Virustotal analysiert (UEFI-)BIOS-Code
Auf der Webseite der Google-Tochterfirma Virustotal.com kann jedermann Dateien hochladen, um sie auf Viren, Trojaner und andere Malware untersuchen zu lassen. Die kostenlose Virensuche mit über 50 Scanner-Engines funktioniert nun auch bei Firmwares und BIOS-Images, die man als Dateien hochlädt, beispielsweise ein entpacktes BIOS-Update. Wie ein Blog-Beitrag (siehe c’t-Link unten) erläutert, versucht Virustotal durch eine tiefere Analyse der (UEFI-)BIOS-Images, darin verborgenen Schadcode zu erkennen, etwa Bootkits oder BIOS-Viren. Manches BIOS-Image enthält sogar ausführbare Windows-Dateien und DLLs, etwa bei Notebooks mit dem Diebstahlschutz von Absolute (früher Computrace).
Besonders spannend sind die Ergebnisse der erweiterten Analysefunktionen, die Virustotal nach einem Klick auf den Reiter „File detail“ präsentiert. Die einzelnen BIOS-Module zerpflückt Virustotal dazu mit dem in Python geschriebenen UEFI-Parser von Teddy Reed. Bei einem UEFI-BIOS sind viele Einzelfunktionen jeweils in ein Portable Executable im PE- oder PE32-Format verpackt. So finden sich im BIOS-Update 1602 für das Asus-Mainboard Z170-A beispielsweise UEFI-Treiber zur Ansteuerung von USB-Maus und NVMe-Bootmedien, aber auch Übertaktungs-Tools.
Interessante Hinweise liefern auch die im BIOS-Image hinterlegten kryptografischen Schlüssel im PEM-Format, die beispielsweise für UEFI Secure Boot nötig sind. Schlüssel von Microsoft und Asus sind beim erwähnten BIOS 1602 des Asus Z170-A keine Überraschung, wohl aber ein Key der Firma Canonical, vielleicht für den sicheren Start von Ubuntu Linux.
Wie für andere hochgeladene Dateien erzeugt Virustotal auch für jedes Firmware-Image einen SHA256-Hash und speichert die Ergebnisse. So lassen sich Analysen vergleichen und auch später wieder abrufen. Der erwähnte Blog-Beitrag verlinkt einige Analysen von BIOS-Updates für Notebooks von Dell, HP und Lenovo. In einem Lenovo-BIOS finden sich demnach ausführbare Windows-Dateien, die vermutlich zu unerwünscht vorinstallierter Software gehören, die sich durch die Verankerung im BIOS nicht restlos vom System entfernen lässt. (ciw@ct.de)
Firmware-Scans und Blog bei Virustotal: ct.de/yjdu