Приобретённый Google в 2012 г. веб-сервис VirusTotal теперь позволяет «проверять на вредоносность» не только подозрительные файлы и ссылки, но и коды BIOS или UEFI. «Поскольку BIOS обеспечивает запуск компьютера и загрузку операционной системы, его компрометация позволяет взломщикам внедрить вредоносное ПО, от которого невозможно избавиться перезагрузками, удалением или даже чистой переустановкой системы. И поскольку многие антивирусные программы не проверяют этот уровень, угроза может оставаться незамеченной», — сказал сотрудник компании по вопросам информационной безопасности Франсиско Сантос.

VirusTotal запустил специальные механизмы обнаружения в низкоуровневом микропрограммном коде. Теперь отчеты о сканировании таких файлов содержат различную информацию о потенциальном производителе прошивки, необходимые идентификаторы исполняемых PE-файлов, которые хранятся в образе прошивки, а также информацию о цифровых сертификатах, использовавшихся для подписания этих файлов.

Служба позволяет исследователям и аналитикам выгружать на сервер образцы вредоносных программ, выясняет, могут ли антивирусные продукты обнаруживать их, и определяет сопутствующую техническую информацию. Новое средство будет маркировать образы прошивки как годные или вызывающие подозрения. Настораживающим признаком может быть, например, выполнение PE в среде Windows, хотя, как указал Сантос, так работают и некоторые легальные программы, например, код, помогающий идентифицировать украденный компьютер, даже если все данные с его дисков были стёрты.

В VirusTotal планируется создать базу образов прошивок, что в дальнейшем облегчит выявление экземпляров с вирусной «начинкой». Известным примером вредоносной программы для прошивок UEFI является обнаруженный в прошлом году руткит Hacking Team. Успешная компрометация ОС на таком уровне представляет для злоумышленников весьма сложную задачу, но позволяет получить полный контроль над процессом запуска ОС на самом раннем этапе. Наилучшим с точки зрения безопасности методом защиты прошивки является тот, при котором все размещенные в образе файлы подписаны цифровой подписью.

Версия для печати (без изображений)