Virustotal: Skanna firmware för tecken på manipulation

0
208

Googles populära online virus scanning service Virustotal fått en uppdatering nyligen som gör det möjligt för användare av tjänsten för att skanna firmware precis som andra filer.

En av de största styrkorna med Virustotal är multi-motor skanning stöd som testar filer som laddas upp till tjänsten med hjälp av mer än 40 olika antivirus program.

Tjänsten har utökats flera gånger ända sedan det köptes upp av Google för att förbättra scan parametrar bland annat.

Det senaste tillskottet till Virustotal är stöd för firmware-genomsökningar som gör det möjligt för användare av tjänsten för att ladda upp firmware bilder, dumpad eller laddas ner till tjänsten för att ta reda på om de är (sannolikt) legitima eller har manipulerats.

Virustotal firmware skanning

Medan de flesta malware infekterar system på program-sidan av saker och ting, firmware malware är särskilt problematisk eftersom det inte är lätt att upptäcka eller att rengöra.

Eftersom firmware lagras på enheten själv, formatering av hårddiskar eller till och med ersätta dem har ingen effekt på den infekterade tillstånd av en dator.

virustotal firmware scan

Sedan upptäckt är svårt på toppen av det, det är vanligt att attacken typ går obemärkt förbi, för en lång tid.

Skanning av firmware som Virustotal stöder fungerar i många avseenden som den normala genomsökning av filer. Den grundläggande skillnaden är hur firmware är förvärvade.

Samtidigt som den kan användas för att testa firmware som laddas ner från tillverkarens hemsida, en mer gemensam behöver är viljan att testa installerat firmware-enhet istället.

Den viktigaste frågan här är att den fasta programvaran måste dumpas för att det ska hända. Blogginlägg på Virustotal webbplats lyfter fram flera verktyg (främst som källkod eller för Unix/Linux-system) som användare kan använda för att dumpa firmware på enheter som de använder.

Analysen av filen ser identisk med den som av andra filer på första blick, men “fil detaljer” – fliken och “ytterligare information” flikar visar särskild information om att erbjuda fördjupad information på toppen av det.

I “detaljer” – fliken innehåller information om filer som finns, ROM-version, bygga datum och andra bygga relaterad information.

Ytterligare information lista fil id-information och källa för mer information.

Det nya verktyget utför följande uppgifter enligt Virustotal:

Apple Mac BIOS upptäckt och rapportering.
Strängar-baserat märke heuristisk identifiering, för att identifiera mål-system.
Utvinning av intyg både från avbildningen och från körbara filer som finns i den.
PCI-klass kod uppräkning, vilket gör att enheten klass identifiering.
ACPI tabeller-taggar utvinning.
NVAR variabelnamn uppräkning.
Option ROM utvinning, entry point dekompilering och PCI har notering.
Utvinning av BIOS Portabla Körbara filer och identifiering av potentiella Windows Körbara filer som finns i bilden.
SMBIOS egenskaper rapportering.

Utvinning av BIOS portabla körbara filer är särskilt intresserade här. Virustotal extraherar filerna och skickar in dem för identifiering individuellt. Information som är avsedd operativsystem målet är visat bland annat efter sökningen.

Följande scan resultat belyser Lenovos rootkit (i form av NovoSecEngine2), den andra en uppdaterad firmware för Lenovo enheter där det har tagits bort.

Avslutande Ord

Virustotal nya firmware-skanning alternativet är ett välkommet steg i rätt riktning. Samtidigt så är fallet, det kommer att förbli en specialiserad service för nu på grund av svårigheten att utvinna firmware från enheter och tolka resultaten.