Google ‘ s populaire online virus scanning service Virustotal een update gekregen sinds kort kunnen gebruikers van de service scan van de firmware net als andere bestanden.
Een van de belangrijkste sterke punten van Virustotal is de multi-engine ondersteunt het scannen van die tests bestanden uploaden naar de dienst met meer dan 40 verschillende verschillende antivirusprogramma ‘ s gecontroleerd.
De dienst heeft al meerdere malen uitgebreid sinds het werd overgenomen door Google verbetering van de scan parameters, onder andere dingen.
De meest recente toevoeging aan Virustotal is ondersteuning voor firmware-scans waarmee gebruikers van de service voor het uploaden van de firmware beelden, gedumpt of gedownload, om de dienst uit te vinden of ze zijn (waarschijnlijk) legitiem is of zijn gemanipuleerd.
Virustotal firmware scannen
Hoewel de meeste malware infecteert systemen op de software-kant van de dingen, firmware-malware is vooral problematisch als het niet gemakkelijk is om te detecteren of te reinigen.
Sinds firmware is opgeslagen op het apparaat zelf, het formatteren van harde schijven of zelfs het vervangen van hen heeft geen effect op de besmette toestand van een computer.
Sinds detectie is moeilijk op de top van dat, het is gebruikelijk dat de type aanval gaat door ongemerkt voor een lange tijd.
Het scannen van de firmware die Virustotal ondersteunt werkt in veel opzichten als het normaal scannen van bestanden. De kern van het verschil is hoe de firmware is verworven.
Hoewel het kan worden gebruikt om te testen firmware gedownload van de website van de fabrikant, een meer gemeenschappelijke nodig hebt is de wens om het testen van de geïnstalleerde firmware van het apparaat.
Het belangrijkste probleem hier is dat de firmware moet worden gedumpt voor dat dat gebeurt. De blog post over de Virustotal-website wijst op meerdere instrumenten (vooral als broncode of voor Unix/Linux systemen) die gebruikers kunnen gebruik maken van de dump van de firmware op de apparaten die zij bedienen.
De analyse van het bestand identiek aan die van andere bestanden die op het eerste gezicht, maar het “bestand ” detail” tabblad “extra informatie” tabbladen openbaarmaking van bepaalde gegevens die bieden in de diepte informatie op de top van dat.
De “details van een bestand” tabblad bevat informatie over de bestanden, ROM versie, build datum en andere bouw gerelateerde informatie.
Aanvullende informatie lijst bestand identificatie-informatie en bron van de gegevens.
De nieuwe tool voert de volgende taken uit volgens Virustotal:
Apple Mac BIOS detectie en melding.
Snaren-based merk heuristische detectie, identificatie van de doel systemen.
Winning van certificaten zowel van de firmware afbeelding en van uitvoerbare bestanden die het bevat.
PCI-klasse code opsomming, waardoor apparaat van klasse identificatie.
ACPI tabellen tags extractie.
NVAR de namen van de variabele opsomming.
Option ROM winning, invoer punt decompilatie en PCI kenmerk lijst.
De extractie van de BIOS-Draagbare programma ‘ s en identificatie van potentiële Windows Uitvoerbare bestanden die zijn opgenomen in het beeld.
SMBIOS kenmerken rapportage.
De winning van BIOS-draagbare uitvoerbare bestanden is in het bijzonder geïnteresseerd zijn hier. Virustotal extracten die bestanden en legt deze voor de identificatie individueel. Informatie zoals de bedoeling besturingssysteem doel worden onthuld onder andere informatie na de scan.
De volgende scan resultaat hoogtepunten van Lenovo rootkit (in de vorm van NovoSecEngine2), de tweede een bijgewerkte firmware voor de Lenovo-apparaten waar het is verwijderd.
Slotwoord
Virustotal is nieuwe firmware optie scannen is een welkome stap in de goede richting. Terwijl dat het geval is, blijft een gespecialiseerde dienst voor nu te wijten aan de moeilijkheid van het extraheren van de firmware van de apparaten en het interpreteren van de resultaten.