움이 될 수 있는 방안을 제안한다.
본 논문에서는 포터블 OS를 이용하여 자료유출 및 변조 하기 위해 선행되어야 되는 BIOS 설정변경의 흔적을 모니터링하고 BIOS 펌웨어 이미지에 악성코드를 삽입하는 공격 등의 이상행위를 탐지하기 위해 도구를 개발하였다.

제안 방법

AMI에서 제공하는 ‘afuwin’ 도구와 ‘SLIC_ToolKit’ 도구를 이용하여 BIOS 펌웨어 이미지를 추출하였을 때 무결성이 유지되는지를 확인하였다.
AMI의 BIOS 펌웨어 이미지는 AMI에서 제공하는 ‘Afuwin’도구를 이용하여 추출하였고[9], DELL, HP의 BIOS 펌웨어 이미지는 ‘SLIC_ToolKit’ 도구로 펌웨어 영역의 오프셋을 확인한후, 해당 영역의 오프셋을 Read하여 펌웨어를 추출하였다[10].
NIST 800-155 표준을 보면 BIOS 설정에 진입 또는 변경하는 것만으로도 이상행위로 판단하고 있다. 국가기관 또는 기업 등에서 각 사용자 PC의 BIOS 설정 데이터를 주기적으로 추출하고 분석하여 해당 사용자가 이상행위를 하였는지 확인할 수 있는 방법을 제안한다.
AMI의 BIOS 펌웨어 이미지는 AMI에서 제공하는 ‘Afuwin’도구를 이용하여 추출하였고[9], DELL, HP의 BIOS 펌웨어 이미지는 ‘SLIC_ToolKit’ 도구로 펌웨어 영역의 오프셋을 확인한후, 해당 영역의 오프셋을 Read하여 펌웨어를 추출하였다[10]. 데이터를 분석하기 위해 실험방법은 BIOS 설정에서 부팅 순서를 변경해 가면서 NVRAM Variable값이 어떻게 기록 되고, 이동식 저장매체를 이용하여 OS를 부팅하였을 경우 어떤 기록이 남는지 실험을 통해 확인하였다.
본 실험에서는 비교 데이터 셋을 만들기 위해 정상적인 부팅을 한 후 BIOS 펌웨어 이미지를 추출하였다. 이후 BIOS 설정에서 부팅 순서를 변경하여 USB로 부팅을 한 후, 다시 BIOS 펌웨어 이미지를 추출하는 과정을 반복적으로 진행하였고, 추출한 BIOS 펌웨어 이미지는 바이트 단위로 비교분석하였다.
AMI에서 제공하는 ‘afuwin’ 도구와 ‘SLIC_ToolKit’ 도구를 이용하여 BIOS 펌웨어 이미지를 추출하였을 때 무결성이 유지되는지를 확인하였다. 실험은 도구를 이용하여 각 제조사 및 BIOS 별로 연속적으로 BIOS 펌웨어 이미지를 추출하여 Hash값을 비교하였다.
이번 실험은 CD 저장매체에 Windows PE를 저장하여 부팅 가능한 CD를 생성한 후, 외장형 CD/DVD ROM과 내장형 CD/DVD ROM으로 부팅 순서를 설정하여 테스트를 진행하였다. 실험에 사용한 CD/DVD ROM의 정보는 Table 3과 같다.
본 실험에서는 비교 데이터 셋을 만들기 위해 정상적인 부팅을 한 후 BIOS 펌웨어 이미지를 추출하였다. 이후 BIOS 설정에서 부팅 순서를 변경하여 USB로 부팅을 한 후, 다시 BIOS 펌웨어 이미지를 추출하는 과정을 반복적으로 진행하였고, 추출한 BIOS 펌웨어 이미지는 바이트 단위로 비교분석하였다.
이 후에 BIOS 펌웨어 이미지에서 NVRAM Variables Area 및 패딩 영역를 추출하여 저장한다. 이후 다음 부팅 시에 BIOS펌웨어 이미지 추출 및 MD5 해시값을 계산한 후, 이전에 저장한 값과 비교하여 같으면 프로그램을 종료하고, 다르면 추가된 NVRAM Variables Area과 패딩 영역이 있는지 조사하여 추가된 데이터를 데이터베이스에 저장하고 이 데이터를 관리자에게 바로 전송하여 경고(Alert)를 보여준다. 이러한 방법을 통하여 거의 실시간에 가깝게 이상행위 사용자를 식별하는데 있어 정탐률을 올릴 수 있으며, 현직 직원 및 퇴사자, 외주직원 등의 호스트 PC를 조사할 때 이상행위에 대한 책임을 추궁할 수 있는 근거를 마련할 수 있다.
UEFI(Unified Extensible Firmware Interface) 스펙에서는 데이터 또는 코드를 저장하기 위한 기본 스토리지를 펌웨어 볼륨이라고 정의하고 있다[7]. 펌웨어 볼륨 이미지의 구조는 제조사마다 조금씩 상이할 수 있으며, 본 논문에서는 전 세계적으로 65% 이상 보급되어 있는 AMI(American Megatrends, Inc.)의 BIOS를 대상으로 구조를 기술하였다[8].

