최근 보안연구원들은 압축을 풀 수 없는 일부 D-Link 라우터 펌웨어 샘플을 발견했다. 이들은 장치의 펌웨어를 복화하여 변조를 방지하는 방법을 찾아냈고, 2019년 10월 22일에 출시된 D-Link 버전 v1.02B03에 대한 연구를 진행, 분석 결과는 다음과 같다.
> md5sum DIR-3060_RevA_Firmware111B01.bin
86e3f7baebf4178920c767611ec2ba50 DIR3060A1_FW102B03.bin
> file DIR-3060_RevA_Firmware111B01.bin
DIR3060A1_FW102B03.bin: data
> binwalk DIR-3060_RevA_Firmware111B01.bin
DECIMAL HEXADECIMAL DESCRIPTION
----------------------------------------------------------------------------
> hd -n 128 DIR-3060_RevA_Firmware111B01.bin
00000000 53 48 52 53 01 13 1f 9e 01 13 1f a0 67 c6 69 73 |SHRS........g.is|
00000010 51 ff 4a ec 29 cd ba ab f2 fb e3 46 2e 97 e7 b1 |Q.J.)......F....|
00000020 56 90 b9 16 f8 0c 77 b8 bf 13 17 46 7b e3 c5 9c |V.....w....F{...|
00000030 39 b5 59 6b 75 8d b8 b0 a3 1d 28 84 33 13 65 04 |9.Yku.....(.3.e.|
00000040 61 de 2d 56 6f 38 d7 eb 43 9d d9 10 eb 38 20 88 |a.-Vo8..C....8 .|
00000050 1f 21 0e 41 88 ff ee aa 85 46 0e ee d7 f6 23 04 |.!.A.....F....#.|
00000060 fa 29 db 31 9c 5f 55 68 12 2e 32 c3 14 5c 0a 53 |.).1._Uh..2..\.S|
00000070 ed 18 24 d0 a6 59 c0 de 1c f3 8b 67 1d e6 31 36 |..$..Y.....g..16|
00000080연구원들은 분석을 통해 아래와 같은 결과를 도출해냈다.
- D-link는 여러 장치에서 동일한 암호 체계를 재사용할 수 있다.
- 장비는 MIPS32 아키텍처를 기반으로 한다.
- 공격자들은 DIR882의 UART 직렬 콘솔에 접근한다.
- uClibc 및 libcrypto에 연결하여 AES, RSA 및 SHA512를 사용할 수 있다.
- 바이너리는 암/복호화를 모두 담당한다.
- 공인인증서를 보유했다.
- imgdecrypt는 /.imagdecrypt myInFile로 보이며, / tmp/ 경로를 사용해 결과를 저장한다.
[출처 : 시버그/ 3.24.]
![[보안뉴스 / 3.29.] 콘텐츠 전문기업 리디, 서버 캐시 설정 오류로 고객 개인정보 유출](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-135120-500x383.png)
![[보안뉴스 / 3.29.] 트위터 소스코드 유출 사건, 어쩌면 거대한 보안 재앙의 신호탄 될 수 있어](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-134630-500x383.png)
![[보안뉴스 / 3.27.] 아시아 최대 규모 통합보안 전시회 SECON & eGISEC 2023, 3월 29~31일 개최](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-28-171550-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.