KIPS Transactions on Computer and Communication Systems (정보처리학회논문지:컴퓨터 및 통신 시스템)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

A Study of Acquisition and Analysis on the Bios Firmware Image File in the Digital Forensics

디지털 포렌식 관점에서 BIOS 펌웨어 이미지 파일 수집 및 분석에 관한 연구

  • 정승훈 (고려대학교 정보보호대학원 금융보안학과) ;
  • 이윤호 (고려대학교 정보보호대학원 정보보호학과) ;
  • 이상진 (고려대학교 정보보호대학원)
  • Received : 2016.09.28
  • Accepted : 2016.10.25
  • Published : 2016.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

Recently leakages of confidential information and internal date have been steadily increasing by using booting technique on portable OS such as Windows PE stored in portable storage devices (USB or CD/DVD etc). This method allows to bypass security software such as USB security or media control solution installed in the target PC, to extract data or insert malicious code by mounting the PC's storage devices after booting up the portable OS. Also this booting method doesn't record a log file such as traces of removable storage devices. Thus it is difficult to identify whether the data are leaked and use trace-back technique. In this paper is to propose method to help facilitate the process of digital forensic investigation or audit of a company by collecting and analyzing BIOS firmware images that record data relating to BIOS settings in flash memory and finding traces of portable storage devices that can be regarded as abnormal events.

최근 Windows PE와 같은 포터블 OS를 USB, CD/DVD 등의 이동식 저장매체에 저장하여 부팅하는 기법으로 기밀자료 및 내부정보가 유출되는 사례가 증가하고 있다. 이동식 저장매체를 이용한 이 부팅 기법은 타깃 PC에 설치된 USB 보안, 매체제어솔루션 등의 보안 소프트웨어의 우회가 가능하고, 부팅 후 PC의 저장매체를 마운트하여 정보 추출 및 악성코드 삽입 등의 행위가 가능하며, 이동식 저장매체의 사용흔적과 같은 로그기록이 남지 않는 특징이 있어 자료유출여부 확인과 역추적이 어렵다. 이에 본 논문에서는 플래시 메모리에서 BIOS 설정과 관련된 데이터가 기록되는 BIOS 펌웨어 이미지를 수집 및 분석하여 이상행위로 추정할 수 있는 이동식 저장매체를 이용한 부팅 흔적을 찾아 기업의 감사 또는 디지털 포렌식 수사를 수행하는데 도움이 될 수 있는 방안을 제시한다.

Keywords

References

  1. NIS [Internet], http://www.nis.go.kr/AF/1_5_1_1.do.
  2. Sun-Mi Kim, SoonOh Hong, and Kang Seok Lee, "The secure operation stratedgy of Data Leakage Prevention System," Proceedings of Symposium of the Korean Institute of Communications and Information Sciences, Korea Institute of Communication Sciences, pp.1639-1640, 2009.
  3. Hirensbootcd [Internet], http://www.hirensbootcd.org/.
  4. Andrew Regenscheid, "BIOS Integrity Measurement Guidelines," National Institute of Standards and Technology, sp800-155, 2011.
  5. J. Stuttgen, "Acquisition and analysis of compromised firmware using memory forensics," Digital Investigation, Vol.12, Sup.1, pp.S50-S60, 2015. https://doi.org/10.1016/j.diin.2015.01.010
  6. Dell [Internet], http://www.dell.com/support/article/us/en/19/SLN284985.
  7. UEFI, "VOLUME 3: Platform Initialization Shared Architectureal Elements," Version 1.4, 2015.
  8. Stortrends [Internet], http://stortrends.com/st_downloads/StorTrends_Customer_Value_Proposition.pdf.
  9. AMI, Afuwin [Internet], https://ami.com/ami_downloads/Aptio_4_AMI_Firmware_Update_Utility.zip.
  10. BIOS, SLIC_ToolKit [Internet], http://www.bios.net.cn/e/enews?enews=DownSoft&classid=60&id=448&pathid=0&pass=44d02f9d28e3295b1eed8911519a23d9&p=:::.