Virustotal: Сканирайте фърмуера за признаци на манипулация
- Категория: Сигурност
Популярната онлайн услуга за сканиране на вируси на Google Virustotal приет актуализация наскоро, която позволява на потребителите на услугата да сканират фърмуер, подобно на други файлове.
Една от най-големите силни страни на VirusTotal е неговата мултимоторна поддръжка за сканиране, която тества файлове, качени в услугата, използвайки повече от 40 различни антивирусни двигателя.
Услугата е разширена няколко пъти, откакто тя е придобита от Google за подобряване на параметрите на сканиране, наред с други неща.
Най-новото допълнение към Virustotal е поддръжка за сканиране на фърмуер, който дава възможност на потребителите на услугата да качват изображения на фърмуер, изхвърлени или изтеглени в услугата, за да разберат дали те са (вероятно) легитимни или са били манипулирани.
Сканиране на виртуозен фърмуер
Докато повечето зловредни програми заразяват системи от страна на софтуера на нещата, зловредният софтуер на софтуера е особено проблематичен, тъй като не е лесно да се открие, нито да се почисти.
Тъй като фърмуерът се съхранява на самото устройство, форматирането на твърди дискове или дори подмяната им няма ефект върху заразеното състояние на компютъра.
Тъй като откриването е трудно на всичкото отгоре, често е типът на атаката да остане незабелязан за дълго време.
Сканирането на фърмуера, който Virustotal поддържа, работи в много отношения като нормалното сканиране на файлове. Основната разлика е как се придобива фърмуера.
Въпреки че може да се използва за тестване на фърмуера, който се изтегля от уебсайта на производителя, по-честа нужда е желанието вместо това да се тества инсталираният фърмуер на устройството.
Основният проблем тук е, че фърмуерът трябва да бъде изхвърлен, за да се случи това. Публикацията в блога на уебсайта Virustotal подчертава няколко инструмента (най-вече като изходен код или за Unix / Linux системи), които потребителите могат да използват, за да зарежат фърмуера на устройства, които работят.
Анализът на файла изглежда идентичен с този на други файлове на пръв поглед, но разделът „подробности за файла“ и раздели „допълнителна информация“ разкриват конкретна информация, която предлага в дълбочина информация.
Разделът „подробности за файла“ включва информация за съдържащите се файлове, версията на ROM, датата на изграждане и друга информация, свързана с изграждането.
Информация за идентификационния файл на файла с допълнителна информация и данни за източника.
Новият инструмент изпълнява следните задачи според Virustotal:
Откриване и отчитане на BIOS на Apple Mac.
Въз основа на струни евристично откриване за идентифициране на целеви системи.
Извличане на сертификати както от изображението на фърмуера, така и от изпълними файлове, съдържащи се в него.
Изброяване на код на PCI клас, което позволява идентифициране на клас на устройството.
Извличане на етикети на таблици ACPI.
Изброяване на променливи имена на NVAR.
Възможност за извличане на ROM, декомпилация на входна точка и изброяване на PCI функции.
Извличане на преносими изпълними файлове на BIOS и идентифициране на потенциални изпълними файлове на Windows, съдържащи се в изображението.
Отчитане на характеристиките на SMBIOS.
Извличането на преносими изпълними файлове на BIOS е от особен интерес тук. Virustotal извлича тези файлове и ги изпраща за идентификация поотделно. Информация, като предвидената цел на операционната система, се разкрива сред друга информация след сканирането.
Следното резултатът от сканиране подчертава руткита на Lenovo (под формата на NovoSecEngine2), секундата актуализиран фърмуер за устройства на Lenovo, където той е премахнат.
Заключителни думи
Новата опция за сканиране на фърмуера на Virustotal е добре дошла стъпка в правилната посока. Въпреки че това е така, за сега той ще остане специализирана услуга поради трудността при извличане на фърмуер от устройства и интерпретиране на резултатите.