Вирусный аналитик not лаборатория касперского

Содержание
  1. Один день в роли антивирусного аналитика «Лаборатории Касперского»
  2. Иди и работай!
  3. 11:00 Начало дня
  4. 11:30 Знакомство с вирусной лабораторией
  5. 12:00 Подготовка к работе
  6. 12:30 Разминка
  7. 13:30 Высокоуровневый ужас call’ов и переходов
  8. 14:30 Обед
  9. 15:00 Препарирование пациента на Visual Basic
  10. 16:00 Старый добрый Си
  11. 17:30 Экскурсия по офису Kaspersky Lab
  12. Заключение
  13. Шестой саммит вирусных аналитиков «Лаборатории Касперского»:
  14. Новая классификация вредоносных программ
  15. 1. Malware
  16. 2. PUPs
  17. Проблемы сохранности личных данных и методы компьютерной кражи информации
  18. 1. Фишинг
  19. 2. Скрытая слежка за действиями пользователя
  20. 3. Воровство конфиденциальных данных
  21. Антивирус или самолечение?
  22. Профессия вирусный аналитик: кто такой, чем занимается, сколько зарабатывает
  23. Как стать вирусным аналитиком
  24. Изучение вирусных атак
  25. Рабочий день вирусного аналитика
  26. Человеческий фактор в антивирусной защите
  27. Страны проживания создателей вирусов вычисляют по математической школе
  28. Почему в Казахстане не пишут вирусы?
  29. Кого не возьмут на работу в Лабораторию Касперского
  30. Антивирусный эксперт «Лаборатории Касперского» рассказывает о блокчейне И предлагает пройти тест! — Meduza
  31. Как устроен блокчейн
  32. Чем хорош блокчейн
  33. Чем плох блокчейн
  34. Блокчейн в «Лаборатории Касперского»

Один день в роли антивирусного аналитика «Лаборатории Касперского»

Вирусный аналитик not лаборатория касперского

Наша редакция решила провести эксперимент — проверить на вкус разные ИТ-шные профессии. И первым в списке оказался антивирусный аналитик. В прошлом у меня был некоторый опыт в реверсинге, поэтому добрые коллеги сказали: «Дятлом будешь ты!» И вот мой рассказ, каково это — анализировать семплы, будучи в обойме аналитиков большой антивирусной компании.

Иди и работай!

Утро, 30 января. Я стою перед тремя новенькими корпусами «Лаборатории Касперского», сотрудники которой с энтузиазмом приняли наше предложение и сказали: «А почему бы и нет?» Тут надо заметить, что с момента новоселья в августе прошлого года сюда приезжало немало журналистов, которые фоткали кабинет Евгения Касперского и с радостными воплями постили фоточки в .

Ми-ми-ми! Но мы-то с тобой знаем, что понять внутреннюю кухню компании, не поработав в ней хотя бы денек, невозможно. Сфотографировать пирожок в буфете и голубоглазую блонди на ресепшене может каждый. Мы же попробуем сделать реальную работу — проанализируем парочку семплов, почувствовав себя в шкуре антивирусного аналитика. По крайней мере, я договаривался об этом.

Да, эту фотографию нам дали в ЛК. Поэтому на ней солнце, трава и лето:)Другие статьи в выпуске:

  • выпуска
  • Подписка на «Хакер»

11:00 Начало дня

На входе меня встретила приятная девушка Маша из департамента корпоративных коммуникаций. Чтобы ты понимал: это те люди, которые делают так, чтобы журналисты писали про компанию только хорошее.

Маша явно оказалась бывалым бойцом. Она точно знала, куда меня вести. Завтракать! Вообще, если бы так начинался день антивирусного аналитика, то я бы подписался на работу прямо сейчас.

Но мы с тобой понимаем, что это не так :).

Первое место, где я оказался. Крутая столовая

11:30 Знакомство с вирусной лабораторией

В самом начале меня познакомили с двумя моими наставниками — Борисом и Олегом, опытными антивирусными аналитиками. Наверняка их предупредили, что придет какой-то журналист, с которым придется целый день нянчиться и делать вид, что у него получается работать :).

Эй, парни, надеюсь, я  вас не разочаровал.
Они немного рассказали о самой вирусной лаборатории. Смена рядовых антивирусных аналитиков (в простонародье — «дятлов») в московском офисе начинается в 13:00 и заканчивается в 21:30.

