VirusTotal kan nu ook firmware-images op malware controleren

Googles onlinevirusscanner VirusTotal kan nu ook firmware-images op malware controleren. Hiermee speelt het bedrijf in op het feit dat er steeds meer firmware-infecties optreden, die moeilijk te detecteren en te verwijderen zijn.

De dienst kan een aantal functies uitvoeren, waaronder het uitlezen en controleren van certificaten van firmware-images en uitvoerbare bestanden. Ook is het mogelijk om de losse uitvoerbare UEFI-bestanden uit de ingestuurde images te analyseren, waarmee na te gaan is of er een infectie aanwezig is. VirusTotal laat gebruikers verder tabbladen met bestandsgegevens en aanvullende informatie inzien.

Volgens het bedrijf is de nieuwe functie nodig, aangezien firmware-malware niet meer alleen door de NSA zou worden ingezet. Het verwijst daarbij naar de bios-rootkit, die Lenovo in bepaalde laptopmodellen inbouwde, en de uefi-rootkit van Hacking Team. Het bericht van VirusTotal biedt gebruikers ook enkele tips voor het dumpen van de bios naar een bestand dat naar de dienst geüpload kan worden.

Malware die zich in de firmware van apparaten nestelt, is lastig te detecteren en te verwijderen. Zo laadt het bios bijvoorbeeld voor het starten van het besturingssysteem in het geheugen en blijft het intact, ook wanneer een systeem opnieuw wordt geïnstalleerd. Ook scannen de meeste antimalwareproducten volgens VirusTotal niet op biosniveau, waardoor detectie moeilijk is. VirusTotal werd in 2012 door Google gekocht en maakt bij het scannen gebruik van 55 antivirusproducten en 61 scan-engines.

IT-banen

Reacties (23)

The Zep Man

Netwerk en systeembeheer
Security
Malware

28 januari 2016 10:34

Volgens het bedrijf is de nieuwe functie nodig, aangezien firmware-malware niet meer alleen door de NSA zou worden ingezet.

Dat het alleen door de NSA zou worden ingezet zou geen reden zijn om dit in te voeren?

Regeringen vallen, net als activisten en terroristen, onder een zwaardere categorie van bedreigingen dan de simpele malware-verspreider die uit is op geld. Geld is namelijk iets dat je makkelijk kan kwantificeren. Bedreigingen met zelfverrijking als doel zijn af te weren door simpelweg een beveiliging te hebben die ervoor zorgt dat een succesvolle aanval meer kost dan dat het oplevert.

Regeringen werken echter niet vanuit een winstoogmerk en werken vaak ook niet rationeel. Zij kunnen drie, vier, acht of tigmaal een hoeveelheid belastinggeld spenderen aan een succesvolle aanval, waarbij de schade van het slachtoffer minder is dan dat de aanval kostte maar nog steeds desastreus is.

Vanuit een informatiebeveiligingsperspectief zijn regeringen (ook de eigen reging) daarom niet de beste vriend, maar ook partijen waarvoor je risicoanalyses uit zal moeten voeren.

Om terug te komen op het artikel: juist dat de NSA (en andere overheidsinstanties, en andere regeringen) deze werkwijze hanteert zou al een goede reden zijn om de uitbreiding op VirusTotal door te voeren.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 04:00]

fantafriday @The Zep Man • 28 januari 2016 13:41

Denk dat als je in Amerika een bedrijf als Google hebt en je gaat iets maken puur en alleen om iets wat de NSA doet te stoppen dat je de volgende dag de deuren kan sluiten.

TDeK @fantafriday • 28 januari 2016 14:23

Als eindgebruiker zul je in dat opzicht aan 'layered security' moeten doen:
http://securityzap.com/wp-content/uploads/2015/12/layered-security.jpeg

tom.cx 28 januari 2016 10:35

Virustotaal blijft een mooie online dienst. Maak er vaak gebruik van en toch wel opvallend dat de dienst er nog steeds is. Ik had namelijk verwacht dat Google de stekker er uit zou trekken na de overname.

Heeft bij mij een goede infectie kunnen voorkomen toen ik toch iets niet vertrouwde.

vide @tom.cx • 28 januari 2016 11:27

Malware auteurs gebruiken VirusTotal soms ook: om te zien of hun malware voldoende veranderd is om niet gedetecteerd te worden door virusscanners.

icratox @vide • 28 januari 2016 11:34

En ze gebruiken ook vaak verschillende antimalware producten voor dezelfde reden. Dusja, het is niet echt een argument tegen virustotal.

_JGC_ @vide • 28 januari 2016 13:04

Is op zich geen ramp:

When you submit a file to VirusTotal for scanning, we may store it and share it with the anti-malware and security industry (normally the companies that participate in VirusTotal receive files containing virus samples that their engines do not detect and are catalogued as malware by at least one other engine). The samples can be analysed by automatic tools and security analysts to detect malicious code and to improve antivirus engines

Tegen de tijd dat je een aanpassing hebt gemaakt die door geen enkele virusscanner herkend wordt zijn je tussenproducten inmiddels geanalyseerd en opgenomen in een nieuwe handtekening.

