Virustotal: Skanna fast programvara för tecken på manipulation

• Kategori: Säkerhet

Prova Vårt Instrument För Att Eliminera Problem

Välj Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Välj Ett Projektprogram (Valfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Ditt Problem

Få Svar

Skicka Mig Via E -Post Visa På Webbplatsen

Googles populära virusscanningstjänst online Virustotal mottagen en uppdatering nyligen som gör det möjligt för användare av tjänsten att skanna firmware precis som andra filer.

En av de största styrkorna hos Virustotal är dess scanningsstöd för flera motorer som testar filer som laddats upp till tjänsten med mer än 40 olika antivirusmotorer.

Tjänsten har utökats flera gånger sedan den förvärvades av Google och förbättrade skanningsparametrar bland annat.

Det senaste tillskottet till Virustotal är stöd för firmware-skanningar som gör det möjligt för användare av tjänsten att ladda upp firmwarebilder, dumpade eller ladda ner, till tjänsten för att ta reda på om de är (troligt) legitima eller har manipulerats.

Virustotal firmware-skanning

Medan de flesta skadliga program infekterar system på programvarans sida, är firmwareprogramvara särskilt problematisk eftersom det inte är lätt att upptäcka eller rengöra.

Eftersom firmware lagras på själva enheten har formatering av hårddiskar eller till och med byte av dem ingen inverkan på datorns infekterade tillstånd.

Eftersom detektering är svårt ovanpå det är det vanligt att attacktypen går obemärkt länge.

Skanning av firmware som Virustotal stöder fungerar i många avseenden som vanlig skanning av filer. Kärnskillnaden är hur firmware förvärvas.

Även om det kan användas för att testa firmware som laddas ner från en tillverkares webbplats, är ett vanligare behov önskan att testa den installerade firmware för enheten istället.

Huvudfrågan här är att firmware måste dumpas för att det ska hända. Blogginlägget på Virustotal-webbplatsen belyser flera verktyg (mestadels som källkod eller för Unix / Linux-system) som användare kan använda för att dumpa firmware på enheter de använder.

Analysen av filen ser identisk ut som den för andra filer vid första anblicken, men fliken 'fildetaljer' och flikarna 'ytterligare information' avslöjar specifik information som erbjuder djupgående information ovanpå detta.

Fliken 'fildetaljer' innehåller information om de innehållande filerna, ROM-version, byggdatum och annan byggrelaterad information.

Ytterligare informationslista filidentifieringsinformation och källdetaljer.

Det nya verktyget utför följande uppgifter enligt Virustotal:

Apple Mac BIOS-upptäckt och rapportering.
Strängbaserad varumärkesheuristisk detektion, för att identifiera målsystem.
Utdrag av certifikat både från firmware-bilden och från körbara filer som finns i den.
PCI-klassuppräkning, vilket gör det möjligt att identifiera enhetsklass.
ACPI-tabeller extraherar taggar.
NVAR-variabelnamnuppräkning.
Alternativ extraktion av ROM, dekompilering av ingångspunkter och PCI-funktionslista.
Extraktion av BIOS Portable Executables och identifiering av potentiella Windows Executables som finns i bilden.
SMBIOS egenskaper rapportering.

Utvinning av bärbara BIOS-bärbara körbara filer är av särskilt intresse här. Virustotal extraherar filerna och skickar in dem för identifiering individuellt. Information såsom det avsedda operativsystemmålet avslöjas bland annat efter skanningen.

Det följande skanningsresultat belyser Lenovos rootkit (i form av NovoSecEngine2), den andra en uppdaterad firmware för Lenovo-enheter där den har tagits bort.

Stängande ord

Virustotals nya alternativ för skanning av firmware är ett välkommet steg i rätt riktning. Även om detta är fallet kommer det att förbli en specialiserad tjänst för tillfället på grund av svårigheten att extrahera firmware från enheter och tolka resultaten.