Раньше ребята работали круглосуточно в четыре смены, но сейчас время распределено между московским, американским и китайским офисами. Умно: получается так, что все работают в дневное время.

Именно к этим парням поступают всевозможные вредоносные и не очень файлы от пользователей, ханипотов и партнеров (других антивирусных компаний и некоторых небезызвестных проектов вроде VirusTotal).

Поток файлов очень большой (ежедневно обрабатывается более 315 тысяч вредоносных объектов), поэтому в ход пускается и автоматика, которая может дать вердикт большей части поступающих файлов.

Оставшаяся же часть ложится на плечи немногочисленных участников знаменитого круглого стола (смотри фотографию выше).

Подавляющее большинство файлов здесь приходится на операционные системы Windows (кто бы сомневался), все остальные платформы по-прежнему составляют доли процента. Впрочем, отставим холивар.

«Дятлами» прозвал вирусных аналитиков еще очень давно сам Евгений Касперский за издаваемый постоянный интенсивный стук по клавиатуре.

Над самим круглым столом расположены мониторы с дашбордами, показывающие статистику в реальном времени, в том числе количество обработанных каждым участником семплов. В работе присутствует определенный соревновательный дух, но на лошадку с моим именем я бы сегодня не ставил.

Задача аналитка предельно понятна: после того как файл попал в его руки, ему нужно определить, какие действия выполняет семпл.

Необходимости описывать в деталях деятельность каждого образца нет, нужно лишь выявить конкретные вредоносные действия или их отсутствие (конечно же, на анализ нередко приходят вполне себе легитимные программы).

Отдельно стоит передать привет тем пользователям, которые присылают архив всего диска С: или папку WINDOWS с комментарием: «У меня тут что-то не так работает, проверьте, плиз».

В зависимости от обнаруженных активностей семплу присваивается определенный тип. У Kaspersky Lab существует строгая классификация объектов, одна из самых распространенных в антивирусной индустрии, в том числе и у других антивирусных вендоров.

12:00 Подготовка к работе

Первый день антивирусного аналитика начинается незатейливо — с настройки рабочего ноутбука. Понятно, что надо заранее позаботиться о безопасности при анализе поступающих файлов, чтобы случайно не заразить рабочую систему.

Вдумчивый читатель заметит: почему бы не использовать изолированное окружение, виртуальные машины? И будет прав, эти методы тоже активно используются, но имеют недостатки, так как серьезная малварь всегда пытается определить запуск в виртуальном окружении и лишний раз себя не выдавать.

Для безопасной работы на компьютер устанавливается родной антивирус Касперского, а в исключения добавляется рабочая папка с семплами: иначе часть рабочего материала может ликвидироваться еще до анализа.

Также настраивается политика ограниченного использования программ, а именно запрещается запуск файлов из рабочей папки с потенциально опасными расширениями. Это делается стандартными средствами Windows.

Судя по всему, далее новоиспеченный антивирусный аналитик устанавливает необходимое специализированное ПО для анализа, но на моем ноутбуке оно уже было:

  • IDA Pro — Ида не нуждается в представлении. Известнейший мультиплатформенный дизассемблер, который поддерживает множество форматов файлов, обладает широкой функциональностью и автоматическим анализатором кода;
  • HIEW — олдскул, известный дизассемблер. В отличие от неповоротливой IDA Pro, он легок и быстр, хотя и не обладает таким продвинутым анализатором кода и наличием разно­образных приблуд;
  • ILSpy — декомпилятор файлов для платформы .NET. Как известно, исполняемые файлы .NET компилируются в промежуточный MSIL-код, непригодный для взора обычных дизассемблеров, на этот случай есть инструменты вроде ILSpy;
  • VB Decompiler — декомпилятор для исполняемых файлов Visual Basic. На выходе дает файл, по содержанию напоминающий исходный код исполняемого файла, по которому можно определить суть проделываемых им действий.

Конечно, это далеко не полный набор инструментов, используемых в работе, но мне на день хватило и этого. Кстати, интересный момент: в начале его пути анти­­­вирусному аналитику не разрешается использовать никаких средств динамического анализа (OllyDbg, WinDbg, etc.). Только статика, только хардкор!

