VirusTotal,谷歌旗下的一个免费的在线服务,推出了一个新工具,详细描述固件镜像,目的是准确地宣称他们是合法的或恶意的。

在最近发表的一篇博客中,该公司列出了危险的严重性固件中发现恶意软件,并讨论了如何发现一个糟糕的代码。

除了标签固件镜像,新工具可以提取firmware-based证书以及它们的可执行文件。它也能够发现图像中提取可移植可执行文件。

公司的新关注固件恶意软件不足为奇,因为这个话题已经引起广泛的关注斯诺登的泄漏在国家安全局试图妥协BIOS固件。

BIOS恶意软件的威胁最终成为安全行业的日益关注,创造了新的漏洞病例以外所追求的国家安全局。这些包括联想服务引擎和黑客团队的UEFI rootkit。

“因为BIOS启动计算机并帮助加载操作系统,通过感染恶意软件攻击者可以部署幸存重启,系统擦拭和安装,因为杀毒软件扫描这一层,雷达、下的妥协能飞”写了旧金山桑托斯VirusTotal安全工程师,在一篇博客文章中。

文章还概述了一些基本的新工具可以执行的任务。这些包括苹果Mac的BIOS识别和报告;使用strings-based品牌启发式检测识别目标系统;证书提取来自两个固件图像和它所包含的可执行文件;通过执行PCI设备类识别枚举类代码;据NVAR枚举变量名;表标签ACPI的提取;PCI功能清单,反编译的入口点和选择罗提取;SMBIOS特征报告;所谓的BIOS便携式可执行文件和提取和检测可能的Windows可执行文件中发现一个图像。

VirusTotal还表示,UEFI可移植可执行文件被提取,然后单独提交给公司的系统。这允许用户看到一个报告为每个可执行文件或者帮助他们确定是否BIOS图像中检测到可疑的东西。

VirusTotal设法提供一些提示用户执行时BIOS转储,然后上传网站。他们应该做的第一件事是删除私人信息因为有厂商倾向于保守秘密等用户的无线密码在BIOS变量。他们这样做帮助他们记得在系统重新安装所需的设置。

桑托斯继续建议使用DarwinDumper Mac用户,有“让转储私人”功能,以帮助他们轻松删除敏感信息。

照片:我Ministerio抽搐哥伦比亚Flickr