Virustotal: Scan firmware for tegn på manipulation

• Kategori: Sikkerhed

Prøv Vores Instrument Til At Fjerne Problemer

Vælg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vælg Et Projektionsprojekt (Valgfrit) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Dit Problem

Få Et Svar

Send Mig Via E -Mail Vis På Webstedet

Googles populære online virusscanningsservice Virustotal modtaget en opdatering for nylig, der gør det muligt for brugere af tjenesten at scanne firmware ligesom andre filer.

En af de største styrker af VirusTotal er dens multi-engine scanning support, der tester filer, der er uploadet til tjenesten ved hjælp af mere end 40 forskellige antivirusmotorer.

Tjenesten er blevet udvidet flere gange, lige siden den blev erhvervet af Google, der blandt andet forbedrede scanningsparametre.

Den seneste tilføjelse til Virustotal er support til firmwarescanninger, der gør det muligt for brugere af tjenesten at uploade firmwarebilleder, dumpet eller downloadet, til tjenesten for at finde ud af, om de er (sandsynligvis) legitime eller er blevet manipuleret.

Virustotal firmwarescanning

Mens de fleste malware inficerer systemer på softwaresiden af ​​tingene, er firmware-malware især problematisk, da det ikke er let at opdage eller at rengøre.

Da firmware er gemt på selve enheden, har formatering af harddiske eller endda udskiftning af dem ingen indflydelse på den inficerede tilstand på en computer.

Da detektering er vanskelig oven på det, er det almindeligt, at angrebstypen forbliver ubemærket i lang tid.

Scanning af firmware, som Virustotal understøtter, fungerer i mange henseender som den normale scanning af filer. Kernen forskellen er, hvordan firmwaren erhverves.

Selvom det kan bruges til at teste firmware, der downloades fra en producentens websted, er et mere almindeligt behov ønsket om at teste enhedens installerede firmware i stedet.

Det vigtigste spørgsmål her er, at firmwaren skal dumpes for, at det kan ske. Blogindlægget på Virustotal-webstedet fremhæver flere værktøjer (mest som kildekode eller til Unix / Linux-systemer), som brugerne kan bruge til at dumpe firmware på enheder, de bruger.

Analysen af ​​filen ser identisk med den fra andre filer ved første øjekast, men fanen 'Fildetalje' og fanerne 'Yderligere information' afslører specifikke oplysninger, der tilbyder dybdegående oplysninger ovenpå.

Fanen 'filoplysninger' indeholder oplysninger om de indeholdte filer, ROM-version, build-dato og anden build-relaterede oplysninger.

Yderligere informationsliste filidentifikationsoplysninger og kildedetaljer.

Det nye værktøj udfører følgende opgaver i henhold til Virustotal:

Apple Mac BIOS-registrering og rapportering.
Strengebaseret brand heuristisk detektion, til at identificere målsystemer.
Uddrag af certifikater både fra firmwarebilledet og fra eksekverbare filer, der er indeholdt i det.
PCI-klassekodeopregning, der muliggør identifikation af enhedsklasse.
ACPI-tabeller tagsekstraktion.
NVAR-variabel navneopregning.
Ekstraktion af ROM-ekstraktion, dekompilering af indgangspunkt og PCI-funktionsliste.
Ekstraktion af BIOS bærbare eksekverbare computere og identifikation af potentielle Windows eksekverbare filer indeholdt i billedet.
Rapportering af SMBIOS-egenskaber.

Ekstraktionen af ​​bærbare BIOS-eksekverbare computere er af særlig interesse her. Virustotal udtrækker disse filer og indsender dem til identifikation individuelt. Oplysninger såsom det tilsigtede operativsystemmål afsløres blandt andet efter scanningen.

Det følgende scanningsresultatet fremhæver Lenovos rootkit (i form af NovoSecEngine2), Sekundet en opdateret firmware til Lenovo-enheder, hvor den er blevet fjernet.

Lukende ord

Virustotals nye firmwareskanningsmulighed er et velkomment trin i den rigtige retning. Selvom det er tilfældet, vil det forblive en specialiseret service i øjeblikket på grund af vanskeligheden ved at udtrække firmware fra enheder og fortolke resultaterne.