12:30 Разминка

Когда все было готово к бою, мне на выбор было предоставлено несколько файлов, которые предстояло проанализировать. Хотелось для начала взять что попроще, но, к сожалению, по имени файлов судить было невозможно.

Названия представляют собой нечто вроде хеша MD5, иначе говоря — бессмысленный набор цифр и букв. Расширений нет. Тогда я решил обратить внимание на размер файлов и взял самый мелкий. И не ошибся: этим файлом оказался слегка обфусцированный скрипт на Visual Basic.

Для его анализа достаточно было обычного Notepad’а и немного наблюдательности. Специально для читателей я размещаю этот пример в первозданном виде на страницах журнала и не буду раскрывать деталей деятельности данного образца.

Скажу лишь только, что семпл относится к категории Trojan-Downloader. Первый готов, переходим к следующему примеру!

Разминочный семпл на Visual Basic

13:30 Высокоуровневый ужас call’ов и переходов

Следующий файл я выбрал уже случайным образом, и он оказался более весомым — порядка сотни килобайт. В IDA Pro я заметил интересную строку, в которой фигурировали слова Borland и Delphi, что недвусмысленно намекало на средство разработки этого семпла.

Специфика Delphi в том, что начинать анализ исполняемого файла с точки входа бесполезно чуть менее чем полностью: при таком подходе аналитик столкнется с over9000 всяческих вызовов и переходов в ассемблерном коде.

Гораздо более правильным подходом будет начинать с другой стороны — просмотреть список используемых строк и импортов функций. В списке строк были обнаружены весьма интересные элементы, содержащие названия всех функциональных клавиш на клавиатуре.

А в импортах — функция, которая возвращает нажимаемые на клавиатуре кнопки. Также были замечены импорты функций создания и записи в файл. После просмотра соответствующих мест в коде, где используются эти функции, был вынесен окончательный вердикт — этот семпл относится к категории Trojan-Spy.

Однако в этом случае была представлена лишь часть троянского функционала, то есть сбор вводимой с клавиатуры информации, но никак не была реализована передача лог-файлов злоумышленнику. Это означает, что перед нами лишь один из модулей троянской программы.

Новоиспеченный дятел, или ваш покорный слуга весь в работе

315 тысяч вредоносных объектов ежедневно обрабатывается в ЛК

14:30 Обед

Обед оказался еще вкуснее, чем завтрак. Конечно, уже без улыбающейся девушки напротив, но зато с разговорчивым аналитиком, который посвящал меня в тайны касперского двора. Тут надо сказать, что ЛК компенсирует сотрудникам 300 рублей на питание ежедневно. Способ проверенный: хочешь привлечь классных сотрудников — дай им крутую задачу и хорошо накорми. Даже обидно: как мало нам надо :).

15:00 Препарирование пациента на Visual Basic

После обеда снова в бой. Еще один семпл на VB. Но этот объект отличался от первого тем, что здесь мы имеем дело со скомпилированным файлом, то есть исполняемым файлом Visual Basic. Это легко узнать по строковым константам, используемым в файле.

К счастью, в природе существует прекрасная утилита VB Decompiler — декомпилятор для исполняемых файлов Visual Basic. Она преобразует исполняемый файл в скрипт на VB, более пригодный для анализа, хотя и в не сильно привлекательном виде.

Быстрый анализ выявил, что этот семпл призывал пользователя зайти на некоторые подозрительные сайты. С одной стороны, это не является зловредной активностью, с другой — на этих сайтах пользователя, скорее всего, ждут неприятности, поэтому детектировать такие объекты тоже нужно.

Такие программы будут относиться к категории Riskware. Выбор, детектировать или нет подобные программы, лежит на пользователе. По умолчанию в антивирусных продуктах конкретно Kaspersky Lab детектирование Riskware отключено.

16:00 Старый добрый Си

Честно сказать, меня немного опечалило такое большое количество выпавших мне высокоуровневых зловредов, однако, как выясняется, это устойчивый тренд.

Доходит до того, что вирусные писатели вконец наглеют — пишут малварь на каком-нибудь питоне или языке для автоматизации AutoIt, а потом компилируют это дело в exe.
Но все-таки удалось найти что-то более классическое — файл на языке С.

То количество функций, которые я увидел в экспортах, подсказывало, что мы имеем дело с динамически подключаемой библиотекой. А имена экспортируемых функций намекали на то, что перед нами один из модулей троянской программы.

