Googles populære online-virus skanning service Virustotal har fått en oppdatering i det siste som gjør det mulig for brukere av tjenesten til å skanne firmware akkurat som andre filer.
En av de største styrkene til Virustotal er sin multi-engine skanning støtte som tester filer som er lastet opp til tjenesten ved hjelp av mer enn 40 forskjellige antivirus-motorer.
Tjenesten har blitt utvidet flere ganger siden den ble kjøpt opp av Google for å forbedre scan parametere, blant andre ting.
Den nyeste tillegg til Virustotal er støtte for firmware skanner som gjør det mulig for brukere av tjenesten til å laste opp firmware bilder, dumpet eller lastet ned, til tjenesten for å finne ut om de er (sannsynligvis) legitim eller har blitt manipulert.
Virustotal firmware skanning
Mens de fleste malware infiserer systemer på software-siden av ting, firmware malware er spesielt problematisk som det er ikke lett å oppdage eller å rengjøre.
Siden firmware er lagret på enheten selv, formatering av harddisker eller til og med bytter dem har ingen effekt på den infiserte tilstanden til en datamaskin.
Siden oppdagelsen er vanskelig på toppen av det, er det vanlig at den type angrep som går ubemerket for en lang tid.
Skanning av firmware som Virustotal støtter fungerer i mange hensyn som vanlig skanning av filer. Kjernen forskjellen er hvordan firmware er ervervet.
Mens det kan brukes til å teste firmware som er lastet ned fra produsentens hjemmeside, en mer felles behov er ønsket om å teste firmware installert på enheten i stedet.
Det største problemet her er at firmware behov for å bli dumpet for at det skal skje. Blogg innlegget på Virustotal nettstedet høydepunkter flere verktøy (for det meste som kilde kode eller for Unix/Linux-systemer) som brukere kan gjøre bruk av for å dumpe firmware på enheter de opererer.
Analyse av filen ser ut på samme måte som andre filer på første øyekast, men “fil detalj” – kategorien og “ytterligere informasjon” faner viser spesifikk informasjon som tilbyr dyptgående informasjon på toppen av det.
“File details” kategorien inneholder informasjon om den inneholdt filer, ROM-versjonen, bygge dato og andre bygg-relatert informasjon.
Ytterligere informasjon listen fil identifikasjon informasjon og kilde detaljer.
Det nye verktøyet utfører følgende oppgaver i henhold til Virustotal:
Apple Mac BIOS-deteksjon og rapportering.
Strenger-baserte merkevare heuristisk gjenkjenning, for å identifisere mål systemer.
Utvinning av sertifikater både fra firmware bilde og fra kjørbare filer som finnes i den.
PCI-klasse-kode opplisting, slik at enheten klasse identifikasjon.
ACPI tabeller koder utvinning.
NVAR variabel navn opplisting.
Option ROM utvinning, inngangspunkt dekompilering og PCI-funksjonen liste.
Utvinning av BIOS-Bærbar Kjørbare filer og identifisering av potensielle Windows-Kjørbare filer som finnes i bildet.
SMBIOS egenskaper rapportering.
Utvinning av BIOS-bærbar kjørbare filer er av spesielt interesserte her. Virustotal ekstrakter filer og sender dem for identifisering individuelt. Informasjon som hadde til hensikt å operativsystem målet er avdekket blant annet informasjon etter skanning.
Følgende scan resultat høydepunkter Lenovos rootkit (i form av NovoSecEngine2), den andre en oppdatert firmware for Lenovo enheter der det har vært fjernet.
Avsluttende Ord
Virustotal er ny firmware skanning alternativet er en velkommen skritt i riktig retning. Mens det er tilfelle, vil det fortsatt være en spesialisert tjeneste for nå grunn til at det er vanskelig å trekke ut firmware fra enheter og tolke resultatene.