El antivirus de Google puede detectar malware en el firmware

El antivirus de Google puede detectar malware en el firmware

¿Conoces el antivirus de Google? Se llama VirusTotal y es gratuito. Recientemente han creado una herramienta capaz de detectar Malware en el BIOS o firmware.

Los virus son conocidos por todo aquel que usa un PC, ya sea de forma básica (cosa que me daña la PC), hasta niveles técnicamente altos. Son programas desarrollados con el objetivo de que tu PC deje de funcionar como se supone que debe funcionar, ya sea para tomar control sin que te des cuenta, para extraer información o para usar tu PC como parte de un ataque DDoS.

Normalmente, recurrimos a los antivirus para protegernos o eliminar los virus una vez que llegan a nuestro PC, o en el peor de los casos, hacemos formato al disco, instalamos en limpio y nuestro sistema vuelve a estar de maravilla. Pero, ¿Sabías que hay cierto malware persistente al que no le importa si formateas y reinstalas el sistema operativo tu PC?

Este tipo de código malicioso se instala en el BIOS, que vendría a ser el firmware de tu PC y es persistente pues el BIOS se carga antes que cualquier otra cosa, por lo que no importa si reinstalas tu PC miles de veces, el malware seguirá allí. Este tipo de malware persistente es, obviamente, un trabajo un poco más de avanzada que el malware tradicional, y desde las declaraciones de Snowden sobre los mecanismos de espionaje de la NSA, el malware de Firmware ha sido tema de conversación.

Desde el blog de VirusTotal, informan que quieren ayudarnos a proteger nuestros equipos de este tipo de amenaza bastante avanzado, y ponen a nuestra disposición una nueva herramienta que se encarga de analizar la imagen del BIOS de tu PC para verificar si es legítima, si contiene código malicioso, ha sido alterada de alguna forma y hasta es capaz de extraer los certificados del firmware y de los ejecutables contenidos en el para verificar si son legítimos.

VirusTotal analiza la imagen del BIOS con varios motores de antivirus y muestra si alguno de ellos lo ha marcado como "malicioso"

Reporte de análisis de VirusTotal

Uno de los aspectos más resaltantes, es la extracción de los ejecutables UEFI que componen la imagen de BIOS. Estos ejecutables son extraídos y enviados individualmente a VirusTotal para ser examinados y se genera un reporte en el que el usuario puede verificar si su imagen de BIOS contiene algo sospechoso. Además, la herramienta resaltará cuales de estos archivos extraídos funcionan directamente en Windows en lugar del pseudo-OS que levanta UEFI, cosa que no es común a este nivel (bajo ciertas excepciones) y representaría algo sospechoso.

En la segunda pantalla vemos los archivos separados con los resultados de la detección

Los archivos extraídos de la imagen del BIOS

Aunque desde el blog de VirusTotal advierten que la única forma de estar 100% seguros de que tu BIOS no está intervenido es volcar los datos del chip conectándote físicamente a él, proveen algunos links que pueden ser de ayuda para exportar el BIOS por software, teniendo en cuenta también que para engañar a estas herramientas se necesitaría de un malware bastante avanzado.

https://bitbucket.org/blackosx/darwindumper/downloads
https://github.com/chipsec/chipsec
https://www.blackhat.com/docs/us-13/US-13-Butterworth-BIOS-Security-Code.zip
https://flashrom.org/Flashrom

En la entrada de blog también se encuentran varios ejemplos de análisis realizados a distintos BIOS de distintos fabricantes, por si quieres consultar mayor información.

Quizás te interese:   Norton Core Router, el primer Hardware de Symantec

VirusTotal es un antivirus en línea creado por la comunidad de HispaSec y luego comprada por Google en el 2012. Otro esfuerzo de Google por hacer el mundo digital un lugar seguro.

Fuente: Blog de VirusTotal

Añadir Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.