JustFogMaxi 28 januari 2016 10:35

Ik hecht weinig waarde aan de uitslag van virusscanner op vandaag. Echte malware komt er toch wel door. Mooi artikel van Krebs: http://krebsonsecurity.co...dead-long-live-antivirus/

Yggdrasil

@JustFogMaxi • 28 januari 2016 10:49

Klopt, antivirus is inderdaad niet meer de 'eindoplossing' die het ooit was, maar dat wil niet zeggen dat het waardeloos is, zoals Krebs zelf in dat artikel ook aangeeft:

Does this mean antivirus software is completely useless? Not at all. Very often, your antivirus product will detect a new variant as something akin to a threat it has seen in the past. Perhaps the bad guys targeting you or your organization in this case didn’t use a crypting service, or maybe that service wasn’t any good to begin with.

In either case, antivirus remains a useful — if somewhat antiquated and ineffective — approach to security. Security is all about layers, and not depending on any one technology or approach to detect or save you from the latest threats.

leuk_he @Yggdrasil • 28 januari 2016 19:43

het nadeel is dat het ook false positives geeft, dus het is een waarschuwing, maar die moet je soms negeren.

Trommelrem 28 januari 2016 10:35

Zo laadt het bios bijvoorbeeld voor het starten van het besturingssysteem in het geheugen en blijft het intact, ook wanneer een systeem opnieuw wordt geïnstalleerd.

Grappig. Ik dacht altijd dat alles van de bios kon worden gehandoffed naar het OS.

Kan mij overigens wel herinneren dat BIOS virussen in 1995-2000 erg populair waren. Fabrikanten hadden soms niet eens door dat er geinfecteerde BIOS-en op hun eigen downloadsite stond.

vlaaing peerd @Trommelrem • 28 januari 2016 11:56

Dat was met legacy BIOSsen het geval, met EFI blijft een gedeelte memory resident. Ook Intel ME firmware blijft actief wat vanuit een stukje op de BIOS chip word ingeladen.

De BIOS virussen waar jij het over hebt zouden al eerder onmogelijk moeten zijn toen Intel/AMD de no execute/execute disable invoerden. Als ik me niet vergis in '98 al.

En met UEFI zijn we dus weer op datzelfde probleem beland.

koelpasta 28 januari 2016 13:45

Het had handig geweest als het artiekel wist te vermelden om welke platformen het gaat.
Firmware voor een x86 platform is anders dan firmware voor een ARM platform is anders dan firmware voor een muis.

Kain_niaK 28 januari 2016 14:31

Virustotal is een super functionele website en al jaren eigenlijk mijn manier van virusccanner geworden.
Ik draai op mijn laptop geen virusscanner meer omdat mijn laptop niet zo snel is en een virusscanner altijd voor langere opstarttijden zorgt en de performance negatief beinvloed, ook bij het gebruik van een efficiente virusscanner zoals ESET.
Als ik een exe download van een website die ik niet 100% vertrouw dan upload ik hem eerst naar virustotal. Vooral de comments zijn daar heel handing bij false-positives.
Samen met noscript en ad blockers in de browser en natuurlijk het goed up to date houden van mijn windows 7 moeten er al rare dingen gebeuren voor ik een virus te pakken heb.

style147 28 januari 2016 10:29

Mooi dat het niks kost!

https://www.virustotal.com/nl/

[Reactie gewijzigd door style147 op 27 juli 2024 04:00]

CriticalHit_NL @style147 • 28 januari 2016 10:49

Er bestaan (of bestonden?) er nog wel meer, waarschijnlijk is deze een van de bekendste alternatieven:

https://virusscan.jotti.org/

De andere(n) kan ik zo 1.2.3 niet meer vinden, al te lang geleden.

NSG @CriticalHit_NL • 28 januari 2016 10:58

https://malwr.com is ook een fijne, maakt ook screenshots van gebeurtenissen na het runnen van een bestand.

jeroenvtec @NSG • 28 januari 2016 13:35

is idd een gave, gek dat je/ik dat niet tegen komt via google ( online virus scan/analyzer oid )
thx

SuperDre @style147 • 28 januari 2016 13:33

tja, misschien kost het niets, maar hoe goed is de scanner zelf, en dan niet alleen mbt detecteren maar ook qua gebruik van resources..

jeroen7s @SuperDre • 28 januari 2016 21:30

het scannen gebeurt online op google's servers, dus over het gebruik van resources hoef je je geen zorgen te maken

ComputerHoed 28 januari 2016 10:37

Ik gebruik toch liever Anubis om bestanden te analyseren

KoalaBear84 @ComputerHoed • 28 januari 2016 13:28

Die kende ik nog niet, je moet alleen veel geduld hebben zo lijkt:
Time Remaining: 6 hours, 0 minutes and 0 seconds (44 jobs in queue)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (23)

Sorteer op:

Weergave: