Резюме вирусного аналитика

Предисловие
Владислав Борисенко, вирусный аналитик компании Agnitum, поделился с нами некоторыми деталями своей работы.

Расскажите немного о себе – Ваше образование, чем занимаетесь, когда не работаете, может, еще что-нибудь.
Ну, я думаю, я человек обычный, просто так уж случилось, что я знаю кое-что о компьютерах и угрозах, которые усложняют нам нашу виртуальную жизнь.

Я закончил Санкт-Петербургский Политехнический Университет, факультет управления и информационных технологий, и с тех пор занимаюсь вопросами компьютерной безопасности. В Agnitum я работаю уже 3 года, изначально отвечал за пополнение базы сигнатур для антитрояна Tauscan. Потом, когда мы занялись обнаружением шпионских программ, стал старшим вирусным аналитиком. Сейчас в мои обязанности входит как можно быстрее обеспечивать пользователей новейшими базами spyware и malware-сигнатур. Еще я работаю над проектом ImproveNet, который помогает пользователям получать новые протестированные наборы правил.

На досуге люблю покопаться в «железе» (наверное, неудивительно). А еще люблю мотоспорт и чтение. Люблю путешествовать, когда удается ненадолго скрыться от «вредоносин». Это, собственно, привело к тому, что я заинтересовался вопросами окружающей среды. Не очень понимаю, как у одних есть реактивные самолеты для личного пользования, в то время как миллионы в Азии и Африке вымирают от эпидемий и недоедания. Может быть, в будущем я даже поучаствую в какой-нибудь гуманитарной программе. Но будет ли уничтожено malware к тому времени, чтобы мне заняться этим?.. Вряд ли, думаю.

Откуда Вы берете на все это время, если работаете круглые сутки над «расчленением» вредоносного ПО?
В жизни нужен баланс. В этом деле всегда приходится быть начеку и действовать, чтобы быть впереди «плохих парней». Хотя, даже несмотря на то, что мы работаем без выходных круглые сутки, я стараюсь посвящать свое свободное время своим личным интересам и семье. Это всегда непростая задача, потому что malware обычно плодится в выходные, когда бдительность пользователей снижается, но мысль о том, что мы должны защищать системы пользователей в онлайне, заставляет меня работать.

Есть интересная ТВ-программа «Как это сделано». В ней рассказывается о том, как продукты проходят процесс от появления идеи до создания готового образца. Вы можете кратко описать, «как это сделано» по части борьбы с вредоносным ПО?
Ну, я могу написать об этом книгу, как вы понимаете. Но чтобы не усложнять все, попробую описать процесс кратко, не вдаваясь в технические подробности (и ноу-хау Agnitum).

Первым шагом мы собираем образцы «вредоносин» («сэмплы») и файлы, содержащие подозрительные вредоносные коды, чтобы проанализировать их и, возможно, включить в нашу базу сигнатур. Сэмплы мы получаем из разных ресурсов: через наш сайт, от партнеров, в том числе и других производителей anti-malware ПО– если где-то происходит «вспышка инфекции», то работаем все вместе, чтобы пользователи могли получить защиту по возможности скорее. Еще мы используем специальную систему программных средств, которые «прочесывают» паутину в поисках следов вредоносных кодов и встроенных эксплойтов и передают свои находки в нашу лабораторию для более скрупулезного внутреннего исследования инженеров. А если этого недостаточно, мы проверяем наши почтовые сервера на предмет вредоносных программ, принесенных спамом. Каждый элемент подозреваемого кода проходит автоматическое сканирование и оценку, чтобы мы могли выявить неизвестные угрозы на ранней стадии сложного процесса анализа.

После завершения этой (первой) стадии подозрительный код проверяется на вредоносную деятельность и поведение с использованием виртуальных машин. Это такие же операционные системы, как и обычные Windows, только установленные на отдельные компьютеры и имеющие программное обеспечение, позволяющее тут же вернуть состояние системы к тому, каким оно было до запуска кода. Наши аналитики отслеживают произошедшие в системе изменения, и если определяют вредоносное влияние, причиной чему был тот или иной сэмпл, то он тут же помечается как malware.

Более продвинутые авторы вредоносного ПО придумали технологию определения виртуализированной среды и реагирования на нее дезактивацией своих вредоносных намерений, чтобы не быть тут же обнаруженными. В этом случае мы применяем уже наши собственные усовершенствованные технологии детекции.

Аналитику необходимо посмотреть на первоначальный код в «открытом виде», в котором содержится «боевая часть» malware. Для этого файл конвертируется в формат, пригодный для человеческого восприятия и анализа с помощью одного из следующих методов:

• Распаковка. Код может быть в запакованной (архивной) форме, которая требует использования специальных программ-«распаковщиков» для отображения своего содержимого.
• Декодирование. Если файл зашифрован, нужно найти соответствующий ключ-декодер, которым можно декодировать файл, чтобы представить его в доступном для аналитика виде.
• Декомпиляция / дизассемблирование. Декомпиляция – это получение исходного кода исполняемого файла, что может применяться в языках программирования высокого уровня таких, как Delphi, C или C++. Дизассемблирование – это преобразование исполняемого файла в программу на языке ассемблера. Данный процесс позволяет аналитику увидеть «сырой» код и проанализировать его вручную.

Как только malware было выявлено наверняка, база сигнатур должна обновиться. Мы используем наш фирменный редактор, чтобы управлять сигнатурами, а в некоторых случаях готовим специализированный эвристический аналитический модуль, который выявляет угрозы больше по их поведению, чем по коду.

После того, как обновления готовы, они тестируются на машинах с разными версиями Windows, установленным Outpost Pro и большим количеством разнообразных приложений, чтобы убедиться, что у пользователей не возникнет проблем после их установки. После этого новые пакеты обновлений выкладываются на наши сервера, готовые к распространению новых сигнатур среди наших пользователей.

А вот интересно, какие средства вы применяете для всех этих действий?
За исключением виртуальных машин, большинство наших программ являются собственными разработками наших инженеров.

Как вы считаете, как будет развиваться индустрия компьютерной безопасности?
Сейчас мы наблюдаем увеличение количества смешанных угроз, т.е., например, троянов и «кейлоггеров» (клавиатурных шпионов), спрятанных в очень функциональном рутките, который позволяет им оставаться в системе невидимыми. Еще замечено вредоносное ПО, нацеленное на определенные прикладные программы, в частности, на продукты безопасности, которое стремится их взломать, тем самым, обеспечив себе свободный вход в пользовательскую систему. И то, и другое является нашим постоянным объектом внимания, как с точки зрения анализа, так и с точки зрения защиты пользователей. Единственным способом сделать нашу работу более эффективной является, в первую очередь, трата больших сил на предотвращение попадания malware на пользовательские компьютеры. Поэтому инженеры Agnitum концентрируются на разработке методов мониторинга и блокирования поведения подозрительных приложений.

Вы имеете в виду некую форму HIPS (системы предотвращения локального вторжения)?
Да, это вид проверки, который отслеживает поведение программ с целью убедиться, что они не производят никаких вредоносных действий в системе. Пользователи смогут воспользоваться данным типом проверки в следующих продуктах Outpost.

Тогда на этой хорошей ноте и подведем итог. Может, у вас есть какое-то напутствие или совет для наших читателей?
Спасибо, что дали мне возможность пообщаться напрямую с нашими пользователями. Хотелось бы пожелать им безопасных путешествий в мире интернета, а еще помнить, что знания, умноженные на практику безопасной навигации в сети и надежную защиту, являются наилучшей обороной.