Virustotal: Skann firmware for tegn på manipulasjon

• Kategori: Sikkerhet

Prøv Instrumentet Vårt For Å Eliminere Problemer

Velg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Velg Et Projeksjonsprogram (Valgfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Problemet Ditt

Få Svar

Send Meg Via E -Post Vis På Nettstedet

Googles populære virussøkingstjeneste online Virustotal mottatt en oppdatering nylig som gjør det mulig for brukere av tjenesten å skanne firmware akkurat som andre filer.

En av de største styrkene til Virustotal er skanningstøtten for flere motorer som tester filer lastet opp til tjenesten ved å bruke mer enn 40 forskjellige antivirusmotorer.

Tjenesten har blitt utvidet flere ganger siden den ble anskaffet av Google og forbedret blant annet skanneparametere.

Det siste tilskuddet til Virustotal er støtte for firmwareskanninger som gjør det mulig for brukere av tjenesten å laste opp firmwarebilder, dumpet eller lastet ned, til tjenesten for å finne ut om de er (sannsynligvis) legitime eller har blitt manipulert.

Virustotal firmware-skanning

Mens de fleste malware infiserer systemer på programvaresiden av ting, er firmware-malware spesielt problematisk, da det ikke er lett å oppdage eller å rengjøre.

Siden firmware er lagret på selve enheten, har ikke formatering av harddisker eller til og med erstatning av dem noen innvirkning på den infiserte tilstanden til en datamaskin.

Siden deteksjon er vanskelig på toppen av det, er det vanlig at angrepstypen går upåaktet hen over lang tid.

Skanning av firmware som Virustotal støtter fungerer på mange måter som vanlig skanning av filer. Kjerneforskjellen er hvordan firmware er anskaffet.

Selv om den kan brukes til å teste firmware som lastes ned fra produsentens nettsted, er et mer vanlig behov ønsket om å teste den installerte firmwareen til enheten i stedet.

Hovedproblemet her er at firmwaren må dumpes for at det skal skje. Blogginnlegget på Virustotal-nettstedet belyser flere verktøy (mest som kildekode eller for Unix / Linux-systemer) som brukere kan bruke til å dumpe firmware på enheter de bruker.

Analysen av filen ser identisk ut som den for andre filer ved første øyekast, men kategorien 'fildetalj' og fanene 'tilleggsinformasjon' avslører spesifikk informasjon som gir dyptgående informasjon på toppen av det.

Fanen 'fildetaljer' inneholder informasjon om de inneholdte filene, ROM-versjon, byggedato og annen byggrelatert informasjon.

Ytterligere informasjonsliste filidentifikasjonsinformasjon og kildedetaljer.

Det nye verktøyet utfører følgende oppgaver i henhold til Virustotal:

Apple Mac BIOS gjenkjenning og rapportering.
Strengebasert merkeheuristisk deteksjon, for å identifisere målsystemer.
Utdrag av sertifikater både fra firmwarebildet og fra kjørbare filer som finnes i det.
PCI-klassekodeoppregning, som tillater enhetsklasseidentifikasjon.
ACPI tabeller koder utvinning.
NVAR variabel navn oppregning.
Alternativ ekstraksjon av ROM, dekompilering av inngangspunkt og PCI-funksjonslisting.
Utvinning av BIOS bærbare kjørbare filer og identifisering av potensielle Windows kjørbare filer som er inne i bildet.
SMBIOS kjennetegn rapportering.

Utvinning av bærbare BIOS-kjørbare filer er av spesiell interesse her. Virustotal trekker ut filene og sender dem inn til identifikasjon individuelt. Informasjon som det tiltenkte operativsystemmålet blir avslørt blant annet etter skanningen.

Følgende skanningsresultatet fremhever Lenovos rotkit (i form av NovoSecEngine2), den andre en oppdatert firmware for Lenovo-enheter der den er fjernet.

Lukkende ord

Virustotals nye firmware-skannealternativ er et kjærkomment trinn i riktig retning. Selv om det er tilfelle, vil det forbli en spesialisert tjeneste for nå på grunn av vanskeligheten med å trekke ut firmware fra enheter og tolke resultatene.