Кроме того, в строковых константах были обнаружены имена многих антивирусных продуктов. Можно сделать вывод, что здесь используется какой-то обход антивирусов. Однако бывает так, что и во вполне безобидных программах появляются подозрительные строки с названиями антивирусов и путей их установки.

Например, WinRAR: тут эти строки служат для того, чтобы можно было удобно просканировать архив на наличие вирусов через контекстное меню. В итоге можно сказать, что анализируемый объект с высокой долей вероятности попадет в категорию Trojan, хотя сама по себе библиотека и не выполняет никаких вредоносных действий.

Наставник пытается донести до меня истину

17:30 Экскурсия по офису Kaspersky Lab

День близился к завершению, и поэтому нужно было закончить одно начатое дело. А именно — посмотреть офис компании. Как я уже говорил, новоселье в этом месте справлялось относительно недавно — в августе прошлого года. Офис, как это сейчас принято, построен по принципу openspace — в виде открытого пространства без кабинетов.

Мне такой подход нравится, хотя немало людей сейчас скажут: «Кошмар!» Стеклянные перегородки, диваны для отдыха, пикник-зоны с кофе и фруктами — все сделано для удобства сотрудников. Я, как человек увлеченный, особо хочу отметить тренажерный зал, не уступающий по оборудованию многим фитнес-центрам.

Кстати, у ЛК есть даже своя команда по пауэрлифтингу, и этому виду спорта в зале уделено особое внимание. Словом, мне понравилось :).

В непринужденной обстановке. Видимо палку забыли отфотошопить

Заключение

За неполный рабочий день я сумел разобрать четыре семпла. Не без посторонней помощи, конечно :). Для типичного антивирусного аналитика это непозволительно мало — за такое, наверное, даже стреляют.

Средний темп работы должен быть в четыре-пять раз быстрее! Здесь может показаться, что работа аналитика очень напряженная, но это не совсем так. Обстановка в лаборатории довольно спокойная, никакой суматохи я не заметил. Поэтому я сделал вывод, что не они очень быстро работают, а я — очень медленно :).

И это нормально, за первый день работы антивирусный аналитик может разобрать и один семпл, а скорость приходит с опытом. По крайней мере, меня так утешали.

В среднем вирусному аналитику на анализ одного объекта требуется 20 минут. Итого получается 20-25 объектов за смену.

Источник: https://xakep.ru/2014/07/28/one-day-as-kaspersky-researcher/

Шестой саммит вирусных аналитиков «Лаборатории Касперского»:

Вирусный аналитик not лаборатория касперского
репортаж с открытого пресс-дня

Саммиты вирусных аналитиков «Лаборатория Касперского» проводит дважды в год. В этот раз в рамках уже 6-го по счету саммита компания решила организовать открытый день для прессы, чтобы представить своих ведущих российских и зарубежных специалистов и поделиться актуальной информацией о ситуации на рынке.

Открыл мероприятие Евгений Касперский, директор департамента инновационных технологий «Лаборатории Касперского», выступивший с приветственным словом. Бодро поприветствовав собравшихся, он в двух словах охарактеризовал ситуацию в интернете: «К сожалению, интернет превращается в некое подобие Чикаго 36-го года или Москвы 94-го.

В интернете все больше криминала, и пока мировое сообщество не знает как с этим бороться». Год за годом ситуация обостряется в два-три раза, увеличивается количество криминальных групп и вредоносного софта.

По ориентировочным подсчетам «Лаборатории Касперского», в настоящее время, например, действует как минимум тысяча групп или индивидуалов, которые занимаются разработкой троянских программ и активным криминальным бизнесом.

Первый доклад после приветственного слова Евгения Касперского сделал Станислав Шевченко, начальник отдела антивирусных исследований «Лаборатории Касперского». Он рассказал о новой классификации вредоносных программ, разработанной в компании.

Новая классификация вредоносных программ

Наведение порядка в именовании вредоносных программ в «Лаборатории Касперского» решили начать с проводов на пенсию такого понятия, как вирус. Его определение компания настоятельно рекомендует забыть как своим сотрудникам, так и пользователям.

Дело в том, что сейчас практически не встретишь вирусов в их исконном смысле, а мы в большинстве своем продолжаем по привычке активно использовать этот термин, ошибочно причисляя к вирусам все виды вредоносных программ, такие как трояны и черви.

