پشتیبانی ویروس‌توتال از پویش سخت‌افزار

حملات موفقیت‌آمیز علیه سفت‌افزار بسیار نادر است، اما موجب می‌شود که نفوذگران طمع‌کار، یکی از ویژگی‌های خود را تقویت کنند: پشتکار!
بر اساس یکی از توصیف‌ها از افشاگری‌های اسنودن که در تلاش‌های NSA برای گنجاندن نرم‌افزارهای مخرب در BIOS سامانه آمده است، گروه‌های پیشرفته در حال حاضر توانایی‌های خود را برای یافتن راه‌هایی جهت نقب‌زدن به BIOS و EFI سرعت بخشیده‌اند.
علاوه بر این، افشاگری سال گذشته‌ی آزمایشگاه کسپرسکی از سکوی جاسوسی گروه Equation، و به ویژه ماژولی که سفت‌افزار تعدادی از فروشندگان پیشرو را هدف قرار داده بود، نشان می‌دهد که چگونه مهاجمانی که دارای منابع وسیع هستند می‌توانند به صورت دائمی بدون این‌که کشف شوند در سامانه‌ها حضور داشته باشند.
این قابلیت‌ها منحصر به مهاجمانی نمی‌شوند که از پشتیبانی دولت‌ها برخوردار هستند؛ نفوذ تابستان گذشته در دستگاه‌های سازنده‌ی بحث‌برانگیز نرم‌افزار نظارت ایتالیایی Hacking Team نشان داد که این فروشنده یک بدافزار روت‌کیت در UEFI BIOS خود داشت.
نفوذگرهای کلاه‌سفید از سمت بخش‌های پژوهشی به داخل BIOS و UEFI رخنه کردند و ابزارهایی را برای نظارت بر روت‌کیت‌های بایوس ساخته‌اند.
این هفته ویروس‌توتال به این نزاع پیوسته است و پشتیبانی خود را از پرونده‌های سفت‌افزار سامانه اعلام نموده است. تاکنون، این جستجوکننده‌ی بدافزار برخط که تحت مالکیت شرکت گوگل است به سازمان‌ها اجازه می‌داده است تا پرونده‌‌های خود را بارگذاری کرده و گزارشی توصیفی را در مورد آن‌ها توسط ابزارهای امنیتی پیشروی تشخیص‌دهنده این شرکت دریافت کنند.
ویروس‌توتال در این هفته اعلام کرده است: «از امروز ویروس‌توتال، جزییات سفت‌افزار را بررسی کرده و سالم و آلوده بودن آن‌ها را مشخص می‌کند.»
تعدادی از گزارش‌های نمونه‌ی منتشرشده توسط ویرو‌س‌توتال شامل ایمیج‌های ارسال‌شده بودند که توسط فروشندگان سخت‌افزار توزیع شده‌اند. چنین داده‌هایی منبع ارزشمندی برای تشخیص این موضوع هستند که آیا پرونده‌ها به وسیله‌ی یک شخص یا موجودیت ثالث قرار داده شده است و یا در طول زنجیره‌ی پشتیبانی مورد نفوذ قرار گرفته است.
فرانسیسکو سانتوس از شرکت ویروس‌توتال می‌گوید: «چیزی که شاید از همه جالب‌تر باشد این است که استخراج پرونده‌های اجرایی قابل حمل UEFI که ایمیج را می‌سازند، درست از زمانی است که کد اجرایی هستند و می‌توانند بالقوه منبعی از آلودگی باشند. این پرونده‌های اجرایی استخراج می‌شوند و به صورت جداگانه به ویروس توتال ارسال می‌شوند، به طوری که کاربران در نهایت می‌توانند گزارشی را برای هر کدام از آن‌ها مشاهده کنند و شاید نظریاتی را در مورد آن دریافت کنند مبنی بر این‌که چیزی مشکوک در ایمیج این بایوس وجود دارد. به علاوه این ابزار نشان خواهد داد که کدام یک از پرونده‌های اجرایی قابل حملی که استخراج شده‌اند در ویندوز هدف قرار می‌گیرند، یعنی این‌که بیشتر در سامانه‌ی عامل ویندوز اجرا می‌شوند تا در خود UEFI که شبیه سامانه‌ی عامل است.»
ویروس‌توتال می‌گوید که این ابزار از موارد زیر پشتیبانی می‌کند:

– شناسایی و گزارش Apple Mac BIOS
– تشخیص بر اساس رشته‌ی نام تجاری برای شناسایی سامانه‌‌های هدف
– استخراج گواهی‌نامه‌ها هم از طریق ایمیج سفت‌افزار و هم از پرونده‌های اجرایی موجود در آن
– شمارش کد کلاس PCI که اجازه‌ی شناسایی دستگاه را می‌دهد.
– استخراج برچسب‌های جداول ACPI
– شمارش نام‌های متغیر NVAR
– استخراج گزینه ROM، برگشت نقطه‌ی ورود به زبان اصلی و فهرست‌بندی ویژگی‌های PCI
– استخراج پروند‌ه‌های قابل حمل و شناسایی پرونده‌های اجرایی باالقوه‌ی ویندوز که قابلیت اجرا در ایمیج را دارند.

گزارش ویژگی‌های SMBIOS
Santos می‌گوید که تعدادی از این ابزارها می‌توانند به سازمان‌ها کمک کنند تا BIOS خود را استخراج کرده و برای ارائه به ویروس‌توتال معرفی کنند. به سازمان‌ها توصیه شده است که قبل از ارسال پرونده‌های خود داده‌های خصوصی نظیر گذرواژه‌ها را حذف کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.