10 лет назад 10 июня 2008 в 18:40 46

Дятлы из вирлаба

Автор: Наталья Сергеева

Всю жизнь мечтала попасть в святая святых “лаборатории касперского”. И вот мечта сбылась – я не только попала в вирлаб, но и увидела, как трудятся дятлы…

В феврале “Лаборатория Касперского” (ЛК) проводила седьмой по счету саммит вирусных аналитиков. В рамках этого саммита был организован пресс-день, куда пригласили СМИ. И наши журналисты смогли вдоволь и насмотреться, и наслушаться. Что там было на открытом дне 7-го саммита вирусных аналитиков ЛК – тема отдельная. Вкратце об этом событии вы можете узнать на форуме фан-клуба Касперского (forum.kasperskyclub.com/index.php?showtopic=3860) или прочесть небольшой репортаж на “Софткее” (www.softkey.info/reviews/review4675.php).

Дятлы

ВирЛаб – это именно то подразделение ЛК, которое спасает мир от вредоносов круглосуточно. И здесь работают те самые вирусные аналитики с ласковым прозвищем “Дятлы”, и результаты их работы в реальном времени отображаются на знаменитом вирусном мониторе новейших зловредин.

Работа же в Антивирусной лаборатории не прекращается ни на минуту, и постоянно на рабочих местах здесь находится как минимум два человека. Что они делают? Обрабатывают поток входящей информации. Собственно, основная задача вирусного аналитика… “Кто может сказать, в чем она заключается?” – спросил Станислав у присутствующих. “Наполнение базы зловредов”, – тут же ляпнула я. Чем же еще заниматься вирусным аналитикам, как не наполнением антивирусных баз? Оказалось, нет, основная задача – сказать, есть ли во входящем объекте вредоносный код или нет? Все остальное второстепенно. Определить, вредоносен объект или нет – вот персональная ответственность вирусного аналитика!

Как это все происходит. Приходит объект, попадает в систему приема и регистрации входящих сообщений (о которой подробнее будет рассказано ниже). Объект назначается на того аналитика, который сейчас работает в смену. Объект предварительно проходит автоматическую обработку, и у аналитика имеется вся предварительная информация для его анализа. Получив объект с этой информацией, аналитик принимает решение. Если ничего плохого в объекте не обнаруживается, то пользователю идет ответ: “Объект чист и т. д.”. Если в объекте имеется деструктивная составляющая, то аналитик “кладет сигнатуру”, то есть детектирует объект и добавляет его в персональную антивирусную базу. Ежечасно базы аналитиков собираются, и формируется некий единый апдейт, который идет на тестирование и обновление. Если апдейт проходит тестирование, то и выходит в публикацию. Сводные результаты отображаются на упомянутом экране-мониторе.

Помимо того что аналитик выносит вердикт, вредоносен объект или нет, он еще и классифицирует его. А весь этот процесс, которым круглосуточно занимаются вирусные аналитики, называют “долбанием” вирусов, отсюда их прозвище – Дятлы.

Сюрприз

Все вирусные аналитики ЛК умеют находить эту деструктивную составляющую, не используя никаких дополнительных средств. Как это делается, продемонстрировал нам на конкретном примере один из ведущих вирусных аналитиков Алексей Маланов. Это и было обещанным сюрпризом.

Как мне удалось понять, Алексей рассмотрел вредоноса изнутри, проанализировав его код на уровне языка программирования Assembler. Смотрела я на то, как лихо специалист расправляется с присланным по почте скринсейвером, содержащим ту самую деструктивную составляющую, и понимала, что не смогу все это повторить. Во всяком случае без предварительного обучения. Так что нам, простым пользователям, остается одно – полагаться на проактивную защиту антивируса, которая сумеет уследить за поведением программы и выявить ее опасные функции.

Задачи ВирЛаба

Чем занимаются сотрудники Антивирусной лаборатории помимо основной задачи – детектирования вредоносного кода? ЛК не делает из этого секрета, предоставляя любую информацию (в пределах разумного) о деятельности ВирЛаба и компании в целом.

ВирЛаб консультирует спецотделы различных компаний по вопросам антивирусных технологий. Очень тесно сотрудничает с юридическими службами компаний, оказывая консультационные и юридические услуги при проведении экспертиз. Экспертная помощь при этом оказывается как внешним, так и внутренним структурам спецслужб. “А если данные зашифрованы – то ли пофайлово, то ли в контейнере, то ли все диски целиком?” – засомневалась я. “Если для проведения экспертизы нужно получить доступ к данным, то мы его получаем”, – доходчиво ответил начальник ВирЛаба.

У ЛК есть программа “Школьный университет”, в рамках которой сотрудники ВирЛаба занимаются просветительской деятельностью в университетах и школах. Что интересно, в результате обучения по программам “Школьного университета” учащиеся проходят сертификацию и формируют собственное портфолио. (Вот и первый шаг в Дятлы!)

Ведется работа по созданию и поддержке собственной инфраструктуры, организации внешних ВирЛабов и тестовых площадок. Так, в конце прошлого года в качестве второй площадки тестирования был выбран Китай – основной источник заразы на сегодня. Теперь тестеры китайского ВирЛаба будут мониторить ситуацию на месте, делая предварительный анализ и отсеивая мусор из потока китайских зловредов.

Кроме того, ВирЛаб занимается научной деятельностью, постоянно дает интервью для всяких СМИ, и все перечисленное – лишь небольшая часть направлений подразделения.

Технологии Антивирусной лаборатории

Система приема и регистрации входящих сообщений

Я была бы не я, если бы не заглянула через плечо дежурного Дятла, чтобы увидеть, на чем он работает. Интересно же, куда попадают наши письма с подозрительными файлами, которые мы отправляем в ЛК! Я ожидала увидеть что-то типа почтовой программы, где входящие письма содержат прицепки-зловреды. На вид приложение NewVirus таким и оказалось. Но только на вид. Судя по количеству кнопочек-функций на активных панелях, это не просто какой-то небольшой инструмент, а крутейшая система! Она регистрирует эпидемии, распределяет нагрузку на работающих в данный момент аналитиков, включает в себя препроцессинг входящего потока и собирает статистику по нему. Можно только удивляться, насколько она многофункциональна – и за Дятлами следит (кто работает, а кто нет), и, в соответствии с приоритетами, назначает письма на тех или иных аналитиков, и предварительно обрабатывает входящие письма. Взгляните на приложенный скриншот – вот как она выглядит, эта система! Вот они – наши письма, их статусы, приоритеты и та предварительная информация (справа), на основе которой вирусный аналитик дает свое заключение.

Система контроля вирусных аналитиков

Когда я буду говорить “вчера”, то применительно к сегодняшнему разговору это следует понимать, как два-три года назад. Так вот, еще вчера аналитик мог допустить ошибку, и эта ошибка могла быть опубликована в очередном апдейте антивирусных баз (ведь аналитики тоже люди). И вчера в Антивирусной лаборатории было мало работников, да и вредоносного кода было не так много. Поэтому допущенная ошибка была малозаметной, но могла все же пройти.

Сейчас в ВирЛабе имеется еще одна достаточно серьезная система, которая предотвращает повтор известных ошибок – тех, что уже совершались. Система эта постоянно расширяется, и в нее вносятся изменения.

Взгляните на картинку – здесь зафиксирован пример фиксации подобной ошибки. Аналитик пытается ввести в базу чистый файл, и система выводит сообщение, запрашивая подтверждение ошибочного ввода, тем самым защищая от False-позитива. Как видите, Автоматическая система контроля вирусных аналитиков способна выявлять ошибки и не допускать их до публикации.

Движок

Несколько лет назад в ВирЛабе использовали движок, основанный исключительно на технологии сигнатурного детектирования. В движке работали и дополнительные методы, но основным все же был сигнатурный. Сейчас, в обновленном движке, присутствуют те же потоковые сигнатуры, но они гораздо шире. Помимо этого здесь имеется эвристический анализатор, поведенческий блокиратор, система белых и черных списков. И детектирующие технологии, которые используются в движке, не стоят на месте, а постоянно развиваются.

Новый редактор антивирусных записей выглядит гораздо внушительней по сравнению со старым – тем, что был два года назад. Кстати, движки эти – внутренние разработки ЛК, их никому никогда не показывают. Так что фактически вы первые (вместе со мной), кто видит подобную информацию. На скриншоте – как раз редактор нового движка. Это то, что находится перед глазами вирусного аналитика при занесении информации в вирусную базу.

Автоматы для Дятлов

Вчера аналитику необходимо было вручную, без всяких подсказок, открыв файл, определить ту уникальную сигнатуру, по которой нужно было наложить маску. То есть каждый сэмпл анализировался и классифицировался вручную вирусным аналитиком.

Сейчас в его распоряжении уникальная Экспертная система автоанализа и автоклассификации входящего потока. Эта система предлагает несколько вариантов уникальных строк, по которым можно наложить эту маску, и тут же выводит некоторую техническую информацию для определения дополнительных параметров наложения этой маски.

Вчера аналитик выбирал места для детектирования. Сегодня ему помогает в этом деле Система по автодетектированию классифицированных зловредов (поиск оптимального места для масок и метода детектирования).

Кроме того, в распоряжении аналитика большое количество информационных экранов, с помощью которых он может моментально получить любую дополнительную информацию. Тут и основной экран, и заголовки объектов, которые были протестированы, и служебная информация, говорящая о том, когда и какие апдейты были выпущены.

Хранилище

Представляете, сколько ВирЛаб накопила всевозможных зловредов за полтора десятка лет? К вашему сведению, их миллионы. И где же хранится все это “добро”? Естественно, на корпоративном сервере. Я пришла в ужас от одной только мысли, что такая огромная коллекция попадет в руки каких-то отморозков, и те ее выложат куда-то в интернет. Потом успокоилась. Во-первых, даже если такое случится, Антивирус Касперского точно найдет всю заразу, поскольку все эти явные зловреды давно занесены в его базу. Во-вторых, доступ к этому хранилищу имеют только вирусные аналитики, и забраться туда несанкционированно практически невозможно.

Это раньше были большие проблемы с хранением такого количества информации. Сейчас жизнь в ВирЛабе получше – и большое количество техники нового уровня, и каналы широкие и быстрые, и хранилище данных нехилое. ЛК первой в России закупила здоровенное Хранилище, которое было специально заказано и поставлено компании для хранения коллекций нужной информации. И ЛК им сильно гордится. Можете полюбоваться скриншотом – так выглядит одна из утилит (Command Shell) для управления Хранилищем. Там многое замазано – и правильно!

Технологии, аналогов которым вчера не было

Вероятно, вы сталкивались с ситуацией, когда ваш антивирус “ругался” на абсолютно безвредные файлы. Явление не из приятных. Так вот, в ВирЛабе появился комплекс технологий, предотвращающий подобные вещи. Составляющие этого комплекса: уже знакомая вам утилита False catcher; Система быстрого устранения ошибок (устранение ложных срабатываний); Система Generic record нового формата и Система хранения чистых файлов. Все это вместе позволяет не допускать наложения масок на чистые объекты и исправлять так называемые наложенные False-позитивы. Нужно добавить, что в ВирЛабе есть еще одна огромная коллекция – на этот раз чистых файлов. И наполнение этой коллекции вынесено в отдельный проект – настолько это важно!

Где учат на Дятлов?

Раньше вирусных аналитиков нигде и никто не учил. И сейчас ни в одном университете нет соответствующего курса. Только в ВирЛабе есть учебная система, которая создавалась за годы существования Антивирусной лаборатории (это около восьми лет). И благодаря этой системе было обучено и выпущено целых три поколения вирусных аналитиков! Вчера в ВирЛабе работали только вирусные аналитики. Сегодня – это те же Дятлы, но среди них уже есть Эксперты, есть Гуру, как их тут называют, и Варяги – другие специалисты таких узких областей, как направление статистики.

Как стать Дятлом

Чтобы приняли в Дятлы, нужна самая малость: достаточно быть профессионалом, продемонстрировать работодателю свои способности, навыки и свои проекты. Принимает на работу в ВирЛаб сам Шевченко. И, похоже, ему не нужны пенсионеры, поскольку Дятлу предстоит взбираться по карьерной лестнице. Однако и студенты не нужны. Сотрудники в ВирЛаб приходят в основном из Бауманки и МГУ.

“Как вы “рубите” кандидатов?” – спросила я у Станислава. “Первый этап отсева – это резюме, тут нужно читать между строк. Есть пара стандартных вопросов, но в основном подход индивидуален, иными словами – пробуешь понять ценностные мотивы человека и смотришь, вписываются ли его ценности в нужды ВирЛаба и компании? Есть, конечно, провокационные вопросы, но их раскрывать не стоит”, – как на духу ответил мне начальник ВирЛаба.