Итак, привыкаем к универсальному понятию «вредоносная программа».

Что касается классификации, то эта, казалось бы, не такая сложная задача — распределение вредоносных программ по признакам, функциям и свойствам на группы — вызывает большое количество вопросов. Во многом это связано с тем, что вредоносный код давно перестал быть простым, неся в себе пересекающиеся функциональности.

Отсюда и сложности с неоднозначностью именований вредоносных объектов и их переводом на иностранные языки, а также ориентацией в их многообразии. При этом не стоит забывать, что у каждой из антивирусных компаний свой взгляд на классификацию «вредоносов», что уже само по себе вносит свою лепту в информационный сумбур.

Результат всего вышесказанного каждый из нас в полной мере может ощущать на себе, например, просматривая сводки о вирусной активности от различных разработчиков антивирусного ПО — один и тот же «вредонос» может иметь множество имен, на расшифровку которых потребуется немало времени (пример будет чуть ниже).

Эту классификацию «Лаборатории Касперского» уже можно назвать достоянием истории

Обновляя свою классификацию вредоносных программ, специалисты «Лаборатории Касперского» преследовали следующие цели: устранить неоднозначность понятий, добиться понятного и наглядного именования вредоносных программ, логично разделить их на классы. В итоге в компании решили все детектируемые объекты разделить на две большие группы:

1. Malware

Malware — вредоносные программы, созданные специально для не санкционированного пользователем уничтожения, блокирования, модификации или копирования информации, нарушения работы компьютеров или компьютерных сетей.

К данной категории относятся вирусы, черви, троянские программы и иной инструментарий, созданный для автоматизации деятельности злоумышленников (инструменты для взлома, конструкторы полиморфного вредоносного кода и т.д.).

2. PUPs

PUPs (Potentially Unwanted Programs, читается как «папс», хотя в России скорее всего это будет «пупс» :-)) — программы, которые разрабатываются и распространяются легальными компаниями, могут использоваться в повседневной работе, например, системных администраторов.

Казалось бы, за что их тогда детектировать? Проблема заключается в том, что некоторые программы обладают набором функций, которые могут причинить вред пользователю только при выполнении ряда условий.

Например, программу удаленного администрирования Radmin можно сравнить с кухонным ножом, который в руках злоумышленников легко может стать орудием преступления.

Именование детектируемых объектов «Лаборатория Касперского» предлагает производить по следующей схеме:

Для наглядности руководитель антивирусной лаборатории сразу привел пример:

DoS.Linux.SinkSlice — вредоносная программа, предназначенная для проведения атаки типа «Denial of Service» («Отказ в обслуживании») на удаленный сервер. Является исполняемым файлом Linux (ELF-файл).

«Вредонос» DoS.Linux.SinkSlice также известен как:

По словам Станислава Шевченко, новая классификация и правила именования детектируемых объектов уже успешно опробованы в «Лаборатории Касперского». В ближайшие полтора месяца компания рассчитывает полностью внедрить классификацию у себя.

Всё бы хорошо, но глобальная проблема отсутствия единой терминологии как была, так и останется… «Лаборатория Касперского», правда, искренне надеется, что ее классификация не останется без внимания других участников рынка.

В компании отметили, что после окончательного внедрения новой классификации внутри «Лаборатории Касперского» специалисты предложат ее другим антивирусным лабораториям.

Проблемы сохранности личных данных и методы компьютерной кражи информации

Технический консультант по безопасности Kaspersky Lab UK Дэвид Эмм (David Emm) и заместитель директора департамента инновационных технологий «Лаборатории Касперского» Николай Гребенников в своих докладах затронули актуальную проблему кражи конфиденциальных данных через интернет.

Как известно, тактика малозаметных «локальных» эпидемий, пришедших на смену глобальным эпидемиям, последние несколько лет пользуется всё большей популярностью у киберпреступников.

Причем наблюдается четкая корреляция — с ростом числа онлайн-транзакций растет и количество онлайн-преступников, а также объем ущерба.

