Virustotal : 조작 징후에 대한 펌웨어 스캔
- 범주: 보안
Google의 인기있는 온라인 바이러스 검사 서비스 Virustotal 받은 서비스 사용자가 다른 파일처럼 펌웨어를 스캔 할 수 있도록하는 최근 업데이트입니다.
가장 큰 장점 중 하나 바이러스 총 40 개 이상의 서로 다른 바이러스 백신 엔진을 사용하여 서비스에 업로드 된 파일을 테스트하는 다중 엔진 검색 지원입니다.
이 서비스는 Google이 인수 한 이후 여러 번 확장되어 스캔 매개 변수를 개선했습니다.
Virustotal에 가장 최근에 추가 된 기능은 서비스 사용자가 덤프 또는 다운로드 한 펌웨어 이미지를 서비스에 업로드하여 합법적인지 조작되었는지 여부를 확인할 수있는 펌웨어 스캔 지원입니다.
바이러스 총 펌웨어 스캔
대부분의 멀웨어는 소프트웨어 측 시스템을 감염시키는 반면, 펌웨어 멀웨어는 탐지 나 치료가 쉽지 않기 때문에 특히 문제가됩니다.
펌웨어는 장치 자체에 저장되므로 하드 드라이브를 포맷하거나 교체해도 컴퓨터의 감염 상태에 영향을주지 않습니다.
뿐만 아니라 탐지가 어렵 기 때문에 공격 유형이 오랫동안 눈에 띄지 않는 것이 일반적입니다.
Virustotal이 지원하는 펌웨어 스캔은 일반적인 파일 스캔과 같은 여러면에서 작동합니다. 핵심 차이점은 펌웨어를 획득하는 방법입니다.
제조업체의 웹 사이트에서 다운로드 한 펌웨어를 테스트하는 데 사용할 수 있지만 더 일반적인 요구 사항은 장치에 설치된 펌웨어를 테스트하는 것입니다.
여기서 가장 중요한 문제는 펌웨어를 덤프해야한다는 것입니다. Virustotal 웹 사이트의 블로그 게시물은 사용자가 작동하는 장치에서 펌웨어를 덤프하는 데 사용할 수있는 여러 도구 (대부분 소스 코드 또는 Unix / Linux 시스템 용)를 강조합니다.
파일 분석은 언뜻보기에는 다른 파일과 동일하게 보이지만 '파일 세부 정보'탭과 '추가 정보'탭은 그 위에 심도있는 정보를 제공하는 특정 정보를 보여줍니다.
'파일 세부 정보'탭에는 포함 된 파일, ROM 버전, 빌드 날짜 및 기타 빌드 관련 정보에 대한 정보가 포함됩니다.
추가 정보 목록 파일 식별 정보 및 소스 세부 사항.
새 도구는 Virustotal에 따라 다음 작업을 수행합니다.
Apple Mac BIOS 감지 및보고.
대상 시스템을 식별하기위한 문자열 기반 브랜드 휴리스틱 감지.
펌웨어 이미지와 그 안에 포함 된 실행 파일 모두에서 인증서 추출.
장치 클래스 식별을 허용하는 PCI 클래스 코드 열거.
ACPI 테이블 태그 추출.
NVAR 변수 이름 열거.
옵션 ROM 추출, 진입 점 디 컴파일 및 PCI 기능 목록.
BIOS Portable Executable 추출 및 이미지에 포함 된 잠재적 Windows Executable 식별
SMBIOS 특성보고.
여기서는 BIOS 휴대용 실행 파일의 추출이 특히 중요합니다. Virustotal은 이러한 파일을 추출하고 개별적으로 식별을 위해 제출합니다. 의도 한 운영 체제 대상과 같은 정보는 스캔 후 다른 정보와 함께 표시됩니다.
다음과 같은 스캔 결과는 Lenovo의 루트킷 (NovoSecEngine2 형식)을 강조합니다. 두번째 제거 된 Lenovo 장치에 대한 업데이트 된 펌웨어.
마무리 단어
Virustotal의 새로운 펌웨어 스캔 옵션은 올바른 방향으로 나아가는 환영 단계입니다. 이 경우에도 장치에서 펌웨어를 추출하고 결과를 해석하기가 어려우므로 당분간은 전문 서비스로 남을 것입니다.