Llegamos a ustedes gracias a:



Noticias

VirusTotal de Google ahora analiza el firmware sospechoso

[02/02/2016] El servicio VirusTotal de Google ha añadido una nueva herramienta que analiza el firmware, el código de bajo nivel que conecta el hardware y el sistema operativo de un equipo en el arranque.

Los atacantes avanzados, incluida la Agencia de Seguridad Nacional de Estados Unidos, se han concentrado en el firmware como lugar para incrustar el malware ya que es un buen lugar para esconderse.

Dado que los programas antivirus "no están explorando esta capa, la parte comprometida puede encontrarse 'bajo el radar', escribió Francisco Santos, ingeniero de seguridad de TI de VirusTotal, en una entrada de blog el miércoles.

Además, el malware que es ocultado en el firmware a menudo no se puede borrar fácilmente y puede sobrevivir a reinicios y reinstalaciones de un sistema operativo, escribió Santos.

El servicio de escaneo de VirusTotal permite a los investigadores y analistas subir el malware. El servicio indica si los antivirus detectan una muestra de malware y otra información técnica.

La nueva herramienta etiqueta las imágenes del firmware como legítimas o sospechosas. También puede extraer los certificados adjuntos al firmware y si hay otros archivos ejecutables en su interior.

Santos escribió que la herramienta puede extraer archivos ejecutables portables (PE, por sus siglas en inglés) dentro del firmware ya que a veces podrían ser una fuente de un comportamiento malicioso.

"Estos archivos ejecutables son extraídos y enviados individualmente a VirusTotal, de tal forma que el usuario podrá ver finalmente un informe de cada uno de ellos y tal vez tener una noción de si hay algo sospechoso en su imagen de BIOS, escribió Santos.

Algunos ejecutables portables se ejecutarán en Windows y no dentro del firmware. Podría ser un signo de mal comportamiento, pero en ocasiones es legítimo. Santos ofreció un enlace a un ejemplo en el que un PE demostró ser una característica antirrobo diseñada para permanecer en el lugar incluso si se 'wipeaba' la computadora.

Ahora será posible para las personas extraer su propio firmware y enviarlo a VirusTotal, el cual puede crear una base de datos con varias imágenes de firmware y contribuir así con la investigación de las mismas.

Santos incluyó consejos para extraer una imagen de firmware sin revelar la información sensible que podría estar contenida en el código.