Google popolare antivirus online il servizio di scansione Virustotal ha ricevuto un aggiornamento recente che consente agli utenti del servizio di scansione del firmware come gli altri file.
Uno dei maggiori punti di forza di Virustotal è il suo multi-motore di supporto per l’acquisizione di prove che i file caricati dal servizio con più di 40 diversi motori antivirus.
Il servizio è stato ampliato più volte, fin da quando è stata acquisita da Google di migliorare i parametri di scansione tra le altre cose.
L’aggiunta più recente alla Virustotal è il supporto per il firmware scansioni che consente agli utenti del servizio per caricare le immagini del firmware, scaricato o scaricati, per il servizio di scoprire se essi sono (probabilmente) legittimo o sono stati manipolati.
Virustotal firmware scansione
Mentre la maggior parte dei malware che infetta i sistemi di software, firmware malware è particolarmente problematico, in quanto non è facile rilevare né da pulire.
Dal firmware è memorizzato sul dispositivo stesso, la formattazione dei dischi rigidi o addirittura la sostituzione non ha alcun effetto sul infetto stato di un computer.
Poiché la rilevazione è difficile in cima a quello, è comune che il tipo di attacco che passa inosservato per un lungo periodo di tempo.
La scansione del firmware che Virustotal supporta opere in molti aspetti come la normale scansione di file. Il core la differenza è come il firmware è acquisito.
Mentre può essere utilizzato per testare il firmware scaricato dal sito web del produttore, di un più bisogno comune è il desiderio di mettere alla prova il firmware installato il dispositivo.
Il problema principale qui è che il firmware deve essere oggetto di dumping per che ciò accada. Il post sul blog sul sito Virustotal evidenzia diversi strumenti (per lo più in forma di codice sorgente o per sistemi Unix/Linux) che gli utenti possono utilizzare per eseguire il dump del firmware su dispositivi operano.
L’analisi del file è identico a quello di altri file su una prima occhiata, ma il file di “dettaglio” della scheda ” e “ulteriori informazioni” schede rivelare informazioni specifiche che offrono informazioni approfondite sulla cima di che.
Il file di “dettagli” per la scheda include informazioni circa il contenuto dei file, la versione della ROM, la data di compilazione e altre informazioni correlate.
Ulteriori informazioni elenco di file di informazioni di identificazione e dettagli di origine.
Il nuovo strumento consente di eseguire le seguenti operazioni in base a Virustotal:
Apple Mac BIOS di rilevazione e di segnalazione.
Corde-brand di rilevamento euristico, per identificare sistemi di destinazione.
L’estrazione dei certificati sia da l’immagine del firmware e file eseguibili in esso contenute.
PCI classe codice di enumerazione, permettendo di classe di dispositivo di identificazione.
Tabelle ACPI tag estrazione.
NVAR i nomi delle variabili di enumerazione.
Option ROM, l’estrazione, il punto di ingresso decompilazione e PCI funzione di listing.
Estrazione del BIOS del Portatile di file Eseguibili e l’identificazione di potenziali Eseguibili Windows contenute nell’immagine.
SMBIOS caratteristiche di reporting.
L’estrazione del BIOS file eseguibili portatili è di speciale interessati qui. Virustotal estratti i file e li sottopone per l’identificazione individuale. Informazioni come il sistema operativo desiderato di destinazione sono rivelate tra le altre informazioni dopo la scansione.
Il seguente risultato della scansione evidenzia Lenovo rootkit (in forma di NovoSecEngine2), il secondo un firmware aggiornato per Lenovo dispositivi in cui è stato rimosso.
Parole Di Chiusura
Virustotal è un nuovo firmware opzione di scansione è un passo positivo nella giusta direzione. Mentre questo è il caso, resta un servizio specializzato per ora, a causa della difficoltà di estrazione del firmware dei dispositivi e l’interpretazione dei risultati.