Мыть или не мыть – вот в чем вопрос

Я вам сейчас расскажу про уловки Шевченко – не все, конечно, только пару из них, что испытать довелось на себе. Когда мне удалось пообщаться с Е.К., только самую малость, я успела сказать, что осталась бы тут насовсем! “А это не ко мне, я не беру на работу. Это к нему!” – сказал генеральный директор ЛК и препроводил меня, конечно же, к Шевченко.

– Что вы можете сделать для ЛК такого, чего не сделают другие?

“Я б для батюшки царя родила богатыря”, – мелькнула у меня мысль-ответ. Но вслух я сказала:

– Я расскажу про КИСу так, что даже негр преклонных годов проникнется необходимостью антивирусной защиты и установит ее в своей хижине!

– А какие аргументы вы приведете?..

– Я буду давить на эмоции, сравнивая КИС 7 с “Мерседесом”, который, по сравнению с другими антивирусными решениями-“Запорожцами”, гораздо предпочтительнее!

– Чем?

– Два метра надежности перед лобовым стеклом!

И тут Шевченко задал мне свой каверзный вопрос: вот положит он мне в качестве з/п 4 тысячи “зеленых” – буду ли я мыть полы в Лаборатории за эти деньги? А я смотрела перед этим фильм о сотрудниках ЛК, где товарищ Шевченко объяснял, почему он не возьмет на работу людей, мыть полы согласившихся. Но поскольку работа-то мне не светила и терять мне, по сути, было нечего, то я сказала, что за эти деньги буду мыть полы не только в офисе ЛК, но и дома у вирусных аналитиков – по очереди. При одном лишь условии: пусть меня научат быть Дятлом!!! Серьезно. Еще серьезнее – я теперь знаю, чего не хватает КИС 7, и как его значительно улучшить. Но ни за что не скажу – пусть сначала научат.


Ложное срабатывание False-позитив

Это когда незараженный объект определяется антивирусом как зараженный ввиду того, что его программный код напоминает код вредоносной программы (www.viruslist.com/ru/glossary?glossid=151519313). Подобная ситуация наиболее часто возникает в некачественных антивирусных продуктах при установке максимально доступных уровней антивирусной защиты.

День вирусного аналитика

Он пришел на работу в 9:27. Обработал за 12 часовую смену 133 письма. Проанализировал 111 вредоносных объектов. Добавил 82 антивирусных записи. Ответил на один телефонный звонок. Начальник ему задал семь вопросов, он ответил. Сам же дернул начальника только два раза. Выпил 11 чашек кофе. В интернет заглянул всего лишь на минутку. Потратил 38 минут на обед. Выкурил шесть сигарет. Пообщался с коллегами 31 минуту и ушел в 22 часа 43 минуты.

Сеанс черной магии с разоблачением

Видите два графика? Это информация с 2004 по 2007 год. Зелененький график – это количество вредоносных объектов, добавленных в антивирусные базы данных. 2 млн 227 тыс. в 2007 году – много скажете? Смотрите на красный график – процент ложных срабатываний от общего потока. Всего лишь 0,05% ложных срабатываний допускается Антивирусной лабораторией!

Как отловить зловреда самому?

Рекомендации ведущего вирусного аналитика ЛК Алексея Маланова. В первую очередь стоит обратить внимание на имя файла. Двойное расширение, большое количество пробелов в имени файла, расширение исполняемого файла (bat, scr, exe, pif…), привлекательное имя файла (BritneySpearsNaked), а также иконка файла, несоответствующая расширению (например, иконка графического файла) – это уже подозрительно. Вдумчиво прочитав само письмо и имя файла, можно обезопасить себя от 95% заразы.

После этого необходимо открыть файл в Блокноте (или в шестнадцатеричном редакторе, если он есть). Поискать глазами читаемые строки в этом файле. Если строчек нет, то файл, скорее всего, упакован. К сожалению, без распаковщика или мощного антивирусного движка проанализировать файл не удастся. Упакованные файлы также очень подозрительны. Если же строчки есть, то в них обычно сосредоточено 90% функционала файла. Например, популярный зловред, ворующий пароли, Trojan-PSW.Win32.LdPinch содержит в себе строки:

\Mail\accounts.ini \profile\wand.dat

\account.cfg \account.cfn \BatMail\

и многие другие, которые выдают его функционал с головой. Ну и, конечно же, не стоит забывать про Free online virus scan (www.kaspersky.com/scanforvirus). Здесь вы бесплатно проверите свой подозрительный файл с помощью Антивируса Касперского. Сервис обновляется каждые три часа, так что даже новейшие вирусы будут обнаружены.

