Các checklist cơ bản khi phân tích firmware IoT

IoT security basic analysis notes

• Attack surface reconnaissance
• Boot process of embemd linux
• Extract firmware
• Enumerating rootfs
• Beginner firmware binary analysis
• Thông tin tham khảo

New episode every third Saturday, 2025-08-16 –__–

Attack surface reconnaissance

1. Một số vector tấn công đối với các thiết bị IOT

• Tấn công từ các thiết bị trong mạng nội bộ mà thiết bị IOT đang kết nối
  • Thiết bị có thể mở các cổng để tương tác, có thể phân tích các ứng dụng xử lý dữ liệu từ các cổng đó.
• Tấn công các giao thức tín hiệu ngắn như Bluetooth, NFC, Wifi,.. đang hoạt động trên thiết bị
  • Thường sẽ có các ứng dụng, module để xử lý các giao thức này.
• Tấn công hệ thống API thiết bị tương tác trong quá trình hoạt động
  • API nhận gửi dữ liệu
  • API cập nhật phần mềm, firmware,..
• Tấn công app mobile tương tác với thiết bị
  • Có thể chứa các API ẩn, không có trong tài liệu hay hoạt động thông thường của thiết bị.
• Các thiết bị IOT có thể kết nối tới các website hoặc IP để nhận lệnh.
• Một số thiết bị IOT có các ứng dụng cho phép kết nối trực tiếp P2P
  • Quá trình xác thực kết nối thường thông qua giao thức web phổ biến

1. Các thông tin có thể recon
   • Fccid: Thông qua fccid.io, có thể tìm thấy thông tin về thiết bị, các thành phần của thiết bị.
   • Part number: Tìm các catalog, datasheet, hướng dẫn sử dụng, sửa chữa,..
   • Firmware: Tìm các phiên bản firmware của thiết bị
   • Nếu có thiết bị hoặc giả lập được firmware, có thể sử dụng nmap để scan các cổng tcp/udp đang mở và chờ ở chế độ listening.
   • Tìm các CVE đã được công bố, diff các phiên bản firmware để phân tích các lỗi có thể đã được vá ở phiên bản mới nhất. - Có thể tìm các thiết bị IOT đang mở Internet thông qua các trang web như Shodan, Censys, Fofa:
   • Các keyword có thể dùng như: tên thiết bị, giao thức,..

Boot process of embemd linux

Tổng quan: U-Boot program -> Embemd linux kernel -> rootfs -> initd (/etc/init.d) -> device embemed program

• SoC ROM bootloader kích hoạt reset vector và chuyển quyền điều khiển cho ROM bootloader
• ROM botloader chọn thiết bị để boot dựa vào cấu hình trong cài đặt, sau đó load SPL/MLO vào RAM của chip và thực thi SPL (Second Program Loader)
• SPL đọc U-Boot loader vào RAM của thiết bị và thực thi U-Boot.
• U-Boot đọc cấu hình uEnv.txt chứa các tham số cho kernel và các thiết lập khác vào RAM, sau đó tiếp tục nạp Linux kernel và Device Tree vào RAM
• Kernel được U-Boot thực thi với các tham số theo cấu hình, sau đó sẽ đọc Device Tree để khởi tạo các phần cứng khác. Sau khi khởi tạo xong về phần cứng, kernel đọc/mount rootfs và thực thi Init Process trong rootfs
• Init Process khởi tạo các application cần thiết (thường đặt trong /etc/init.d) sau đó khởi tạo các ứng dụng nhúng khác của thiết bị.

Extract firmware

1. Tải firmware từ internet
   • Có thể tìm và tải firmware thông qua website của nhà sản xuất, các forums, hội nhóm sử dụng thiết bị hoặc các firmware open source hỗ trợ thiết bị..
   • Các firmware đã được mã hóa thì cần thực hiện dump từ UART Shell hoặc dump bootloader để thực hiện phân tích cách decrypt.

2.Thông qua UART Shell

• Chuẩn bị thiết bị và thiết lập các kết nối qua qua các giao thức phổ biến phù hợp với thiết bị như UART, SPI, JTAG,…
• Thông qua shell tại bootloader để dump firmware sau khi bootloader giải mã firmware.

Enumerating rootfs

Sau khi có được firmware, có thể tìm và phân tích từ phân vùng rootfs. Phân vùng rootfs có định 1 số định dạng hay gặp: squashfs, ubifs, romfs, rootfs, jffs2, yaffs2, cramfs, initramfs,..

• Một số công cụ để extract rootfs:
  • binwalk
  • unsquashfs
  • ubidump
  • cpio
  • jefferson

Các firmware IoT thường sử dụng busybox với nhiều chức năng, và sử dụng alias để gán các command trong /bin hay /usr/bin tới các chức năng của busybox

• Có thể thử upgrade busybox lên các phiên bản nhiều tính năng hơn
  • Chạy các phần mềm file transfer như sftp, ftp,
  • Tạo netcat revershell
• Một số thông tin enum:
  • Tìm kiếm các script, binary tự động chạy khi firmware boot trong initab, init.d
  • Tìm các thông tin ssh, backup, config, account/password, api, root, url, ip, domain, email, thông tin debug,..
    • Có thể khoanh vùng các dạng file cấu hình hay chứa thông tin phổ biến: .xml, .conf, .html, .ini, .txt..
  • Thực hiện crack các mật khẩu lưu trữ trên firmware bằng hashcat, john-ripper,..

Beginner firmware binary analysis

• Các lỗi cơ bản có thể xảy ra ở các tính năng ghi log, hiển thị, xử lý input,..
  • Command injection
  • Buffer overflow
  • Format string
• Có thể tìm các function xử lý input thông qua các tính năng trên giao diện quả trị webportal, cloud portal, mobile app,..
  • Phân tích các lỗi logic có thể xảy ra khi xử lý, kiểm tra các input.
• Dựa vào các thư việc mã nguồn mở trong GPL License để tải và tạo các signature cho các thư viện trong binary khi reverse.
• Một số rule để thực hiện tìm kiếm các lỗ hổng cơ bản:
  • https://github.com/0xdea/semgrep-rules
• Các công cụ phân tích, giả lập firmware
  • https://gitlab.com/bytesweep/bytesweep
  • https://github.com/firmadyne/firmadyne
  • https://github.com/attify/firmware-analysis-toolkit
  • https://github.com/qilingframework/qiling#qltool
  • https://github.com/e-m-b-a/emba
  • https://github.com/fkie-cad/FACT_core
  • https://github.com/cruise-automation/fwanalyzer
  • https://github.com/rampageX/firmware-mod-kit

Thông tin tham khảo

• https://www.facebook.com/iothacking
• https://v-xs.com/hatoan
• https://v-xs.com/cuongtm
• https://voidstarsec.com/blog/
• https://wrongbaud.github.io/
• https://github.com/scriptingxss/owasp-fstm