Googles populære online virus scanning service Virustotal modtaget en opdatering for nylig, der gør det muligt for brugere af tjenesten til at scanne firmware ligesom andre filer.
En af de største styrker ved Virustotal er multi-motor scanning støtte, som tester filer, der uploades til tjenesten ved hjælp af mere end 40 forskellige antivirus-motorer.
Service er blevet udvidet flere gange nogensinde, da det blev opkøbt af Google forbedre scanningsparametre, blandt andre ting.
Den seneste tilføjelse til Virustotal er støtte til firmware-scanninger, som gør det muligt for brugere af tjenesten, at upload af firmware-billeder, dumpet eller downloadet, at den tjeneste at finde ud af, om de er (sandsynligvis) er legitime, eller er blevet manipuleret.
Virustotal firmware scanning
Mens de fleste malware inficerer systemer på software-siden af ting, firmware malware er især problematisk, da det ikke er let at finde eller at rengøre.
Da firmware er gemt på enheden, i sig selv, formatering af harddiske eller endda erstatte dem har ingen effekt på den inficerede tilstand af en computer.
Da opdagelse er vanskelig, på toppen af, at det er almindeligt, at angrebet type går upåagtet hen i lang tid.
Scanning af firmware, der Virustotal understøtter fungerer i mange henseender som den normale scanning af filer. Den centrale forskel er, hvordan firmware er erhvervet.
Mens det kan bruges til at teste firmware, der downloades fra producentens hjemmeside, en mere udbredt brug for, er lysten til at teste den installerede firmware til enheden i stedet for.
Det vigtigste spørgsmål her er, at den firmware brug for at blive dumpet til at ske. Blog-indlæg på Virustotal hjemmeside fremhæver flere værktøjer (for det meste som kildekode eller for Unix/Linux-systemer), som brugere kan gøre brug af til at dumpe firmware på enheder, de opererer på.
Analysen af den fil, der er identisk med til, at andre filer på første øjekast, men “file detaljer” fanen og “yderligere oplysninger” faner viser specifikke oplysninger, der tilbyder dybdegående information på toppen af det.
“Filoplysninger” fane indeholder oplysninger om de filer, der er indeholdt, ROM-version, byg dato og andre bygge-relaterede oplysninger.
Yderligere oplysninger liste fil identifikation oplysninger og en kilde detaljer.
Det nye værktøj udfører følgende opgaver i henhold til Virustotal:
Apple Mac BIOS opdagelse og rapportering.
Strenge-baseret brand, heuristisk detektion, at identificere mål-systemer.
Udvinding af certifikater både fra firmware image og fra eksekverbare filer, der er indeholdt i det.
PCI-klasse kode tælling, så enheden klasse identifikation.
ACPI tabeller tags udvinding.
NVAR variabel navne tælling.
Option ROM-udvinding, indgang dekompilering og PCI-funktionen oversigt.
Udvinding af BIOS Bærbare Eksekverbare og identifikation af potentielle Windows Eksekverbare filer, der er indeholdt i billedet.
SMBIOS egenskaber rapportering.
Udvinding af BIOS bærbare eksekverbare er af særlig interesseret her. Virustotal ekstrakter disse filer og sender dem til identifikation individuelt. Oplysninger, som er bestemt operativsystem mål er afsløret, blandt andre oplysninger efter scanningen.
Følgende scan resultat fremhæver Lenovo ‘ s rootkit (i form af NovoSecEngine2), den anden en opdateret firmware til Lenovo-enheder, hvor den er blevet fjernet.
Afsluttende Ord
Virustotal er ny firmware scanning mulighed, er et positivt skridt i den rigtige retning. Mens det er tilfældet, vil det fortsat være en specialiseret service til nu, på grund af vanskeligheden med at udvinde firmware fra enheder og fortolke resultaterne.