Firmware Forensics: হার্ডওয়্যারের ফার্মওয়্যারে লুকানো ক্ষতিকর কোড শনাক্তকরণ!

আধুনিক কম্পিউটারে ডজনের বেশি Firmware ছবি বিদ্যমান। মাদারবোর্ডে UEFI বা BIOS, প্রতিটি Storage ডিভাইসে নিজস্ব Controller Firmware, Network Card, Wi-Fi কার্ড, ব্লুটুথ কন্ট্রোলার, GPU, USB হাব, এমনকি কীবোর্ড—সবগুলোতে নিজস্ব Firmware আছে। এই Firmware গুলো অপারেটিং সিস্টেমের নিচে চলে এবং সাধারণ অ্যান্টিভাইরাস এ অদৃশ্য।

আক্রমণকারী যারা দীর্ঘমেয়াদী Persistence চায়—যেমন রাষ্ট্রীয় গুপ্তচর সংস্থা—তারা ক্রমশ Firmware লেভেলে আক্রমণ করছে। একবার Firmware সংক্রমিত হলে, অপারেটিং সিস্টেম পুনঃস্থাপন বা Hard Drive প্রতিস্থাপন কোনোটাই কাজে আসে না। তাই গুরুত্বপূর্ণ ইনসিডেন্ট রেসপন্স তদন্তে Firmware বিশ্লেষণ এখন অপরিহার্য হয়ে উঠেছে।

Firmware Forensics এর কাজ শুধু ক্ষতিকর কোড খুঁজে পাওয়া নয়, এটি প্রমাণের ফরেনসিক চেইন তৈরিও বটে—কে, কখন, কীভাবে এই Firmware পরিবর্তন করেছে তার একটি বৈধ আদালত-গ্রহণযোগ্য ডকুমেন্টেশন। এই কারণে Firmware Acquisition প্রক্রিয়া কঠোর মান অনুসরণ করতে হয়।

Firmware আক্রমণ বিভিন্ন স্তরে ঘটে এবং প্রতিটির নিজস্ব ফরেনসিক চ্যালেঞ্জ আছে। UEFI Rootkit হলো সবচেয়ে আলোচিত প্রকার। LoJax, MosaicRegressor, BlackLotus, এবং CosmicStrand—এসব সবই UEFI Bootkit যা মাদারবোর্ডের SPI Flash এ লুকিয়ে থাকে এবং প্রতিটি Boot এর সময় সক্রিয় হয়। BlackLotus বিশেষত উদ্বেগজনক কারণ এটি Secure Boot সক্ষম থাকা সত্ত্বেও কাজ করতে সক্ষম।

Hard Drive Firmware আক্রমণ ২০১৫ সালে Kaspersky এর Equation Group বিশ্লেষণে প্রকাশিত হয়েছিল। NLS_933W.DLL নামে পরিচিত মডিউল Seagate, Western Digital, Maxtor, Samsung এর হার্ড ড্রাইভ Firmware পরিবর্তন করতে পারত। একবার সংক্রমিত হলে, ফরম্যাট বা ওভাররাইট কোনোটাই Drive পরিষ্কার করতে পারত না।

Network Card Firmware আক্রমণে আক্রমণকারী NIC এর Firmware পরিবর্তন করে নেটওয়ার্ক ট্রাফিক চুরি, ম্যানিপুলেশন বা স্বাধীন C2 চ্যানেল প্রতিষ্ঠা করতে পারেন। Intel এর AMT এবং BMC সিস্টেমে আক্রমণ এই শ্রেণীর অন্তর্ভুক্ত। GPU Firmware Rootkit Vega ভিত্তিক কাজে সম্প্রতি প্রদর্শিত হয়েছে যেখানে আক্রমণকারী GPU মেমোরিতে কোড চালিয়ে CPU EDR এর দৃষ্টি এড়াতে পারে।

USB Firmware আক্রমণ যেমন BadUSB খুব বিপজ্জনক। একটি সাধারণ দেখতে USB Drive আসলে একটি কীবোর্ড হিসেবে নিজেকে রেজিস্টার করতে পারে এবং স্বয়ংক্রিয়ভাবে কমান্ড টাইপ করতে পারে। Firmware Forensics এই ডিভাইসগুলোও অন্তর্ভুক্ত করে।

