病毒总数:扫描固件以查看是否有操纵迹象
- 类别: 安全
Google流行的在线病毒扫描服务Virustotal 已收到 最近的更新,使该服务的用户可以像扫描其他文件一样扫描固件。
的最大优势之一 病毒总数 是其多引擎扫描支持,可使用40多种不同的防病毒引擎来测试上传到该服务的文件。
自Google收购该服务以来,该服务已进行了数次扩展,从而改善了扫描参数。
Virustotal的最新一项功能是对固件扫描的支持,该功能使服务的用户可以将转储或下载的固件映像上载到服务,以了解它们是否(可能)合法或被篡改。
病毒总固件扫描
尽管大多数恶意软件都从软件方面感染系统,但固件恶意软件尤其成问题,因为它既不易于检测也不容易清理。
由于固件存储在设备本身上,因此格式化硬盘甚至更换硬盘都不会影响计算机的感染状态。
由于最重要的是难以检测,因此攻击类型很长一段时间都没有被注意到是很常见的。
Virustotal支持的固件扫描在许多方面都可以正常工作,例如文件的正常扫描。核心区别在于固件的获取方式。
尽管可以将其用于测试从制造商网站下载的固件,但更常见的需求是希望测试设备的已安装固件。
这里的主要问题是需要转储固件才能实现。 Virustotal网站上的博客文章重点介绍了几种工具(主要用作源代码或用于Unix / Linux系统),用户可以利用这些工具在其操作的设备上转储固件。
乍一看,该文件的分析与其他文件的分析相同,但是“文件详细信息”选项卡和“其他信息”选项卡揭示了可以提供更详细信息的特定信息。
“文件详细信息”选项卡包含有关所包含文件,ROM版本,构建日期和其他与构建相关的信息的信息。
附加信息列出了文件标识信息和源详细信息。
新工具根据Virustotal执行以下任务:
Apple Mac BIOS检测和报告。
基于字符串的品牌启发式检测,以识别目标系统。
从固件映像及其中包含的可执行文件中提取证书。
PCI类代码枚举,允许识别设备类。
ACPI表标记提取。
NVAR变量名称枚举。
选件ROM提取,入口点反编译和PCI功能列表。
提取BIOS便携式可执行文件并识别映像中包含的潜在Windows可执行文件。
SMBIOS特征报告。
BIOS可移植可执行文件的提取在此特别受关注。 Virustotal会提取这些文件,然后分别提交以供识别。扫描之后,将显示诸如预期的操作系统目标之类的信息。
下列 扫描结果突出显示了联想的rootkit(以NovoSecEngine2的形式), 第二 已删除联想设备的已更新固件。
结束语
Virustotal的新固件扫描选项是朝正确方向迈出的可喜步骤。在这种情况下,由于难以从设备中提取固件和解释结果,因此它将暂时仍然是一项专门服务。