Virustotal: Scannen Sie die Firmware auf Anzeichen von Manipulation
- Kategorie: Sicherheit
Googles beliebter Online-Virenscan-Dienst Virustotal empfangen Ein kürzlich durchgeführtes Update, mit dem Benutzer des Dienstes Firmware wie andere Dateien scannen können.
Eine der größten Stärken von Virustotal ist die Unterstützung für das Scannen mehrerer Engines, mit der Dateien, die in den Dienst hochgeladen wurden, mit mehr als 40 verschiedenen Antiviren-Engines getestet werden.
Der Dienst wurde seit seiner Übernahme durch Google mehrmals erweitert und verbessert unter anderem die Scan-Parameter.
Der jüngste Neuzugang bei Virustotal ist die Unterstützung von Firmware-Scans, mit denen Benutzer des Dienstes ausgelagerte oder heruntergeladene Firmware-Images in den Dienst hochladen können, um festzustellen, ob sie (wahrscheinlich) legitim sind oder manipuliert wurden.
Virustotal Firmware-Scan
Während die meisten Malware-Systeme Systeme auf der Softwareseite infizieren, ist Firmware-Malware besonders problematisch, da sie weder leicht zu erkennen noch zu bereinigen ist.
Da die Firmware auf dem Gerät selbst gespeichert ist, hat das Formatieren oder sogar Ersetzen von Festplatten keine Auswirkungen auf den infizierten Zustand eines Computers.
Da die Erkennung darüber hinaus schwierig ist, ist es üblich, dass der Angriffstyp lange Zeit unbemerkt bleibt.
Das von Virustotal unterstützte Scannen von Firmware funktioniert in vielerlei Hinsicht wie das normale Scannen von Dateien. Der Hauptunterschied besteht darin, wie die Firmware erworben wird.
Während es zum Testen von Firmware verwendet werden kann, die von der Website eines Herstellers heruntergeladen wurde, besteht ein häufigerer Bedarf darin, stattdessen die installierte Firmware des Geräts zu testen.
Das Hauptproblem hierbei ist, dass die Firmware dafür entleert werden muss. Der Blog-Beitrag auf der Virustotal-Website hebt verschiedene Tools hervor (hauptsächlich als Quellcode oder für Unix / Linux-Systeme), mit denen Benutzer Firmware auf von ihnen betriebenen Geräten sichern können.
Die Analyse der Datei sieht auf den ersten Blick identisch mit der anderer Dateien aus, aber auf den Registerkarten 'Dateidetails' und 'Zusätzliche Informationen' werden spezifische Informationen angezeigt, die darüber hinaus ausführliche Informationen enthalten.
Die Registerkarte 'Dateidetails' enthält Informationen zu den enthaltenen Dateien, der ROM-Version, dem Erstellungsdatum und anderen erstellungsbezogenen Informationen.
Zusätzliche Informationen Liste Identifikationsinformationen und Quellendetails.
Das neue Tool führt die folgenden Aufgaben gemäß Virustotal aus:
Apple Mac BIOS-Erkennung und Berichterstellung.
Strings-basierte heuristische Markenerkennung zur Identifizierung von Zielsystemen.
Extraktion von Zertifikaten sowohl aus dem Firmware-Image als auch aus den darin enthaltenen ausführbaren Dateien.
PCI-Klassencode-Aufzählung, die die Identifizierung von Geräteklassen ermöglicht.
Extraktion von ACPI-Tabellen-Tags.
Aufzählung der NVAR-Variablennamen.
Option ROM-Extraktion, Einstiegspunktdekompilierung und Auflistung der PCI-Funktionen.
Extraktion von BIOS Portable Executables und Identifizierung potenzieller Windows Executables, die im Image enthalten sind.
Berichterstattung über SMBIOS-Merkmale.
Von besonderem Interesse ist hier die Extraktion von tragbaren ausführbaren BIOS-Dateien. Virustotal extrahiert diese Dateien und sendet sie zur individuellen Identifizierung. Informationen wie das beabsichtigte Betriebssystemziel werden unter anderem nach dem Scan angezeigt.
Folgende Das Scan-Ergebnis hebt das Lenovo Rootkit (in Form von NovoSecEngine2) hervor. der Zweite Eine aktualisierte Firmware für Lenovo Geräte, bei denen sie entfernt wurde.
Schlussworte
Die neue Firmware-Scanoption von Virustotal ist ein willkommener Schritt in die richtige Richtung. Dies ist zwar der Fall, wird jedoch vorerst ein spezialisierter Dienst bleiben, da es schwierig ist, Firmware von Geräten zu extrahieren und die Ergebnisse zu interpretieren.