Firmware বিশ্লেষণের প্রথম এবং সবচেয়ে গুরুত্বপূর্ণ ধাপ হলো নিরাপদভাবে Firmware ইমেজ Acquire করা। দুটি প্রধান পদ্ধতি রয়েছে: Software Based এবং Hardware Based।

Software Based Acquisition এ একটি বিশ্বস্ত অপারেটিং সিস্টেম থেকে সিস্টেম কল ব্যবহার করে Firmware পড়া হয়। Linux এ flashrom টুল ব্যবহার করে SPI Flash পড়া যায়। CHIPSEC ফ্রেমওয়ার্ক Intel এর তৈরি একটি ওপেন সোর্স টুল যা UEFI এবং চিপসেট সংক্রান্ত বহু পরীক্ষা চালাতে পারে। তবে Software Based পদ্ধতির সমস্যা হলো যদি Rootkit ইতিমধ্যেই সক্রিয় থাকে, তাহলে সেটি Firmware পড়ার অনুরোধে মিথ্যা তথ্য ফেরত দিতে পারে। এটি Direct Memory Access বা DMA এর মাধ্যমে এড়ানো সম্ভব।

Hardware Based Acquisition সবচেয়ে বিশ্বাসযোগ্য পদ্ধতি। এতে কম্পিউটার বন্ধ করে মাদারবোর্ডের SPI Flash চিপ সরাসরি একটি Programmer এর সাথে সংযুক্ত করা হয়। CH341A, Dediprog SF100, কিংবা বেশি পেশাদার Beeprog2—এই ধরনের সরঞ্জাম ব্যবহৃত হয়। কিছু ক্ষেত্রে চিপটি বোর্ড থেকে আনসোল্ডার করতে হয়। এই পদ্ধতিতে Operating System কোনো ভূমিকা পালন করে না, তাই কোনো Rootkit এর হস্তক্ষেপ নেই।

JTAG বা SPI Probe ব্যবহার করে চিপ অনসোল্ডারিং এড়িয়ে In-Circuit পঠনও সম্ভব। এই কাজে সঠিক ক্লিপ ব্যবহার করা গুরুত্বপূর্ণ যাতে চিপ ক্ষতিগ্রস্ত না হয়। হার্ড ড্রাইভ Firmware এর ক্ষেত্রে ব্যবহার করা হয় PC-3000 এর মতো পেশাদার সরঞ্জাম।

Firmware ইমেজ পাওয়ার পর বিশ্লেষণের জন্য কয়েকটি বিশেষায়িত টুল প্রয়োজন। UEFITool হলো UEFI ইমেজ পার্স এবং সম্পাদনার জন্য অগ্রণী টুল। এটি DXE Driver, PEI Module, এবং Volume Structure প্রদর্শন করে। চাইলে নির্দিষ্ট মডিউল Extract করে আলাদাভাবে বিশ্লেষণ করা যায়।

CHIPSEC শুধু Acquisition নয়, বিশ্লেষণেও কাজ করে। এর বহু বিল্ট ইন মডিউল আছে যা পরিচিত দুর্বলতা এবং Misconfiguration যাচাই করে—যেমন SPI Flash এর Write Protection সক্রিয় কিনা, BIOS Update যাচাই করা হচ্ছে কিনা।

Binwalk Firmware ইমেজ থেকে এমবেডেড ফাইল সিস্টেম, Compressed অংশ এবং Magic Signature শনাক্ত করতে পারে। Ghidra এবং IDA Pro অজানা বাইনারি মডিউল রিভার্স ইঞ্জিনিয়ারিং এর জন্য অপরিহার্য।

Trusted Computing Group এর Reference Integrity Manifest বা RIM ব্যবহার করে নির্মাতার মূল Firmware এর সঙ্গে বর্তমান ইমেজ তুলনা করা যায়। Microsoft এর Project Mu এবং Intel এর FIT সরঞ্জাম এই কাজে সাহায্য করে। Eclypsium এবং Binarly হলো বাণিজ্যিক প্ল্যাটফর্ম যা Firmware Forensics কে স্বয়ংক্রিয় করে।

