Разработчики известного сервиса антивирусного онлайн-сканирования VirusTotal внедрили специальные механизмы обнаружения вредоносных программ, которые могут располагаться в прошивке компьютера (firmware). Теперь отчеты о сканировании таких файлов содержат различную информацию о потенциальном производителе прошивки, необходимые идентификаторы исполняемых PE-файлов, которые хранятся в образе прошивки, а также информацию о цифровых сертификатах, использовавшихся для подписания этих файлов.



Известным примером вредоносной программы для прошивок UEFI является обнаруженный в прошлом году руткит Hacking Team. Успешная компрометация ОС на таком уровне представляет для злоумышленников весьма сложную задачу, но позволяет получить полный контроль над процессом запуска ОС на самом раннем этапе. Ниже указана информация, которую сервис предоставляет по образам прошивок. С ее помощью можно установить вероятность компрометации прошивки.


Рис. Информация об образе прошивки одного из отчетов о сканировании.

Новый инструмент анализа файлов выполняет следующие функции.

  • Позволяет идентифицировать прошивки компьютеров Apple Mac.
  • Обнаруживает возможного производителя устройства и прошивки на основе анализа строк в образе.
  • Извлекает из образа информацию о цифровых сертификатах, которые использовались для подписания самой прошивки и PE-файлов из него.
  • Позволяет идентифицировать класс устройства на основе анализа кода PCI класса.
  • Извлекает данные системных таблиц ACPI.
  • Получает информацию о переменной NVAR.
  • Извлекает данные ROM и хранящийся там код, выполняя декомпиляцию кода точки входаю
  • Извлекает из образа находящиеся там PE-файлы и пытается обнаружить внутри них другие PE-файлы — приложения Windows.
  • Получает информацию о SMBIOS.

Вредоносный или нелегитимный код может быть размещен именно в PE-файлах, которые располагаются в образе прошивки. Инструмент анализа извлекает их оттуда и предоставляет клиенту информацию сервиса об их потенциальной вредоносности (рейтинг сканирования). Наилучшим с точки зрения безопасности случаем является тот, при котором все размещенные в образе файлы подписаны цифровой подписью и для них нет ни одного обнаружения (чистый файл). Ниже указан вариант, при котором один из обнаруженных файлов образа похож на вредоносную программу (присутствует коэффициент обнаружения 14/57).


Рис. Результат сканирования файла образа, который содержит PE-файл с высоким коэффициентом обнаружения со стороны антивирусных продуктов, что может говорить о компрометации прошивки. Сервис также сканирует данные ресурсов PE-файлов на предмет присутствия там подозрительных данных.

Более подробная информация о новой функции здесь.

Комментарии (1)


  1. CodeRush
    28.01.2016 14:42
    +3

    Молодцы, конечно, только вот uefi-firmware-parser, который там под капотом — пока еще не очень хорош в деле разбора разных экзотических вариантов, но мы с Тедди постараемся это допилить понемногу.