Virustotal: escanea el firmware en busca de signos de manipulación

El popular servicio de escaneo de virus en línea de Google Virustotal recibido una actualización reciente que permite a los usuarios del servicio escanear el firmware al igual que otros archivos.

Una de las mayores fortalezas de Virustotal es su soporte de escaneo de múltiples motores que prueba los archivos cargados en el servicio utilizando más de 40 motores antivirus diferentes.



El servicio se ha ampliado varias veces desde que fue adquirido por Google mejorando los parámetros de escaneo, entre otras cosas.

La adición más reciente a Virustotal es la compatibilidad con análisis de firmware que permite a los usuarios del servicio cargar imágenes de firmware, descargadas o descargadas, al servicio para averiguar si son (probablemente) legítimas o han sido manipuladas.

Escaneo de firmware virustotal

Si bien la mayoría de malware infecta los sistemas por el lado del software, el malware de firmware es especialmente problemático ya que no es fácil de detectar ni de limpiar.

Dado que el firmware se almacena en el propio dispositivo, formatear los discos duros o incluso reemplazarlos no tiene ningún efecto en el estado infectado de una computadora.

virustotal firmware scan

Dado que la detección es difícil además de eso, es común que el tipo de ataque pase desapercibido durante mucho tiempo.



El escaneo de firmware que admite Virustotal funciona en muchos aspectos como el escaneo normal de archivos. La principal diferencia es cómo se adquiere el firmware.

Si bien se puede utilizar para probar el firmware que se descarga del sitio web de un fabricante, una necesidad más común es el deseo de probar el firmware instalado del dispositivo.

El problema principal aquí es que es necesario deshacerse del firmware para que eso suceda. La publicación del blog en el sitio web de Virustotal destaca varias herramientas (principalmente como código fuente o para sistemas Unix / Linux) que los usuarios pueden utilizar para descargar firmware en los dispositivos que operan.

El análisis del archivo parece idéntico al de otros archivos a primera vista, pero la pestaña 'detalles del archivo' y las pestañas 'información adicional' revelan información específica que ofrece información detallada además de eso.

La pestaña 'detalles del archivo' incluye información sobre los archivos contenidos, la versión de ROM, la fecha de compilación y otra información relacionada con la compilación.

Información adicional lista información de identificación de archivos y detalles de la fuente.

La nueva herramienta realiza las siguientes tareas según Virustotal:

Detección y generación de informes de BIOS de Apple Mac.
Detección heurística de marca basada en cadenas para identificar sistemas de destino.
Extracción de certificados tanto de la imagen del firmware como de los archivos ejecutables que contiene.
Enumeración de código de clase PCI, que permite la identificación de la clase de dispositivo.
Extracción de etiquetas de tablas ACPI.
Enumeración de nombres de variables NVAR.
Opción de extracción de ROM, descompilación de puntos de entrada y listado de funciones PCI.
Extracción de ejecutables portátiles de BIOS e identificación de posibles ejecutables de Windows contenidos en la imagen.
Informes de características SMBIOS.

La extracción de ejecutables portátiles BIOS es de especial interés aquí. Virustotal extrae esos archivos y los envía para su identificación individualmente. La información, como el objetivo del sistema operativo previsto, se revela entre otra información después del análisis.

El seguimiento el resultado del escaneo destaca el rootkit de Lenovo (en forma de NovoSecEngine2), el segundo un firmware actualizado para dispositivos Lenovo donde se ha eliminado.

Palabras de cierre

La nueva opción de escaneo de firmware de Virustotal es un paso bienvenido en la dirección correcta. Si bien ese es el caso, seguirá siendo un servicio especializado por ahora debido a la dificultad de extraer firmware de los dispositivos e interpretar los resultados.