Firmware এ ক্ষতিকর কোড খুঁজে পেতে কয়েকটি কৌশল ব্যবহৃত হয়। Hash Comparison সবচেয়ে সরল—নির্মাতার প্রকাশিত মূল Firmware এর Cryptographic Hash এর সাথে বর্তমান ইমেজের Hash মিলিয়ে দেখা। যদি না মেলে, অবশ্যই কিছু পরিবর্তন হয়েছে। কিন্তু সমস্যা হলো সব নির্মাতা নিজেদের Hash প্রকাশ করে না।

Signature Verification একটি আরও পরিশীলিত কৌশল। UEFI ইমেজের প্রতিটি মডিউলে নির্মাতার ডিজিটাল সিগনেচার থাকা উচিত। যদি কোনো অজানা সিগনেচার বা সিগনেচারবিহীন মডিউল পাওয়া যায়, এটি সন্দেহজনক।

Behavioral Analysis এ Firmware কে একটি নিয়ন্ত্রিত পরিবেশে চালানো হয় এবং পরিদর্শন করা হয় এটি কী করছে। QEMU তে UEFI ইমেজ Boot করানো এবং Network, Disk, এবং Memory অ্যাক্সেস পর্যবেক্ষণ করা হয়। অস্বাভাবিক নেটওয়ার্ক কানেকশন কিংবা সংবেদনশীল মেমোরি অঞ্চলে অ্যাক্সেস—এসব Red Flag।

Anomaly Detection এ Machine Learning ব্যবহার করে স্বাভাবিক Firmware এর বৈশিষ্ট্য শেখা হয়—কোড আকার, Entropy, পরিচিত স্ট্রিং। যদি একটি ইমেজ এই প্রোফাইল থেকে উল্লেখযোগ্যভাবে আলাদা হয়, তা সন্দেহজনক হিসেবে চিহ্নিত করা হয়।

LoJax ছিল প্রথম সাইবার অস্ত্র যা প্রকাশ্যে নথিভুক্ত করা হয়েছিল যেটি UEFI Rootkit ব্যবহার করত। ESET এর গবেষকরা ২০১৮ সালে আবিষ্কার করেছিলেন যে রাশিয়ান Fancy Bear গ্রুপ ইউরোপীয় সরকারি লক্ষ্যগুলিতে এই Rootkit ব্যবহার করেছিল। LoJax মাদারবোর্ডের SPI Flash এ একটি DXE Driver হিসেবে নিজেকে ইনস্টল করত এবং প্রতিটি Boot এ ক্ষতিকর Windows ড্রাইভার ডিপ্লয় করত।

BlackLotus হলো ২০২৩ সালে প্রকাশিত একটি আধুনিক UEFI Bootkit যা Windows 11 এ Secure Boot সক্ষম থাকা সত্ত্বেও সক্রিয় থাকতে পারে। CVE-2022-21894 ভালনারেবিলিটি ব্যবহার করে এটি Microsoft এর সাইনিং চেইনকে বাইপাস করে। BlackLotus এর বিশ্লেষণ এবং Detection নিয়ে নিরাপত্তা সম্প্রদায়ের বিস্তৃত গবেষণা হচ্ছে।

Equation Group এর হার্ড ড্রাইভ Firmware Rootkit, যা ২০১৫ সালে প্রকাশিত হয়েছিল, এখনো সবচেয়ে পরিশীলিত পরিচিত আক্রমণগুলোর একটি। গবেষকরা মনে করেন এটি প্রায় ১৫ বছর ধরে অজ্ঞাত ছিল। CosmicStrand হলো চীনা গ্রুপ দ্বারা ব্যবহৃত আরেকটি UEFI Bootkit যা Asus এবং Gigabyte মাদারবোর্ডে পাওয়া গেছে।

প্রতিটি ঘটনায় Firmware Forensics ছাড়া এই আক্রমণ শনাক্ত করা প্রায় অসম্ভব ছিল। ঐতিহ্যবাহী Endpoint Detection টুল এই গভীর স্তরের আক্রমণ দেখতে পেত না।

