Virustotal: tarkista laiteohjelmisto manipulaation merkkien varalta
- Luokka: Turvallisuus
Googlen suosittu online-virustarkistuspalvelu Virustotal sai äskettäin tehty päivitys, jonka avulla palvelun käyttäjät voivat skannata laiteohjelmiston kuten muutkin tiedostot.
Yksi suurimmista vahvuuksista VirusTotal on sen monimoottorinen skannaustuki, joka testaa palveluun ladatut tiedostot yli 40 eri virustorjuntamoottorilla.
Palvelua on laajennettu useita kertoja siitä lähtien, kun Google osti sen parantaen skannausparametreja muun muassa.
Viimeisin lisäys Virustotaliin on laiteohjelmistoskannausten tuki, jonka avulla palvelun käyttäjät voivat ladata palveluun laiteohjelmistokuvia, polkumyynnillä tai ladattuina, selvittääkseen, ovatko ne (todennäköisesti) laillisia vai onko niitä manipuloitu.
Virustotal-ohjelmistoskannaus
Vaikka suurin osa haittaohjelmista tartuttaa järjestelmiä ohjelmistopuolella, laiteohjelmistohaittaohjelmat ovat erityisen ongelmallisia, koska niitä ei ole helppo havaita tai puhdistaa.
Koska laiteohjelmisto on tallennettu itse laitteeseen, kiintolevyjen alustaminen tai edes niiden korvaaminen ei vaikuta tietokoneen tartunnan saaneeseen tilaan.
Koska havaitseminen on lisäksi vaikeaa, on yleistä, että hyökkäyksen tyyppi menee huomaamatta pitkään.
Virustotalin tukema laiteohjelmiston skannaus toimii monella tavalla, kuten tiedostojen normaali skannaus. Keskeinen ero on siinä, miten laiteohjelmisto hankitaan.
Vaikka sitä voidaan käyttää valmistajan verkkosivustolta ladatun laiteohjelmiston testaamiseen, yleisempi tarve on halu testata sen sijaan laitteen asennettu laiteohjelmisto.
Pääkysymys on tässä, että laiteohjelmisto on tyhjennettävä, jotta se tapahtuisi. Virustotal-verkkosivuston blogiviestissä korostetaan useita työkaluja (lähinnä lähdekoodina tai Unix / Linux-järjestelmille), joita käyttäjät voivat käyttää siirtääkseen laiteohjelmiston käyttämissään laitteissa.
Tiedoston analyysi näyttää samanlaiselta kuin muut ensi silmäyksellä olevat tiedostot, mutta 'tiedoston yksityiskohdat' -välilehti ja 'lisätiedot' -välilehdet paljastavat erityistiedot, jotka tarjoavat perusteellisia tietoja sen lisäksi.
'Tiedoston tiedot' -välilehti sisältää tietoja mukana olevista tiedostoista, ROM-version, rakennuspäivämäärän ja muut rakennukseen liittyvät tiedot.
Lisätietoja luettelotiedoston tunnistetiedot ja lähdetiedot.
Uusi työkalu suorittaa seuraavat tehtävät Virustotalin mukaan:
Apple Mac BIOS: n havaitseminen ja raportointi.
Merkkijonopohjainen tuotemerkkiheuristinen havaitseminen kohdejärjestelmien tunnistamiseksi.
Varmenteiden purkaminen sekä firmware-kuvasta että sen sisältämistä suoritettavista tiedostoista.
PCI-luokan koodilistaus, joka mahdollistaa laiteluokan tunnistamisen.
ACPI-taulukot merkitsevät uutteen.
NVAR-muuttujien nimien luettelo.
Optio-ROM-erotus, tulopisteen dekompilaatio ja PCI-ominaisuuksien luettelo.
BIOS Portable Executable -sovellusten purkaminen ja kuvan sisältämien potentiaalisten Windows-suoritussuunnitelmien tunnistaminen.
SMBIOS-ominaisuuksien raportointi.
BIOS-kannettavien suoritettavien tiedostojen erottaminen on tässä erityisen kiinnostunut. Virustotal purkaa nämä tiedostot ja toimittaa ne yksilöitäväksi. Tiedot, kuten suunniteltu käyttöjärjestelmäkohde, paljastetaan muun muassa tarkistuksen jälkeen.
Seuraavat skannaustulos korostaa Lenovon juurikoodia (muodossa NovoSecEngine2), toinen päivitetty laiteohjelmisto Lenovo-laitteille, jos se on poistettu.
Loppu sanat
Virustotalin uusi laiteohjelmistoskannausvaihtoehto on tervetullut askel oikeaan suuntaan. Vaikka näin on, se pysyy nyt erikoistuneena palveluna, koska laiteohjelmiston purkaminen laitteista ja tulosten tulkinta on vaikeaa.