Ataques exitosos contra el firmware son raros pero proveen a los hackers con lo que más desean: persistencia.

Grupos de ataques avanzados ya han acelerado su capacidad para encontrar formas de meterse en BIOS y EFI, como se indicó en uno de los documentos filtrados por Snowden, donde se describían los intentos de la NSA de desarrollar implantes de malware para la BIOS. Además, la revelación del año pasado de Kasperksy Lab acerca de la plataforma de espionaje del grupo Equation, y específicamente de un módulo de persistencia que ataca el firmware de varios de los principales vendedores de hardware del mercado, demostró cómo los atacantes con recursos podían obtener persistencia indetectable y perpetua en las máquinas.

Estas capacidades no están limitadas a los atacantes financiados por gobiernos; el ataque del verano pasado al desarrollador italiano de software de vigilancia, Hacking Team, también reveló que el vendedor de malware tenía un rootkit de UEFI y BIOS a su disposición.

Hackers de sombrero blanco han comenzado a analizar a BIOS y UEFI y a desarrollar herramientas que ayuden a encontrar rootkits de BIOS.

VirusTotal se unió al combate cuando anunció el soporte a archivos de firmware. Hasta ahora, el escáner en línea de malware, propiedad de Google, ha permitido a las organizaciones subir archivos para obtener un reporte donde se muestra si las principales herramientas de seguridad detectan algo sospechoso.

"A partir de hoy, VirusTotal está caracterizando a detalle las imágenes de firmware, legítimas o maliciosas", dijo VirusTotal en un anuncio.

Un número de reportes de muestra publicados por VirusTotal lista los archivos contenidos en las imágenes enviadas a la plataforma e indica si fueron distribuidas por el vendedor de hardware. Estos datos de origen son invaluables para determinar si los archivos fueron insertados por terceros, ya sea a través de la cadena de suministro o si el firmware fue modificado.

"Posiblemente lo más interesante es la extracción de los ejecutables portables UEFI que conforman la imagen, ya que es precisamente el código ejecutable el que podría ser el origen potencial de algo malicioso”, dijo Francisco Santos de VirusTotal. "Estos ejecutables son extraídos y subidos individualmente a Virus Total, de tal forma que el usuario eventualmente puede ver un reporte de cada uno y, quizás, obtener una noción de si hay algo sospechoso en su imagen de BIOS. Además, la herramienta resalta cuáles de estos PEs extraídos tienen a Windows como objetivo, por ejemplo: se ejecutarán en el sistema operativo Windows en vez de en el pseudo sistema UEFI".

VirusTotal dijo que la herramienta soporta:

• Detección y reportes de BIOS de la Mac de Apple
• Detección heurística basada en cadenas para identificar sistemas objetivo
• Extracción de certificados desde la imagen del firmware y de los archivos ejecutables contenidos en ella
• Código de enumeración de la clase PCI, que permite la identificación de clase del dispositivo
• Extracción de etiquetas de tablas ACPI
• Enumeración de nombres de variable NVAR
• Opción de extracción de ROM, decompilación desde el punto de entrada y listado de característica PCI
• Extracción de ejecutables portables de BIOS e identificación de posibles ejecutables de Windows contenidos en la imagen
• Informes de las características SMBIOS

Santos dijo que varias herramientas podrían ayudar a las organizaciones a hacer un volcado de sus BIOS para enviarlas a VirusTotal. También se les recomienda remover información privada, como contraseñas, antes de enviarlas.