대상 데이터

본 논문에서는 H/W 제조사인 SAMSUNG, MSI, DELL, HP를 대상으로 실험을 진행하였고, BIOS 제조사인 AMI (American Megatrends Inc.), Dell, HP의 BIOS 펌웨어 이미지를 추출하여 실험하였으며 자세한 실험대상의 상세정보는 Table 1과 같다.
주요 기능으로는 호스트 OS가 부팅을 할 때마다 추출된 BIOS 펌웨어에서 변경된 데이터가 있다면, 이를 탐지하여 추가된 데이터를 데이터베이스에 저장 및 관리자에게 전달해주는 기능이다. 비교가 되는 데이터 영역은 NVRAM Variable Area와 Padding Area이며, NVRAM Variable Area의 데이터를 통해 이상행위를 하였는지에 대한 여부를 탐지할 수 있고, Padding Area의 데이터를 통해 악성코드 삽입 여부를 Table 7과 같이 확인할 수 있다.
실험에 사용한 USB는 SANDSIK와 LG제조사의 USB를 사용하였고, 레지스트리는 “HKLM\SYSTEM\ControlSet00#\Enum\USBSTOR”에서 확인한 정보이며, 상제정보는 다음 Table 2와 같다.

성능/효과

AMI BIOS는 NVRAM Variable Area에서 “0x5241564e” 시그니처를 시작으로 데이터가 기록되며 Fig 8, 9는 SAMSUNG 데스크톱에서 USB를 이용하여 OS를 부팅하였을 때, Fig. 10, 11은 MSI 노트북에서 USB를 이용하여 OS를 부팅하였을 때, NVRAM Variable Area에 해당 USB의 벤더명(Vendor Name), 제품명(Product Name), 버전(Version)이 기록되는 것을 확인하였다.
HP BIOS는 “0xAA55” 시그니처를 시작으로 데이터가 기록되며, AMI와 DELL BIOS와는 다르게 HP BIOS는 Fig. 13, 14와 같이 USB의 시리얼 넘버(Serial Number)가 기록되는 것을 확인하였다.
MSI 노트북에서 연속적으로 5회 추출하였을 때 Table 5와 같이 MD5 해시값이 모두 동일하며 무결성이 유지되는 것을 확인하였다.
실험결과를 정리하면 Table 6과 같이 AMI, DELL, HP BIOS 제조사 별로 제품명이 모두 기록되는 것을 확인하였고, 시리얼 넘버는 HP의 경우에만 기록되는 것을 확인하였다. 그리고 NVRAM Area에서 데이터가 기록될 때 사용되는 시그니처는 DELL과 HP가 동일한 것을 확인하였다.
19와 같이 Host Name, Host_IP, Host_MAC, OS_Version 정보를 통해 해당 사용자의 호스트 임을 식별하고, Firmware_ID, BIOS_Version 정보를 통해 펌웨어 정보를 확인할 수 있다. 또한 BIOS 펌웨어 이미지에서 기록되지 않는 시간 값을 보완하기 위해, BIOS 펌웨어 이미지 파일의 생성시간을 기록하여 이상행위를 한 시점을 판별할 수 있도록 보완하였고, NVRAM Variables Area 및 Padding Area를 분석하여 이상행위에 대한 흔적을 확인할 수 있다.
실험결과 Table 4와 같이 ‘SLIC_ToolKit’ 도구는 4개 제조사의 BIOS 펌웨어를 추출할 수 있으며, 무결성이 유지되는 것을 확인하였고 ‘afuwin’ 도구는 AMI BIOS만 추출할 수 있으며, SAMSUNG 데스크톱의 BIOS는 무결성이 유지 되지 않는 것을 확인하였다.
실험결과를 정리하면 Table 6과 같이 AMI, DELL, HP BIOS 제조사 별로 제품명이 모두 기록되는 것을 확인하였고, 시리얼 넘버는 HP의 경우에만 기록되는 것을 확인하였다. 그리고 NVRAM Area에서 데이터가 기록될 때 사용되는 시그니처는 DELL과 HP가 동일한 것을 확인하였다.

