Virustotal: Scansiona il firmware per rilevare eventuali segni di manipolazione
- Categoria: Sicurezza
Il popolare servizio di scansione antivirus online di Google Virustotal ricevuto un aggiornamento recente che consente agli utenti del servizio di scansionare il firmware proprio come gli altri file.
Uno dei maggiori punti di forza di VirusTotal è il suo supporto di scansione multi-motore che testa i file caricati sul servizio utilizzando più di 40 diversi motori antivirus.
Il servizio è stato ampliato più volte da quando è stato acquisito da Google, migliorando tra le altre cose i parametri di scansione.
L'aggiunta più recente a Virustotal è il supporto per le scansioni del firmware che consente agli utenti del servizio di caricare immagini del firmware, scaricate o scaricate, sul servizio per scoprire se sono (probabilmente) legittime o sono state manipolate.
Scansione firmware virustotal
Sebbene la maggior parte dei malware infetti i sistemi sul lato software, il malware del firmware è particolarmente problematico in quanto non è facile da rilevare né da pulire.
Poiché il firmware è memorizzato sul dispositivo stesso, la formattazione dei dischi rigidi o anche la loro sostituzione non ha alcun effetto sullo stato infetto di un computer.
Dal momento che il rilevamento è difficile per di più, è normale che il tipo di attacco passi inosservato per molto tempo.
La scansione del firmware che Virustotal supporta funziona sotto molti aspetti come la normale scansione dei file. La differenza principale è come viene acquisito il firmware.
Sebbene possa essere utilizzato per testare il firmware scaricato dal sito Web di un produttore, un'esigenza più comune è il desiderio di testare invece il firmware installato del dispositivo.
Il problema principale qui è che il firmware deve essere scaricato affinché ciò avvenga. Il post sul blog sul sito web Virustotal mette in evidenza diversi strumenti (principalmente come codice sorgente o per sistemi Unix / Linux) che gli utenti possono utilizzare per scaricare il firmware sui dispositivi che operano.
L'analisi del file sembra identica a quella di altri file a prima vista, ma la scheda 'Dettagli file' e le schede 'Informazioni aggiuntive' rivelano informazioni specifiche che offrono informazioni approfondite oltre a quelle.
La scheda 'Dettagli file' include informazioni sui file contenuti, la versione della ROM, la data di build e altre informazioni relative alla build.
Ulteriori informazioni elencano le informazioni di identificazione del file e i dettagli della fonte.
Il nuovo strumento esegue le seguenti attività secondo Virustotal:
Rilevamento e reporting del BIOS di Apple Mac.
Rilevamento euristico del marchio basato su stringhe, per identificare i sistemi di destinazione.
Estrazione dei certificati sia dall'immagine del firmware che dai file eseguibili in essa contenuti.
Enumerazione del codice della classe PCI, che consente l'identificazione della classe del dispositivo.
Estrazione tag tabelle ACPI.
Enumerazione dei nomi delle variabili NVAR.
Estrazione della ROM opzionale, decompilazione del punto di ingresso e elenco delle funzionalità PCI.
Estrazione degli eseguibili portatili del BIOS e identificazione dei potenziali eseguibili di Windows contenuti nell'immagine.
Report delle caratteristiche SMBIOS.
L'estrazione degli eseguibili portatili BIOS è di particolare interesse qui. Virustotal estrae quei file e li invia per l'identificazione individualmente. Informazioni come la destinazione del sistema operativo previsto vengono rivelate tra le altre informazioni dopo la scansione.
Il seguente il risultato della scansione evidenzia il rootkit di Lenovo (sotto forma di NovoSecEngine2), il secondo un firmware aggiornato per i dispositivi Lenovo in cui è stato rimosso.
Parole di chiusura
La nuova opzione di scansione del firmware di Virustotal è un gradito passo nella giusta direzione. Anche se questo è il caso, per ora rimarrà un servizio specializzato a causa della difficoltà di estrarre il firmware dai dispositivi e interpretare i risultati.