Virustotal: скануйте прошивку на наявність ознак маніпуляції
- Категорія: Безпека
Популярний в Інтернеті сервіс сканування вірусів Google Virustotal отримано оновлення, яке нещодавно дозволяє користувачам сервісу сканувати програмне забезпечення, як і інші файли.
Один з найбільших сильних сторін Росії Вірустотальний є його багатомоторною підтримкою сканування, яка тестує файли, завантажені в службу, використовуючи понад 40 різних антивірусних систем.
Послуга була розширена кілька разів з тих пір, як вона була придбана компанією Google, покращуючи параметри сканування серед іншого.
Найновішим доповненням до Virustotal є підтримка сканування програмного забезпечення, яка дозволяє користувачам сервісу завантажувати зображення, вбудовані або завантажені мікропрограми, на сервіс, щоб дізнатись, чи є вони (ймовірно) законними чи ними маніпулювали.
Сканування вірусного програмного забезпечення
Хоча більшість шкідливих програм заражає системи з боку програмного забезпечення речей, але програмне забезпечення зловмисне програмне забезпечення є особливо проблематичним, оскільки його не легко виявити і не очистити.
Оскільки прошивка зберігається на самому пристрої, форматування жорстких дисків або навіть їх заміна не впливає на інфікований стан комп'ютера.
Оскільки виявлення важко, крім того, звичайно, що тип атаки тривалий час проходить непомітно.
Сканування мікропрограмного забезпечення, яке підтримує Virustotal, працює в багатьох аспектах, як звичайне сканування файлів. Основна відмінність полягає в тому, як придбано прошивку.
Хоча його можна використовувати для тестування прошивки, завантаженої з веб-сайту виробника, більш поширеною потребою є бажання перевірити встановлену мікропрограму пристрою.
Основне питання тут полягає в тому, що для того, щоб це відбулося, потрібно прокинути програмне забезпечення. Повідомлення в блозі на веб-сайті Virustotal висвітлює кілька інструментів (в основному як вихідний код або для систем Unix / Linux), якими користувачі можуть скористатися для скидання прошивки на пристроях, на яких вони працюють.
Аналіз файлу на перший погляд виглядає ідентичним аналогічним для інших файлів, але на вкладці «Деталі файлу» та на вкладках «Додаткова інформація» виявляється конкретна інформація, яка надає глибоку інформацію.
На вкладці 'Інформація про файл' входить інформація про файли, що містяться, версію ROM, дату складання та іншу інформацію, що стосується збірки.
Ідентифікаційна інформація про файл додаткової інформації та джерела.
Новий інструмент виконує наступні завдання відповідно до Virustotal:
Виявлення та звітування BIOS від Apple Mac.
Евристичне виявлення на основі рядків для виявлення цільових систем.
Витяг сертифікатів як із зображення мікропрограмного забезпечення, так і з файлів, що містяться в ньому.
Перерахування коду класу PCI, що дозволяє ідентифікувати клас пристрою.
Вилучення тегів ACPI таблиць.
Перерахування імен змінних NVAR.
Опція вилучення ПЗУ, декомпіляція точки вступу та перелік функцій PCI.
Витяг портативних виконуваних файлів BIOS та ідентифікація потенційних виконуваних файлів Windows, що містяться в зображенні.
Звітність про характеристики SMBIOS.
Тут особливо зацікавлений видобуток портативних виконуваних файлів BIOS. Virustotal витягує ці файли та подає їх для ідентифікації окремо. Така інформація, як передбачувана ціль операційної системи, виявляється серед іншої інформації після сканування.
Наступне результат сканування підкреслює руткіт Lenovo (у формі NovoSecEngine2), секунда оновлена прошивка для пристроїв Lenovo, з якої вона була видалена.
Заключні слова
Новий варіант сканування програмного забезпечення Virustotal - це бажаний крок у правильному напрямку. Хоча це так, поки що це залишатиметься спеціалізованою службою через труднощі з вилученням мікропрограмного забезпечення з пристроїв та інтерпретацією результатів.