Virustotal: verifique o firmware em busca de sinais de manipulação
- Categoria: Segurança
Virustotal, o popular serviço de verificação de vírus online do Google recebido uma atualização recente que permite aos usuários do serviço fazer a varredura de firmware como outros arquivos.
Um dos maiores pontos fortes de Virustotal é seu suporte à varredura de vários mecanismos, que testa arquivos carregados no serviço usando mais de 40 mecanismos antivírus diferentes.
O serviço foi expandido várias vezes desde que foi adquirido pelo Google, melhorando os parâmetros de verificação, entre outras coisas.
A adição mais recente ao Virustotal é o suporte para varreduras de firmware que permite aos usuários do serviço fazer upload de imagens de firmware, despejadas ou baixadas, para o serviço para descobrir se elas são (provavelmente) legítimas ou foram manipuladas.
Varredura de firmware Virustotal
Embora a maioria dos malwares infecte sistemas no lado do software, o malware de firmware é especialmente problemático, pois não é fácil de detectar ou limpar.
Como o firmware é armazenado no próprio dispositivo, formatar discos rígidos ou mesmo substituí-los não tem efeito no estado infectado de um computador.
Como a detecção é difícil além disso, é comum que o tipo de ataque passe despercebido por um longo tempo.
A varredura de firmware compatível com o Virustotal funciona em muitos aspectos, como a varredura normal de arquivos. A principal diferença é como o firmware é adquirido.
Embora possa ser usado para testar o firmware que é baixado do site do fabricante, uma necessidade mais comum é o desejo de testar o firmware instalado do dispositivo.
O principal problema aqui é que o firmware precisa ser despejado para que isso aconteça. A postagem do blog no site da Virustotal destaca várias ferramentas (principalmente como código-fonte ou para sistemas Unix / Linux) que os usuários podem usar para despejar firmware nos dispositivos que operam.
A análise do arquivo parece idêntica à de outros arquivos à primeira vista, mas a guia 'detalhes do arquivo' e as guias 'informações adicionais' revelam informações específicas que oferecem informações detalhadas além disso.
A guia 'detalhes do arquivo' inclui informações sobre os arquivos contidos, versão da ROM, data de construção e outras informações relacionadas à construção.
Informações adicionais listam informações de identificação de arquivo e detalhes de origem.
A nova ferramenta realiza as seguintes tarefas de acordo com Virustotal:
Detecção e geração de relatórios do BIOS do Apple Mac.
Detecção heurística de marca baseada em strings, para identificar sistemas alvo.
Extração de certificados tanto da imagem do firmware quanto dos arquivos executáveis nele contidos.
Enumeração do código da classe PCI, permitindo a identificação da classe do dispositivo.
Extração de tags de tabelas ACPI.
Enumeração de nomes de variáveis NVAR.
Extração de ROM opcional, descompilação de ponto de entrada e listagem de recursos PCI.
Extração de executáveis portáteis BIOS e identificação de executáveis Windows potenciais contidos na imagem.
Relatórios de características SMBIOS.
A extração de executáveis portáteis do BIOS é de interesse especial aqui. O Virustotal extrai esses arquivos e os envia para identificação individualmente. Informações como o destino pretendido do sistema operacional são reveladas entre outras informações após a varredura.
Os seguintes o resultado da verificação destaca o rootkit da Lenovo (na forma de NovoSecEngine2), o segundo um firmware atualizado para dispositivos Lenovo de onde foi removido.
Palavras de Encerramento
A nova opção de digitalização de firmware da Virustotal é um passo bem-vindo na direção certa. Enquanto for esse o caso, ele permanecerá um serviço especializado por enquanto devido à dificuldade de extrair firmware dos dispositivos e interpretar os resultados.