Google, die beliebteste online-Virenscanner-Dienst Virustotal erhielt vor kurzem ein update, mit dem Nutzer von der service-scan-firmware genauso wie die anderen Dateien.
Eine der größten stärken von Virustotal ist seine multi-scan-engine-support-tests, Dateien hochgeladen, um den Dienst mit mehr als 40 verschiedenen Antiviren-engines.
Der service wurde mehrmals erweitert, seitdem es von Google übernommen worden die Verbesserung der scan-Parameter, unter anderem.
Die jüngste Ergänzung zu Virustotal ist die Unterstützung für firmware durchsucht die Nutzer des Dienstes zum hochladen von firmware-images, die verlassen werden oder heruntergeladen, um den Dienst, um herauszufinden, ob Sie (wahrscheinlich) legitim oder manipuliert worden ist.
Virustotal firmware Scannen
Während die meisten malware infiziert Systeme, die auf der software-Seite der Dinge, firmware-malware ist besonders problematisch, da es nicht einfach ist, zu erkennen noch zu reinigen.
Seit der firmware ist auf dem Gerät selbst hinterlegt, formatieren von Festplatten oder gar das ersetzen von Ihnen hat keinen Effekt auf die infizierten Zustand eines Computers.
Seit dem Nachweis ist schwierig, oben auf, dass, ist es üblich, dass der Angriff geht durch unbemerkt für eine lange Zeit.
Das Scannen von firmware, die auf Virustotal unterstützt, funktioniert in vielerlei Hinsicht wie die normalen Scannen von Dateien. Der Kern-Unterschied liegt darin, wie die firmware übernommen wird.
Während Sie kann verwendet werden, um test-firmware, die heruntergeladen von der Internetseite eines Herstellers, ein häufiger brauchen, ist der Wunsch zum testen der installierten firmware des Gerätes statt.
Das Hauptproblem hier ist, dass die firmware muss entleert werden, damit das passiert. Der blog-post auf der Virustotal-website hebt mehrere tools (meist als Quellcode oder für Unix/Linux-Systeme), die der Benutzer verwenden kann, um einen dump der firmware auf Geräte, die Sie bedienen.
Die Analyse der Datei sieht identisch mit anderen Dateien, die auf den ersten Blick, aber die “file-detail” – tab “zusätzliche Informationen” Registern bestimmte Informationen, die bieten in der Tiefe Daten.
Die “Datei details” tab enthält Informationen über die enthaltenen Dateien, ROM-version, build-Datum und anderen build-bezogene Informationen.
Zusätzliche Informationen Liste Datei-Identifikations-Informationen und die Quelle details.
Das neue tool führt die folgenden Aufgaben laut Virustotal:
Apple Mac BIOS-Erkennung und reporting.
Streicher-basierte Marke eine heuristische Erkennung, Identifizierung von Zielsystemen.
Extraktion von Zertifikaten sowohl von der firmware, Bild-und ausführbare Dateien, die in ihm enthalten.
PCI class code Aufzählung, so dass Geräteklasse-Identifikation.
ACPI Tabellen-tags-Extraktion.
NVAR Variablennamen enumeration.
Option ROM-Extraktion, Einstiegspunkt die Dekompilierung und die PCI-feature-Liste.
Extraktion von BIOS-Portable ausführbare Dateien und Identifizierung von möglichen Ausführbaren Windows-Dateien innerhalb der image.
SMBIOS Merkmale der Berichterstattung.
Die Gewinnung von BIOS portable executables ist von besonderem Interesse hier. Virustotal extrahiert die Dateien und legt diese für die Identifikation individuell. Informationen wie die beabsichtigte Betriebssystem Gegner aufgedeckt werden, unter anderen Informationen, die nach dem scan.
Die folgenden scan-Ergebnis-highlights von Lenovo rootkit (in form von NovoSecEngine2), die zweite eine aktualisierte firmware für Lenovo Geräte, bei denen es entfernt wurde.
Schlusswort
Virustotal ist eine neue firmware-scan-option ist ein willkommener Schritt in die richtige Richtung. Während das der Fall ist, wird es weiterhin eine spezielle Dienstleistung für jetzt wegen der Schwierigkeit der Extraktion der firmware von Geräten und die Interpretation der Ergebnisse.