0 |
Сервис VirusTotal компании Google дополнился новым инструментом, который анализирует прошивку — низкоуровневой микропрограммный код, соединяющий оборудование с операционной системой при включении компьютера.
Антивирусные программы обычно не сканируют этот слой, поэтому вредоносные программы, размещаемые в нем продвинутыми хакерами, включая АНБ, имеют шанс остаться незамеченными и избежать удаления при перезагрузке и даже при полной переустановке операционной системы.
Служба VirusTotal позволяет исследователям и аналитикам выгружать на сервер образцы вредоносных программ, выясняет, могут ли антивирусные продукты обнаруживать их и определяет сопутствующую техническую информацию. Новое средство будет маркировать образы прошивки как годные или вызывающие подозрения. Оно также позволяет извлекать прикреплённые к прошивке сертификаты и другие исполняемые программы (portable executables, PE), так как они иногда могут нести вредоносные функции.
«Эти исполняемые программы извлекаются и предоставляются по отдельности в VirusTotal, так что пользователь может видеть отчёт по каждой с упоминанием сомнительных мест в их образе BIOS», — написал в блоге Франциско Сантос (Francisco Santos), инженер ИТ-безопасности в VirusTotal.
Настораживающим признаком может быть, например, выполнение PE в среде Windows, хотя, как указал Сантос, так работают и некоторые легальные программы, например, код, помогающий идентифицировать украденный компьютер, даже если все данные с его дисков были стёрты.
VirusTotal сможет создать базу образов прошивок, что в дальнейшем облегчит выявление экземпляров с вирусной начинкой. Сантос также упомянул о мерах, предпринимаемых, чтобы избежать утечки чувствительной информации при извлечении образов BIOS.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |