Virustotal: Vyhledejte firmware, zda neobsahuje známky manipulace

• Kategorie: Bezpečnostní

Vyzkoušejte Náš Nástroj Pro Odstranění Problémů

Vyberte Operační Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekce (Volitelně) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popište Svůj Problém

Získejte Odpověď

Pošlete Mi E -Mailem Zobrazit Na Webu

Populární online služba pro vyhledávání virů společnosti Google Virustotal přijato poslední aktualizace, která uživatelům služby umožňuje skenovat firmware stejně jako jiné soubory.

Jedna z největších silných stránek Virtuální je jeho podpora skenování s více motory, která testuje soubory nahrané do služby pomocí více než 40 různých antivirových modulů.

Služba byla několikrát rozšířena od doby, kdy byla získána společností Google, mimo jiné zlepšující parametry skenování.

Nejnovějším přírůstkem do Virustotal je podpora prohledávání firmwaru, která umožňuje uživatelům služby nahrávat firmwarové obrazy, výpisy nebo stažené, do služby, aby zjistili, zda jsou (pravděpodobně) legitimní nebo zda byly zmanipulovány.

Virtuální skenování firmwaru

Zatímco většina škodlivého softwaru infikuje systémy na softwarové straně, malware firmwaru je obzvláště problematický, protože není snadné jej zjistit ani vyčistit.

Protože je firmware uložen na samotném zařízení, formátování pevných disků ani jejich nahrazení nemá žádný vliv na infikovaný stav počítače.

Vzhledem k tomu, že detekce je navíc obtížná, je běžné, že typ útoku zůstává dlouho bez povšimnutí.

Prohledávání firmwaru, které Virustotal podporuje, funguje v mnoha ohledech, jako je běžné skenování souborů. Hlavní rozdíl spočívá v tom, jak se firmware získává.

I když může být použit k testování firmwaru, který je stažen z webové stránky výrobce, běžnější potřebou je touha namísto toho vyzkoušet nainstalovaný firmware zařízení.

Hlavním problémem je, že k tomu musí být firmwarový výpis vybrán. Příspěvek na blogu na webu Virustotal zdůrazňuje několik nástrojů (většinou jako zdrojový kód nebo pro systémy Unix / Linux), které uživatelé mohou využít k výpisu firmwaru na zařízení, která používají.

Analýza souboru vypadá na první pohled totožně s analýzou ostatních souborů, ale záložka „podrobnosti souboru“ a záložka „další informace“ odhalují konkrétní informace, které navíc nabízejí podrobné informace.

Karta „Podrobnosti souboru“ obsahuje informace o obsažených souborech, verzi ROM, datu sestavení a dalších souvisejících informacích.

Další informace o identifikaci souboru a informace o zdroji.

Nový nástroj provádí podle Virustotal následující úkoly:

Detekce a hlášení Apple Mac BIOS.
Řetězcová heuristická detekce řetězců pro identifikaci cílových systémů.
Extrakce certifikátů jak z obrazu firmwaru, tak z spustitelných souborů v něm obsažených.
Výčet kódu třídy PCI, který umožňuje identifikaci třídy zařízení.
Extrakce značek tabulek ACPI.
Výčet jmen proměnných NVAR.
Extrahování ROM, dekompilace vstupních bodů a výpis funkcí PCI.
Extrakce přenosných spustitelných souborů systému BIOS a identifikace potenciálních spustitelných souborů systému Windows obsažených v obrazu.
Hlášení charakteristik SMBIOS.

Zvláště se zde zajímá extrakce přenosných spustitelných souborů BIOS. Virustotal tyto soubory extrahuje a odešle je pro identifikaci jednotlivě. Informace, jako je zamýšlený cíl operačního systému, se po skenování odhalí mimo jiné.

Následující výsledek testu zdůrazňuje rootkit společnosti Lenovo (ve formě NovoSecEngine2), druhý aktualizovaný firmware pro zařízení Lenovo, kde byl odstraněn.

Závěrečná slova

Nová možnost skenování firmwaru společnosti Virustotal je vítaným krokem správným směrem. I když tomu tak je, zůstane prozatím specializovanou službou kvůli obtížnosti extrahování firmwaru ze zařízení a interpretaci výsledků.