Год смерти некоммерческих зловредов!

Эти картинки взяты из презентации Дэвида Эмма, старшего технологического консультанта, Kaspersky Lab UK, на 7-м Саммите вирусных аналитиков. Знаете, что поразило в его докладе? Две вещи. Взгляните на первый график, иллюстрирующий виды и количество вредоносного ПО в ежедневных обновлениях ЛК. Видите, насколько мала доля мелкого компьютерного мошенничества и хулиганства? Ничтожна! Только не радуйтесь преждевременно. Видите красную стрелу, резко рванувшуюся вверх – под углом примерно в 75 градусов? Это киберпреступность прет вверх!

А вот конец глобальных эпидемий, явно показанный на другом графике, наоборот, радует. С 2004 года число таких эпидемий резко пошло на спад, и с 2005 года не превышало пяти случаев за год (в Windows все дырки заткнули?). Из обоих графиков можно сделать вывод, что вредоносные программы сейчас пишутся и используются не для каких-то шуток и самовыражения. Игра пошла с высокими ставками, и в игре этой используются как знакомые всем, но постоянно совершенствуемые методы и технологии (трояны, спам, эксплойты, ботнеты), так и совершенно новое вредоносное ПО. И, самое главное, эти вредоносные новинки учатся защищаться/скрываться от детектирования их антивирусами. Дэвид подробно рассказал о различных способах такой самозащиты вредоносов, из которых самыми впечатляющими мне показались обфускация и упаковка вредоносного кода. Один из примеров – полиморфное шифрование кода, когда код меняется от заражения к заражению. Или еще интереснее – серверный полиморфизм, когда алгоритм изменения находится не в теле вируса, и поэтому его анализ затруднен.

Осторожней с одноклассницами!

Фишинг в этом году очень здорово переориентируется и нацелится на пользователей социальных сетей! Любимыми местами злоумышленников станут такие сервисы, как Facebook, MySpaces, Livejournal, Blogger и ваши дорогие “Одноклассники”. Учетные данные абонентов таких сервисов будут пользоваться повышенным спросом, так что пишите и рассказывайте в своих анкетах о себе побольше! Зачем мошенникам трудиться и взламывать сайты, размещая на них вредоносов? Гораздо проще распространять своих троянов через аккаунты доверчивых “хомячков” – пользователей социальных сетей, через их блоги и профили. Это и будет твориться в 2008 году, и множество троянских программ для этой цели уже заготовлено. Считаете себя грамотным и осторожным пользователем? На вашу долю заготовлены XSS\PHP\SQL-атаки. Тут никакого обмана, как в фишинге – атаки в лоб, базирующиеся на ошибках и уязвимостях самих Web 2.0. А цель одна – приватные данные и создание некоторых баз/списков для проведения последующих атак при помощи “традиционных” способов.

Берегите мобильные!

Если средства разработки приложений для iPhone (SDK) станут общедоступными, как это анонсировала компания Apple в конце 2007 года, можно ждать глобальной эпидемии – мобильной! Именно новизна и популярность iPhone привлекут к нему большее внимание злоумышленников, чем к другим мобильным устройствам. Предпосылки для этого есть, и “первый троянец” для iPhone уже создан! У вас простой мобильник или смартфон? Эпидемий можете не опасаться, но обороняться от примитивщины типа троянов семейства Skuller для Symbian нужно. И защищать операционку и приложения для смартфонов тоже придется.

Игровые троянцы рулят!

Если рассматривать итоги 2007 года в количественном выражении, то “игровые” троянцы одержали безоговорочную победу: их число значительно превысило показатели “банкеров”! Здесь важно отметить, что пока прямой конкуренции между этими двумя семействами троянских программ нет – их целевые аудитории не пересекаются. Это подтверждает и тот факт, что ЛК пока не известны игровые троянцы, умеющие воровать банковские счета. Хотя теоретически в создании такого “гибрида” нет ничего сложного, в реальности, вероятно, данный функционал не является необходимым и интересным для вирусописателей.