후속연구

NVRAM Variable Area의 데이터를 이용하여 디지털포렌식 수사에서의 선별 수집 시 추가적인 데이터로 활용될 수 있으며, 기업에서의 이상행위를 판별하는데 도움이 될 수 있다. 향후 본 논문에서 실험한 제조사 이외에 다양한 제조사의 BIOS 펌웨어 이미지 파일 수집 및 분석과 펌웨어 이미지 파일 업데이트와 같은 안티포렌식 행위분석에 대한 추가적인 연구가 필요하다.
NVRAM Variable Area의 데이터를 이용하여 디지털포렌식 수사에서의 선별 수집 시 추가적인 데이터로 활용될 수 있으며, 기업에서의 이상행위를 판별하는데 도움이 될 수 있다. 향후 본 논문에서 실험한 제조사 이외에 다양한 제조사의 BIOS 펌웨어 이미지 파일 수집 및 분석과 펌웨어 이미지 파일 업데이트와 같은 안티포렌식 행위분석에 대한 추가적인 연구가 필요하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	BIOS란 무엇인가?	BIOS(Basic Input/Output System)는 OS(Operation System)와 하드웨어사이에서 입출력을 담당하기 위한 저수준의 소프트웨어와 드라이버로 이루어진 펌웨어이다. BIOS는 디스크, 비디오, USB 포트, 네트워크 장치 등과 같은 주변장치 들의 설정을 읽어오거나 변경할 수 있는 프로그램이며, 읽기 및 쓰기가 가능한 플래시메모리에서 BIOS의 설정 값을 읽어 부팅을 진행한다.
	이동식 저장매체를 이용해 포터블 OS를 부팅하는 방법의 특징은 무엇인가?	이는 이동식 저장매체를 이용하여 포터블 OS를 부팅하면 부팅한 타깃 PC의 저장매체를 마운트 할 수 있어 정보 추출 및 악성코드 삽입 등의 악성행위가 가능해진다. 이 기법의 특징은 기존 OS에 설치된 보안 솔루션을 우회할 수 있으며, 기본적으로 OS에서 이동식 저장매체를 인식하였을 때 생성되는 로그 또는 아티팩트가 생성되지 않아 이상행위 여부확인 및 역추적에 어려움이 있다.
	BIOS 펌웨어 이미지를 이용해 이상행위를 판단하는 프로세스가 갖는 기대효과는?	이후 다음 부팅 시에 BIOS펌웨어 이미지 추출 및 MD5 해시값을 계산한 후, 이전에 저장한 값과 비교하여 같으면 프로그램을 종료하고, 다르면 추가된 NVRAM Variables Area과 패딩 영역이 있는지 조사하여 추가된 데이터를 데이터베이스에 저장하고 이 데이터를 관리자에게 바로 전송하여 경고(Alert)를 보여준다. 이러한 방법을 통하여 거의 실시간에 가깝게 이상행위 사용자를 식별하는데 있어 정탐률을 올릴 수 있으며, 현직 직원 및 퇴사자, 외주직원 등의 호스트 PC를 조사할 때 이상행위에 대한 책임을 추궁할 수 있는 근거를 마련할 수 있다.

참고문헌 (10)

NIS [Internet], http://www.nis.go.kr/AF/1_5_1_1.do.
Sun-Mi Kim, SoonOh Hong, and Kang Seok Lee, "The secure operation stratedgy of Data Leakage Prevention System," Proceedings of Symposium of the Korean Institute of Communications and Information Sciences, Korea Institute of Communication Sciences, pp.1639-1640, 2009.
Hirensbootcd [Internet], http://www.hirensbootcd.org/.
Andrew Regenscheid, "BIOS Integrity Measurement Guidelines," National Institute of Standards and Technology, sp800-155, 2011.
J. Stuttgen, "Acquisition and analysis of compromised firmware using memory forensics," Digital Investigation, Vol.12, Sup.1, pp.S50-S60, 2015.

상세보기
Dell [Internet], http://www.dell.com/support/article/us/en/19/SLN284985.
UEFI, "VOLUME 3: Platform Initialization Shared Architectureal Elements," Version 1.4, 2015.
Stortrends [Internet], http://stortrends.com/st_downloads/StorTrends_Customer_Value_Proposition.pdf.
AMI, Afuwin [Internet], https://ami.com/ami_downloads/Aptio_4_AMI_Firmware_Update_Utility.zip.
BIOS, SLIC_ToolKit [Internet], http://www.bios.net.cn/e/enews?enewsDownSoft&classid60&id448&pathid0&pass44d02f9d28e3295b1eed8911519a23d9&p:::.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증