Дэвид Эмм, в частности, привел некоторые статистические данные по Великобритании:

Улучшения ситуации ждать не приходится, наоборот, интернет становится доступным дома и на работе, «умнеют» мобильные устройства, развиваются социальные сети и сервисы, увеличивается объем электронного документооборота — эти и многие другие факторы делают пользователей всё более уязвимыми для преступников. Впадать в паранойю по этому поводу, конечно, не стоит (надеюсь, что никто и не собирался), куда полезнее знать о возможных угрозах и методах защиты от них.

Николай Гребенников выделил в своей презентации три способа кражи информации:

1. Фишинг

Злоумышленники создают фальшивую веб-страницу, имитирующую страницу реально существующего банка или другой финансовой организации. Затем пользователю посылается запрос на передачу конфиденциальной информации, обычно в виде электронного письма от имени сотрудников организации.

При этом в письме используются методы социального инжиниринга:

  • используются логотипы банка, имена и фамилии реальных руководителей;
  • ссылка в письме выглядит как реальная веб-страница организации, но при ее активации загружается поддельная страница;
  • происходит «запугивание» пользователя, например, временным закрытием доступа к счету, если пользователь не введет регистрационные данные на указанной веб-странице за ограниченный период времени.

Попавшись на удочку, пользователь сам передает злоумышленникам конфиденциальную информацию. Это принципиальное отличие фишинга.

2. Скрытая слежка за действиями пользователя

Этот способ подразумевает использование специальных троянских программ шпионов (одним из основных классов шпионов являются кейлоггеры).

Они осуществляют мониторинг и сохранение в отчете нажатий клавиш, посещаемых веб-сайтов, списка запущенных приложений, сообщений, передаваемых с помощью систем мгновенных сообщений ICQ, Yahoo, MSN, и т.п. Кейлоггеры умеют работать и со снимками экрана.

В зависимости от настроек, трояны-шпионы могут активироваться при заходе на определенные сайты, запуске некоторых программ, при наборе ключевых слов и др.

3. Воровство конфиденциальных данных

Еще одна угроза — троянские программы-воры. Они выполняют поиск конфиденциальных данных на компьютере пользователя и передают их злоумышленнику. Главной целью таких троянов является кража информации о системе пользователя и паролей к различным программам и сервисам.

При этом весь процесс сбора и передачи информации незаметен для пользователя-жертвы:

  • троянская программа анализирует различные источники (защищенное хранилище Windows, ключи реестра известных программ и т.п.);
  • после сбора информации из указанных источников троянская программа обычно шифрует ее и сжимает в файл;
  • данный файл может быть либо отправлен по электронной почте, либо выложен на FTP-сервер злоумышленника.

Николай Гребенников отметил, что одним из новых классов воров являются троянские программы, предназначенные для кражи учетных записей многопользовательских онлайн-игр (MMORPG): Trojan-PSW.Win32.Lineage.agi, Trojan-PSW.Win32.WOW.el и др.

Что касается методов защиты, то ничего принципиально нового специалисты «Лаборатории Касперского» не сказали, пользователям рекомендуется:

  • устанавливать ПО для защиты от IT-угроз — антивирусные продуты, спам-фильтры, сетевые экраны;
  • поддерживать базы антивирусных продуктов в актуальном состоянии и регулярно обновлять операционную систему;
  • избегать сообщения параметров своих банковских карт и других конфиденциальных данных в Сети;
  • не отвечать на рассылки от имени банков, фондов и других финансовых структур (просто потому, что они их не проводят);
  • использовать сложные пароли;
  • при частом совершении финансовых операций в интернете использовать специализированную виртуальную клавиатуру (кстати, «Лаборатория Касперского» планирует внедрить такую в свою следующую версию антивируса);
  • при использовании онлайн-банкинга регулярно проверять баланс счетов и сообщать о подозрительных операциях…

Заканчивается список многозначительным многоточием, оно и понятно, всех способов защиты не перечислить.

Антивирус или самолечение?

На десерт мероприятия была оставлена яркая интерактивная презентация «Антивирус или самолечение?» Виталия Камлюка, старшего вирусного аналитика «Лаборатории Касперского». Он продемонстрировал на примерах, как можно бороться с вредоносными программами без помощи антивируса.

Первым был разобран по полочкам процесс заражения известным червем Email-Worm.Win32.Warezov и борьба с ним — инспектирование системы, попытка ручного удаления, анализ противостояния и обход защиты удаления червя. Далее был повержен Trojan.Win32.

Krotten, изменяющий настройки системы и требующий выкуп за восстановление рабочей конфигурации.

