Вирустотал: скенирање управљачког софтвера ради откривања знакова манипулације

• Категорија: Сигурност

Испробајте Наш Инструмент За Елиминисање Проблема

Изаберите Оперативни Систем Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Изаберите Програм Пројекције (Опционо) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишите Свој Проблем

Добити Одговор

Пошаљите Ми Е-Пошту Прикажи На Сајту

Популарни Гооглеов сервис за скенирање вируса на мрежи Вирустотал примљен недавно ажурирање које омогућава корисницима услуге да скенирају фирмвер баш као и друге датотеке.

Једна од највећих снага Вирустотал је подршка за вишеструко скенирање која тестира датотеке које су учитане у сервис користећи више од 40 различитих антивирусних система.

Сервис је проширен неколико пута откад га је Гоогле набавио побољшавајући параметре скенирања између осталог.

Најновији додатак Вирустоталу је подршка за скенирање управљачког софтвера која омогућава корисницима сервиса да учитају слике фирмвера, избачене или преузете у сервис да сазнају да ли су (вероватно) легитимне или су њима манипулисане.

Скенирање вирустоталног софтвера

Иако већина злонамјерног софтвера инфицира системе са софтверске ствари, софтвер са софтвером је посебно проблематичан јер га није лако открити нити очистити.

Будући да се фирмвер чува на самом уређају, форматирање чврстих дискова или чак њихова замена нема утицаја на заражено стање рачунара.

Пошто је откривање тешко изнад свега, уобичајено је да врста напада дуже време пролази неопажено.

Скенирање управљачког софтвера који Вирустотал подржава делује у многим аспектима попут уобичајеног скенирања датотека. Суштинска разлика је у начину на који се фирмвер набавља.

Иако се може користити за тестирање управљачког софтвера који је преузет са веб локације произвођача, чешћа је потреба да се уместо тога тестира инсталирани фирмвер уређаја.

Главно питање овде је да се фирмвер мора одбацити да би се то догодило. Пост блога на веб локацији Вирустотал истиче неколико алата (углавном као изворног кода или за Уник / Линук системе) којима корисници могу да искористе да бацају фирмвер на уређаје на којима раде.

Анализа датотеке на први поглед изгледа идентично као у осталим датотекама, али картица „Детаљ датотеке“ и картице „Додатне информације“ откривају специфичне информације које нуде дубинске информације.

Картица 'Подаци о датотеци' укључује информације о садржаним датотекама, верзији РОМ-а, датуму израде и другим информацијама везаним за састављање.

Подаци о идентификацији датотека додатних података и подаци о извору.

Нови алат обавља следеће задатке према Вирустоталу:

Откривање и извештавање о Аппле Мац БИОС-у.
Детекција хеуристичке детекције на основу жица, ради препознавања циљних система.
Екстракција сертификата и са слике фирмвера и из извршних датотека садржаних у њој.
Набројање кода ПЦИ класе, омогућава идентификацију класе уређаја.
АЦПИ табеле извлачење тагова.
Попис имена променљивих НВАР.
Опција издвајање РОМ-а, декомпилација улазне тачке и листа ПЦИ функција.
Екстракција преносних извршних датотека БИОС-а и идентификација потенцијалних Виндовс Екецутаблеса садржаних у слици.
Извештавање о карактеристикама СМБИОС-а.

Овде је посебно заинтересована екстракција преносних извршних датотека БИОС-а. Вирустотал издваја те датотеке и појединачно их шаље на идентификацију. Информације попут циљаног циља оперативног система откривају се између осталих информација након скенирања.

Следеће резултат скенирања истиче Леново рооткит (у облику НовоСецЕнгине2), друга ажурирани фирмвер за Леново уређаје са којих је уклоњен.

Завршне речи

Нова опција скенирања управљачког софтвера Вирустотала добродошао је корак у правом смеру. Иако је то случај, за сада ће то остати специјализован сервис због потешкоће у вађењу фирмвера са уређаја и интерпретацији резултата.