c't 4/2016
S. 33
News
BIOS-Analyse

Virustotal analysiert (UEFI-)BIOS-Code

Auf der Webseite der Google-Tochterfirma Virustotal.com kann jedermann Dateien hochladen, um sie auf Viren, Trojaner und andere Malware untersuchen zu lassen. Die kostenlose Virensuche mit über 50 Scanner-Engines funktioniert nun auch bei Firmwares und BIOS-Images, die man als Dateien hochlädt, beispielsweise ein entpacktes BIOS-Update. Wie ein Blog-Beitrag (siehe c’t-Link unten) erläutert, versucht Virustotal durch eine tiefere Analyse der (UEFI-)BIOS-Images, darin verborgenen Schadcode zu erkennen, etwa Bootkits oder BIOS-Viren. Manches BIOS-Image enthält sogar ausführbare Windows-Dateien und DLLs, etwa bei Notebooks mit dem Diebstahlschutz von Absolute (früher Computrace).

Das BIOS 1602 für das Asus-Mainboard Z170-A enthält unter anderem Windows-DLLs und ein Canonical-Zertifikat.

Besonders spannend sind die Ergebnisse der erweiterten Analysefunktionen, die Virustotal nach einem Klick auf den Reiter „File detail“ präsentiert. Die einzelnen BIOS-Module zerpflückt Virustotal dazu mit dem in Python geschriebenen UEFI-Parser von Teddy Reed. Bei einem UEFI-BIOS sind viele Einzelfunktionen jeweils in ein Portable Executable im PE- oder PE32-Format verpackt. So finden sich im BIOS-Update 1602 für das Asus-Mainboard Z170-A beispielsweise UEFI-Treiber zur Ansteuerung von USB-Maus und NVMe-Bootmedien, aber auch Übertaktungs-Tools.

Interessante Hinweise liefern auch die im BIOS-Image hinterlegten kryptografischen Schlüssel im PEM-Format, die beispielsweise für UEFI Secure Boot nötig sind. Schlüssel von Microsoft und Asus sind beim erwähnten BIOS 1602 des Asus Z170-A keine Überraschung, wohl aber ein Key der Firma Canonical, vielleicht für den sicheren Start von Ubuntu Linux.

Wie für andere hochgeladene Dateien erzeugt Virustotal auch für jedes Firmware-Image einen SHA256-Hash und speichert die Ergebnisse. So lassen sich Analysen vergleichen und auch später wieder abrufen. Der erwähnte Blog-Beitrag verlinkt einige Analysen von BIOS-Updates für Notebooks von Dell, HP und Lenovo. In einem Lenovo-BIOS finden sich demnach ausführbare Windows-Dateien, die vermutlich zu unerwünscht vorinstallierter Software gehören, die sich durch die Verankerung im BIOS nicht restlos vom System entfernen lässt. (ciw@ct.de)

Leserbrief schreiben

Auf Facebook teilen

Auf X teilen