В обоих случаях флэш-ролики, подробно комментируемые Виталием, демонстрировали все этапы борьбы с «вредоносами» — от запуска командной строки до редактирования реестра.

При рассмотрении еще одного примера, главным героем которого стал Backdoor.Win32.

IRCBot, использующийся для построения зомби-сетей, очень эффектно был проиллюстрирован процесс того, что происходит в системе после активации «вредоноса» — в видеоролике, созданном в лучших традициях блокбастера «Матрица», красовалась трехмерная модель исполняемых в системе процессов и летающие среди двоичного кода пакеты данных злоумышленника, которые мастерски перехватил вирусный аналитик. Захватывающее, надо признать, кино.

«Специалисты «Лаборатории Касперского» знают, что есть способы восстановления системы средствами Windows, и умеют это делать.

Использование антивирусных программ серьезно экономит время и не требует глубоких знаний. Если вы всё-таки решились помочь себе сами, то знайте, что по неосторожности вы можете разрушить систему.

Рисковать или нет? Решать вам!» — резюмировал свое выступление Виталий Камлюк.

* * *

В целом, следует отметить в заключение, опыт проведения открытого пресс-дня в рамках саммита антивирусных аналитиков показался удачным, как участникам мероприятия, так и организаторам.

Поэтому вполне можно ожидать, что эта инициатива перейдет в разряд традиционных и «Лаборатория Касперского» будет и впредь устраивать пресс-дни на саммите, знакомя нас со своими экспертами и радуя интересными презентациями.

Источник: https://www.ixbt.com/cm/kaspersky-summit2k7.shtml

Профессия вирусный аналитик: кто такой, чем занимается, сколько зарабатывает

Вирусный аналитик not лаборатория касперского

Вирусный аналитик – профессия элитная, штучная. Сегодня по всему миру таких специалистов насчитывают не более 3 000 человек. Ниже интервью с одним из этих элитных профессионалов — со старшим вирусным аналитиком Сергеем Головановым из Лаборатории Касперского.

Как стать вирусным аналитиком

Больше десяти лет назад, будучи школьником, Сергей Голованов увлекся компьютерными играми. Но тогдашнего девятиклассника занимал не столько сам игровой процесс, сколько принцип создания компьютерных игрушек.

«Мне сразу бросилось в глаза, что все компьютерные игры построены на одном принципе, — рассказывает Голованов. — Когда я смотрел на экран, где все мелькало и стреляло, я видел в первую очередь человека, который писал эту программу, выводил математические формулы».

Пока одноклассники Сергея штудировали английский в школе с языковым уклоном, будущий специалист интересовался в первую очередь математикой.

Интегралы и логарифмы увлекали его куда больше хитросплетений английской лингвистики. И когда встал вопрос о поступлении в вуз, Голованов, не раздумывая, выбрал факультет информационной безопасности.

Уже тогда, в студенческие годы, он получил свою первую работу.

Изучение вирусных атак

«Учитывая то, что я был таким же бедным студентом, как и все, я устроился на работу. Нашел место в международном центре научно-технической информации через знакомого преподавателя.

Сначала меня взяли стажером, а потом уже администратором сети. Проработал я там пять лет.

И за это время все больше начал обращать внимание именно на вирусные атаки, стал интересоваться программами, которые сами обнаруживают вирусы и лечат их».

Новое увлечение не прошло даром. После нескольких конференций, которые в университете проводила «Лаборатория Касперского», Сергею предложили работу в компании.

Рабочий день вирусного аналитика

Как рассказывает Голованов, рабочий день вирусного аналитика специфический. Специалисты так увлечены своей работой, что порой не замечают происходящего вокруг — их занимает только картинка на мониторе. «Эта работа похожа на работу полицейских или сыщиков», — говорит Сергей. И график у вирусных аналитиков соответствующий.

«График у нас сумасшедшей. В понедельник дневная смена начинается в 10 утра. Садишься, начинаешь работать. При этом перерыв на обед не нормирован. Ты работаешь и в 8 вечера ты уходишь домой. Во вторник днем спишь.

А в ночь со вторника на среду надо идти в ночную смену. До 10 утра работа. Со среды на четверг опять отсыпной. В четверг и в пятницу работаешь с утра до вечера. Нет выходных и праздников. И отпуск только две недели».

