1

Google VirusTotal ahora analiza firmware sospechosas

La nueva herramienta de Google ofrece detalles técnicos acerca de las imágenes de firmware: un objetivo para los atacantes.

El servicio de Google VirusTotal ha añadido una nueva herramienta que analiza el firmware: el código de bajo nivel que tiende un puente sobre el hardware y el sistema operativo de una computadora en el arranque.

Ataques avanzados de hackers – incluido el ocurrido en la Agencia de Seguridad Nacional de Estados Unidos – se han dirigido al firmware como un lugar para incrustar el malware ya que e excelente para esconderlo.

En vista de que los programas antivirus “no están escaneando esta capa, el código malicioso puede volar bajo el radar”, escribió Francisco Santos, un ingeniero de seguridad de TI que usa VirusTotal, en una entrada de blog este miércoles.

“Además, el malware oculto en el firmware a menudo puede ser fácilmente borrado, sobrevivir reinicios y hasta las instalaciones nuevas de un sistema operativo”, precisó Santos.

El servicio de escaneo de VirusTotal de Google permite a los investigadores y analistas identificar el malware, indicando si los productos antivirus utilizados en los equipos detectan una muestra de malware, así como otras informaciones técnicas.

La nueva herramienta etiqueta las imágenes del firmware, ya sea legítimo o sospechoso. También puede extraer certificados adjuntos al firmware y si hay otros archivos ejecutables dentro de ella.

Scaner de refuerzo

Santos escribió que la herramienta puede extraer ejecutables portables (PE) en el interior del firmware ya que estos a veces pueden ser una fuente de comportamiento malicioso.

“Estos ejecutables se extraen y presentan individualmente en Google VirusTotal, de tal manera que el usuario pueda – eventualmente – ver un informe para cada uno de ellos y tal vez obtener una idea de si hay algo sospechoso en su imagen de BIOS”, explicó Santos.

Algunos ejecutables portátiles en Windows pueden hacerlas veces del firmware. Podría ser un signo de mal comportamiento, pero en ocasiones es legítimo.

Como ejemplo, Santos ha referido un caso en el que un PE parece ser una característica antirrobo diseñada para permanecer incluso si una computadora ha sido totalmente borrada.

Ahora será posible que las personas extraigan su propio firmware y lo presentará a Google VirusTotal, lo cual tiene el potencial de crear una base de datos de varias imágenes de firmware que podrían contribuir a la investigación de los malware.

El analista incluyó consejos para extraer una imagen de firmware sin revelar información sensible que pueda estar contenida en el código.