سرویس VirusTotal گوگل، آلوده بودن بایوس ها به بدافزار را تشخیص می دهد
اطلاعات موجود در بایوس ابزارهای الکترونیکی به عنوان ریشه و هویت آنها محسوب می شوند. چراکه تعیین کننده نحوه ارتباط سخت افزار و نرم افزار از بدو روشن شدن دستگاه هستند. این لایه از اطلاعات ...
اطلاعات موجود در بایوس ابزارهای الکترونیکی به عنوان ریشه و هویت آنها محسوب می شوند. چراکه تعیین کننده نحوه ارتباط سخت افزار و نرم افزار از بدو روشن شدن دستگاه هستند.
این لایه از اطلاعات ابزارهای رایانه ای به طور معمول از دسترس آنتی ویروس ها خارج است و امکان بررسی آلودگی های احتمالی در آن ها از طریق این نرم افزارها وجود ندارد. علاوه بر این آسیبی که می توان با آلوده کردن فایل های بایوس وارد آورد، ممکن است بسیار بیشتر از آلودگی سیستم عامل ها باشد. نتیجه این که نفوذ به رایانه ها از طریق بایوس هم دسترسی بیشتری به نفوذ کننده می هد، و هم شناسایی آن با دشواری بیشتری میسر است.
از این جهت است که مراکزی چون آژانس امنیت ملی آمریکا در سال های اخیر توجه ویژه خود را روی نفوذ به Firmware بایوس ها معطوف کرده اند.
ابزار جدید گوگل یعنی VirusTotal آمده تا این قاعده را تغییر دهد. به تازگی یکی از مهندسین دخیل در توسعه ابزار VirusTotal مطلبی را در بلاگ رسمی گوگل منتشر کرده و در آن به خطراتی که ممکن است از آلودگی بایوس ها به بدافزار متوجه کاربران شود، اشاره کرده. فرانسیسکو سانتوس در ادامه مطلب خود به نحوه عملکرد ابزار جدید گوگل برای شناسایی این کدهای مخرب در Firmware آلوده پرداخته است. او در این باره می گوید:
«از آنجا که بایوس مسئولیت بوت شدن سیستم عامل و آماده به کار شدن کامپیوتر شما را بر عهده دارد، بدافزارهای آلوده کننده آن می توانند از ریبوت های مدام دستگاه و حتی حذف سیستم عامل و فرمت درایوها نیز در امان بمانند. ضمن این که هیچ ویروس یابی هم این لایه از اطلاعات را بررسی نمی کند. اما VirusTotal قرار است تمام کدهای Firmware را بررسی کرده و سلامت آن را تعیین نماید.»
همچنین محققین می توانند بدافزارها را در VirusTotal آپلود کنند تا ببیند کدام آنتی ویروس ها آن را شناسایی می کنند. این ابزار جدید همچنین می تواند تاییدیه ها (Certificates) را از ایمیج اصلی و فایل های exe استخراج کرده و فایل های exe پرتابل را درون ایمیج اصلی وارد کند. از دیدگاه سانتوس فایل های exe قابل حمل از مهمترین اهداف بدافزارها هستند و روش فوق می تواند امنیت بیشتری برای آنها فراهم کند.
او در مطلب خود آورده:
«نکته بسیار جذاب استخراج فایل های exe تشکیل دهنده ایمیج اصلی Firmware در UEFI است، چرا که اینها دقیقا همان کدهای اجرایی هستند که می توانند به منبع اصلی آلودگی بدل شوند. این کدهای اجرایی به طور مجزا از ایمیج اصلی استخراج شده و در VirusTotal ثبت می شوند. از این طریق می توان گزارشی کامل از تمام کدهای فعال در ایمیج بایوس به کاربر ارائه کرد و در صورت وجود موردی مشکوک آن را به اطلاع او رساند.»
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.