Virustotal是Google擁有的免費在線服務,它推出了一種新工具,該工具詳細介紹了固件圖像,目的是將其準確地宣佈為合法或惡意。
在最近發表的博客文章中,該公司概述了固件惡意軟件中發現的危險的嚴重性,並討論瞭如何檢測到不良代碼。
除了標記固件圖像外,新工具還可以提取基於固件的證書以及其可執行文件。它還能夠提取圖像中發現的便攜式可執行文件。
鑑於該主題已引起廣泛關注,該公司對固件惡意軟件的新關注不足為奇斯諾登的洩漏NSA試圖妥協BIOS固件。
BIOS惡意軟件威脅最終在安全行業中越來越關注,並創造了除NSA追求的案例以外的新漏洞案例。其中包括聯想服務引擎和黑客團隊的UEFI rootkit。
“由於BIOS啟動了計算機並幫助加載操作系統,通過感染IT攻擊者可以部署生存的惡意軟件,可以重新啟動,系統擦拭和重新安裝,並且防病毒沒有掃描該層,因此折衷可能會在雷達下飛行,”寫Virustotal的IT安全工程師Francisco Santos在博客文章中。
該帖子還概述了新工具可以執行的一些基本任務。其中包括BIOS識別和Apple Mac的報告;使用基於字符串的品牌啟發式檢測來識別目標系統;證書提取來自固件圖像和其中包含的可執行文件;通過執行PCI類代碼枚舉來識別設備類標識; NVAR的可變名稱;表標籤ACPI的提取; PCI功能列表,切入點的倒數和選項ROM提取; SMBIO的特徵報告;並提取所謂的BIOS便攜式可執行文件,並檢測圖像中可能的窗口可執行文件。
Virustotal還表示,提取了UEFI便攜式可執行文件,然後單獨提交給公司係統。這使用戶可以看到每個可執行文件的報告,也許可以幫助他們確定是否在其BIOS圖像中檢測到了一些可惡的東西。
Virustotal在執行BIOS轉儲然後上傳到網站時,設法向用戶提供了一些提醒。他們應該做的第一件事是刪除私人信息,因為有些供應商傾向於保留諸如BIOS變量中用戶的WiFi密碼之類的秘密。他們這樣做是為了幫助他們記住跨系統重新安裝所需的設置。
Santos繼續建議Mac用戶使用Darwindumper,該功能具有“ Make Dumps私有”功能,以幫助他們輕鬆刪除敏感信息。
照片:哥倫比亞部長Flickr
