Virustotal: Vizsgálja meg a firmware-t a manipuláció jeleire
- Kategória: Biztonság
A Google népszerű online víruskereső szolgáltatása, a Virustotal kapott egy nemrégiben végrehajtott frissítés, amely lehetővé teszi a szolgáltatás felhasználói számára a firmware szkennelését, akárcsak más fájlok.
Az egyik legnagyobb erőssége VirusTotal a több motoros szkennelési támogatása, amely több mint 40 különféle víruskereső motor segítségével teszteli a szolgáltatásba feltöltött fájlokat.
A szolgáltatást azóta többször is kibővítették, mivel a Google megvásárolta azt, többek között javítva a szkennelési paramétereket.
A Virustotal legújabb kiegészítése a firmware-szkennelés támogatása, amely lehetővé teszi a szolgáltatás felhasználói számára, hogy firmware-képeket töltsenek fel, dömpingelt vagy letöltött formában a szolgáltatásba, hogy megtudják, vajon azok (valószínűleg) jogszerűek, vagy manipuláltak-e velük.
Virustotal firmware szkennelés
Míg a legtöbb rosszindulatú program a szoftverek oldalain fertőzi a rendszereket, a firmware malware különösen problematikus, mivel ezeket nem könnyű felismerni és megtisztítani.
Mivel a firmware-t maga az eszköz tárolja, a merevlemezek formázása, vagy akár kicserélése nincs hatással a számítógép fertőzött állapotára.
Mivel ezen felül nehéz a felismerés, általános, hogy a támadás típusa hosszú ideig észrevétlenül megy végbe.
A Virustotal által támogatott firmware szkennelése sok szempontból működik, mint például a fájlok normál szkennelése. Az alapvető különbség az, hogy miként szerezzük be a firmware-t.
Noha felhasználható a gyártó webhelyéről letöltött firmware tesztelésére, gyakoribb igény az inkább az eszköz telepített firmware-jének tesztelése.
A fő kérdés itt az, hogy a firmware-t le kell dobni, hogy ez megtörténjen. A Virustotal webhelyén található blogbejegyzés számos eszközt mutat be (többnyire forráskódként vagy Unix / Linux rendszerekhez), amelyeket a felhasználók használhatnak firmware-nek a működtetett eszközökre történő lerakására.
A fájl elemzése első pillantásra megegyezik a többi fájl elemzésével, ám a „fájl részletei” fül és az „kiegészítő információk” fül olyan konkrét információkat fed fel, amelyek mélyreható információkat kínálnak ezen felül.
A 'fájl részletei' fül információkat tartalmaz a tartalmazott fájlokról, a ROM verziójáról, az építkezés dátumáról és az építkezéshez kapcsolódó egyéb információkról.
Kiegészítő információk a fájl azonosító adatai és a forrás részletei.
Az új eszköz a következő feladatokat hajtja végre Virustotal szerint:
Az Apple Mac BIOS észlelése és jelentése.
Húr-alapú márka heurisztikus észlelése a célrendszerek azonosításához.
Tanúsítványok kibontása mind a firmware-lemezképből, mind a benne lévő végrehajtható fájlokból.
PCI osztály kódolás, amely lehetővé teszi az eszköz osztály azonosítását.
Az ACPI táblázatok címkézik a kibontást.
Az NVAR változónevek felsorolása.
Opció ROM kivonás, belépési pont dekompiláció és PCI szolgáltatások felsorolása.
A BIOS hordozható végrehajtható fájlok kibontása és a képen található potenciális Windows futtatható fájlok azonosítása.
Az SMBIOS jellemzőinek jelentése.
Itt különös figyelmet fordít a hordozható BIOS futtatható fájlok kibontása. A Virustotal kibontja ezeket a fájlokat, és egyénileg benyújtja azonosítás céljából. Az információk, például a kívánt operációs rendszer célkitűzése a beolvasás után több információ között felfedésre kerül.
A következő a vizsgálat eredménye kiemeli a Lenovo rootkit-jét (NovoSecEngine2 formájában), a második frissített firmware Lenovo eszközökhöz, ahol eltávolították.
Záró szavak
A Virustotal új firmware-beolvasási lehetősége üdvözlő lépés a helyes irányba. Noha ez a helyzet, ez most speciális szolgáltatás marad, mivel nehéz firmware-kat kinyerni az eszközökről és értelmezni az eredményeket.