VirusTotal запровадив додаткові індикатори для образів firmware

Розробники відомого антивірусного сервісу онлайн-сканування VirusTotal впровадили спеціальні механізми виявлення шкідливих програм, які можуть розташовуватися в прошивці комп'ютера (firmware). Тепер звіти про скануванні такі файли містять різноманітну інформацію про потенційного виробника прошивки, необхідні ідентифікатори запущених PE-файлів, які зберігаються в образі прошивки, а також інформацію про цифрові сертифікати, що використовувалися для підписання цих файлів.



Відомим прикладом шкідливої програми прошивок для UEFI є виявлений в минулому році руткит Hacking Team. Успішна компрометація ОС на такому рівні представляє для зловмисників досить складну задачу, але дозволяє отримати повний контроль над процесом запуску ОС на самому ранньому етапі. Нижче вказана інформація, яку сервіс надає образам прошивок. З її допомогою можна встановити ймовірність компрометації прошивки.


Рис. Інформація про спосіб прошивки одного зі звітів про сканування.

Новий інструмент аналізу файлів виконує наступні функції.

  • Дозволяє ідентифікувати прошивки комп'ютерів Apple Mac.
  • Виявляє можливого виробника пристрою і прошивки на основі аналізу рядків в образі.
  • Витягує з образу інформацію про цифрові сертифікати, які використовувалися для підписання самої прошивки і PE-файлів з нього.
  • Дозволяє ідентифікувати клас пристрою на основі аналізу коду PCI класу.
  • Витягує дані системних таблиць ACPI.
  • Отримує інформацію про змінну NVAR.
  • Витягує дані ROM і зберігається там код, виконуючи декомпіляцію коду точки входаю
  • Витягує з образу знаходяться там PE-файли і намагається виявити всередині них інші PE-файли — додатки Windows.
  • Отримує інформацію про SMBIOS.
Шкідливий або нелегітимний код може бути розміщений саме в PE-файли, які розташовуються в образі прошивки. Інструмент аналізу дістає їх звідти і надає клієнту інформацію сервісу про їх потенційної шкодочинності (рейтинг сканування). Найкращим з точки зору безпеки випадком є той, при якому всі розміщені в образі файли підписані цифровим підписом і для них немає жодного виявлення (чистий файл). Нижче зазначений варіант, при якому один з виявлених файлів образу схожий на шкідливу програму (є коефіцієнт виявлення 14/57).


Рис. Результат сканування файла образу, який містить PE-файл з високим коефіцієнтом виявлення з боку антивірусних продуктів, що може говорити про компрометацію прошивки. Сервіс також сканує дані ресурсів PE-файлів на предмет присутності там підозрілих даних.

Більш детальна інформація про нову функції тут.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.