Firmware Forensics একটি অত্যন্ত চ্যালেঞ্জিং ক্ষেত্র যেখানে অনেক বাধা আছে। প্রথমত, বৈধ Firmware এর Reference ইমেজ পাওয়া কঠিন। নির্মাতারা সবসময় তাদের সর্বশেষ ক্লিন ইমেজ প্রকাশ করেন না, এবং Customization প্রতিটি OEM এর জন্য আলাদা।

দ্বিতীয়ত, Firmware বহু ভিন্ন আর্কিটেকচার এবং ফরম্যাটে আসে। UEFI, Coreboot, OpenBMC, RTOS—প্রতিটি বিশ্লেষণে আলাদা দক্ষতা প্রয়োজন। তৃতীয়ত, প্রযোজ্য টুল এখনো সীমিত এবং অনেক ক্ষেত্রে গবেষকদের নিজস্ব টুল লিখতে হয়।

চতুর্থত, আইনি জটিলতা আছে। অনেক ডিভাইস Firmware DMCA এবং অন্যান্য আইনের অধীনে সংরক্ষিত, এবং রিভার্স ইঞ্জিনিয়ারিং অনুমোদিত নাও হতে পারে। সরকারি ফরেনসিক তদন্তে অবশ্য সাধারণত অনুমতি থাকে।

পঞ্চমত, Firmware আক্রমণ ক্রমশ পরিশীলিত হচ্ছে। আক্রমণকারীরা Anti Forensics কৌশল ব্যবহার করে, যেমন Encrypted Payload, Polymorphic Code, এবং Time Bomb যা একটি নির্দিষ্ট তারিখ পর্যন্ত সক্রিয় হয় না। এই ধরনের আক্রমণ বিশ্লেষণে অনেক সময় এবং বিশেষজ্ঞতা লাগে।

Firmware আক্রমণ থেকে রক্ষা পেতে স্তরযুক্ত প্রতিরক্ষা প্রয়োজন। Secure Boot সব আধুনিক সিস্টেমে সক্ষম রাখতে হবে এবং নিয়মিত যাচাই করতে হবে এটি সক্রিয় কিনা। Measured Boot যেখানে TPM প্রতিটি Boot ধাপ পরিমাপ করে এবং Remote Attestation সম্ভব করে, এটি আরও শক্তিশালী।

Intel BootGuard এবং AMD PSP এর মতো Hardware Root of Trust প্রযুক্তি ব্যবহার করতে হবে। BIOS/UEFI আপডেট নিয়মিত প্রয়োগ করতে হবে কারণ নির্মাতারা Firmware দুর্বলতার জন্য প্যাচ প্রকাশ করেন। SPI Flash এর Write Protection হার্ডওয়্যার পর্যায়ে সক্রিয় রাখতে হবে যাতে অপারেটিং সিস্টেম থেকে অননুমোদিত পরিবর্তন অসম্ভব হয়।

কর্পোরেট পরিবেশে Endpoint Firmware Monitoring সমাধান যেমন Eclypsium বা CrowdStrike এর Firmware Module ব্যবহার করা যায়। সংবেদনশীল সিস্টেমে নিয়মিত Firmware Integrity Check চালানো উচিত। সরবরাহ চেইন নিরাপত্তা গুরুত্বপূর্ণ—হার্ডওয়্যার সরাসরি নির্মাতা থেকে কেনা এবং Sealed Packaging যাচাই করা উচিত।

ইনসিডেন্ট রেসপন্স প্রক্রিয়ায় Firmware Forensics অন্তর্ভুক্ত করতে হবে। একটি গুরুতর ব্রিচের পর শুধু সফটওয়্যার পরিষ্কার করা যথেষ্ট নয়; Firmware অখণ্ডতা যাচাই অপরিহার্য। সবচেয়ে সংবেদনশীল পরিবেশে Air Gapped সিস্টেম এবং USB অ্যাক্সেস সম্পূর্ণ অক্ষম রাখা যেতে পারে।