VirusTotal支持固件病毒的检测

2016-02-03 238995人围观 ,发现 2 个不明物体 系统安全

virustotal-1000.jpg

固件病毒最近越来越常见,自从斯诺登爆料NSA ANT部门使用的监视工具集中包括的BIOS bootkits后,我们多次在报道中见到它。黑客们用它攻击用户(Hacking Team的 UEFI rootkit ),政府用它监视民众,厂商用它获取用户隐私(联想的Service Engine)。

BIOS病毒的危害

BIOS是英文”Basic Input Output System”的缩略词,直译过来后中文名称就是”基本输入输出系统”。其实,它是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序。 其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。因此BIOS恶意软件能够确保隐藏的持久性以及实现复杂的逃避技术。即使重装操作系统仍然能够存留。并且由于杀毒软件不会扫描BIOS这层,所以用户很难发现。

也正因如此,斯诺登泄密的文档里显示,从事美国情报工作的相关人员会拦截那些运往目标组织的设备硬件,在中途悄悄将修改过的固件程序装上去。

针对BIOS的检测

但是现在,在线病毒扫描网站VirusTotal提供对固件的检测了,它能够帮助你识别你的固件是合法的还是恶意的。例如下面的报告,请切换到文件细节标签:
https://www.virustotal.com/en/file/3afb102f0a61f5a71be4658c3d8d3624e4773e36f64fd68a173f931bc38f651e/analysis/ [1]
https://www.virustotal.com/en/file/4db9177af43a958686b9367f19df90023acf3189c388497a8a7d1d8cb3f7f0e0/analysis/ [2]
https://www.virustotal.com/en/file/57a0c38bf7cf516ee0e870311828dba5069dc6f1b6ad13d1fdff268ed674f823/analysis/
请注意下面例子中的附加信息标签,你会看到有个来源细节区域,这里记录了文件的属性信息:
https://www.virustotal.com/en/file/8b1ec36a50683db137d3bd815052dd6034697af8ef2afd6c81c912b6d0f0f2e0/analysis/
要提供属性信息的话不需要PE资源100%匹配的:https://www.virustotal.com/en/file/a90f803e10530e8f941d7054a12a37aa7b22c89bac89b6d2b8e40878bffccf11/analysis/

source-details.png

这款新工具可以执行以下基本任务:

苹果 Mac BIOS 检测和报告

基于字符串的启发式检测,用来识别目标系统

从固件镜像和其中的可执行文件中提取证书

PCI 类代码列举,用以检测设备类别

ACPI tables tag提取

NVAR 变量名枚举

Option ROM提取,入口点解码、PCI特征罗列

提取BIOS PE和镜像中可能存在的Windows可执行文件

SMBIOS特征报告

可能最有趣的就是对UEFI PE的提取功能,因为这就是可能会造成问题的地方;这些可执行文件会被提取并且一个个地发送到VirusTotal,用户可以查看每个可执行文件的报告,然后就能知道他们的BIOS镜像中是否有猫腻。另外,这款工具还会注明那些PE是针对Windows平台的,即他们会在Windows操作系统上运行,而非是UEFI的“伪操作系统”。一般来说,你在这层不会看到Windows可执行文件,但是还是会有例外情况的,比如下面这个例子:

https://www.virustotal.com/en/file/b3387bca327350038ef455d80ca22833e5d7a5173f0b52300b50fcce78ba0d22/analysis/

如你所见,报告会区分任何能够在Windows系统上运行的PE,第一个文件被很多杀毒软件误报,实际上这是个叫Computrace的防盗软件,它嵌入在很多BIOS中,即使系统被清除或者重装,它还是能够追踪盗窃。这是个合法的软件。

这个例子能够充分展示我们新的功能能够帮助寻找BIOS中存在的问题,比如,下面的两个例子:

https://www.virustotal.com/en/file/3afb102f0a61f5a71be4658c3d8d3624e4773e36f64fd68a173f931bc38f651e/analysis/

https://www.virustotal.com/en/file/4db9177af43a958686b9367f19df90023acf3189c388497a8a7d1d8cb3f7f0e0/analysis/

你可能注意到了,这就是联想的那次事件。上面的这两个是联想S21e笔记本的两个不同的BIOS更新,第二个移除了出产安装的恶意软件。仔细观察两份报告你就会注意到,第一个镜像包含一个名为NovoSecEngine2的Windows可执行文件,就是用来对目标系统进行进一步改造用的。

导出BIOS

接下来可能你会做的就是把自己的BIOS导出来,然后提交给VirusTotal进行研究了,下面的这些工具都可以用来提取BIOS:
https://bitbucket.org/blackosx/darwindumper/downloads
https://github.com/chipsec/chipsec
https://www.blackhat.com/docs/us-13/US-13-Butterworth-BIOS-Security-Code.zip
https://flashrom.org/Flashrom

很明显这样的方法也有局限,这些导出的工具也有可能会被骗,所以你应该知道,最能保证真实性的方法应该是连接到芯片上,然后用电子方法导出闪存。

在上传BIOS之VirusTotal之前,你需要移除私人信息,有些厂商会把诸如Wifi密码之类的密码储存在BIOS变量中以便在系统重装时记住这些设置。如果你在用Mac,就用DarwinDumper中的”Makedumps private”功能把这些敏感信息都删除。

darwindumper.png

VirusTotal Intelligence高级用户和 私有API的用户们不久就能读到一篇文章,让大家知道这些信息现在是如何索引,如何进行搜索,让大家能够追踪到利用BIOS驻足目标系统的高级黑客。

*参考来源:VirusTotal,FB小编Sphinx编译,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)

发表评论

已有 2 条评论

取消
Loading...
css.php