У вирусных аналитиков есть свои показатели эффективности работы, оценивается она по трем шкалам:

  • по количеству обработанных писем от пользователей;
  • по числу отредактированных вирусов;
  • по числу ошибочно отредактированных вирусов.

Человеческий фактор в антивирусной защите

Сейчас эти нормативы постоянно растут. За последние пять лет, по рассказам Голованова, «хитрых» вирусов стало в разы больше, поэтому и работы у профессионалов серьезно прибавилось. Одно осталось неизменным — человеческий фактор.

Борьба вирусописателей и вирусных аналитиков похожа на шахматную партию, в которой исход игры зависит от правильно сделанного хода. Поэтому никакая машина не справится с выявлением вредоносной программы лучше, чем это может сделать человек.

«Бывает так, что ты написал программу, которая будет редактировать один определенный вирус. Но вирусы меняются постоянно. Буквально недавно был случай, когда нам попался очень сложный вирус. Думали, что будем анализировать его месяца полтора.

Человек, который написал эту программу, выстроил очень сложную и необычную логику, он, несомненно, очень хороший программист, математик, аналитик. Справиться с этим вирусом нам удалось только через две недели практически круглосуточной работой.

Кстати, программист, который создал вирус, — россиянин».

Страны проживания создателей вирусов вычисляют по математической школе

Вирусные аналитики говорят, что географическое происхождение вируса определить несложно — достаточно знать азы математической школы определенных стран, чтобы безошибочно назвать «родину» вредоносной программы.

«Китайские вирусы можно отличить по конкретным признакам. Например, программе нужно посчитать от одного до ста. В России программист это напишет в одну строчку, а в Китае — то же самое в десяти строчках. Индийская система очень похожа на китайскую, только еще сложнее.

Ярко на общем фоне выделяются вирусописатели из Голландии. А вообще подход к написанию программ сравним с языками. Чем ближе языки стран, тем больше похожи логика, мышление. Можно объяснить это по карте. То есть Китай подальше от России, а Америка вообще далеко.

Значит, американская система абсолютно не похожа на нашу, это как другая планета».

Почему в Казахстане не пишут вирусы?

По опыту Сергея Голованова, «Лаборатории Касперского» ни разу не попадались вирусы, написанные в Казахстане, несмотря на то, что компания за время работы смогла найти «лекарство» для десятков тысяч вредоносных программ. Пока это значит только одно: у казахстанских программистов больше шансов стать вирусными аналитиками.

Кого не возьмут на работу в Лабораторию Касперского

«Вирусным аналитиком не может стать хакер или вирусописатель. В нашей работе есть четкие правила, которые нарушать нельзя. Если человек хоть раз был уличен в написании вируса, то на работу в Лабораторию Касперского ее не возьмут».

Источник: https://liberatum.ru/news/virusnyi-analitik-professiya-ne-dlya-slabykh

Антивирусный эксперт «Лаборатории Касперского» рассказывает о блокчейне И предлагает пройти тест! — Meduza

Вирусный аналитик not лаборатория касперского

«Медуза» подробно расспросила вирусного аналитика «Лаборатории Касперского» Алексея Маланова — о том, что он думает про блокчейн. И попросила сделать тест про блокчейн — если вы уверены в своих силах, то пролистайте статью до конца и попробуйте в него поиграть.

Часть моей работы — разрабатывать «модели угроз». Например, есть вероятность, что через десять лет многие люди будут ходить в очках дополненной реальности.

Значит, нужно уже сейчас понимать, чем это грозит пользователям.

Сможет ли злоумышленник получить доступ к вашим очкам и, например, нарисовать пешеходный переход там, где его на самом деле нет? Или перекрасить светофор с красного на зеленый?

Или взять, например, ые помощники (у нас есть замечательный пост о том, чем они опасны). Моя любимая история — как однажды по американскому телевидению девочка сказала: «Алекса, закажи мне кукольный домик» — и умная колонка Alexa поназаказывала в интернет-магазинах домиков.

А ведь ее можно попросить открыть входную дверь, проорав в форточку команду, если в вашем доме дверной замок уже «умный».

Поэтому мы в «Лаборатории Касперского» анализируем устройства интернета вещей, вытаскиваем код, находим уязвимости, репортим производителю, пишем статьи (как обобщающие, так и про конкретные уязвимые кофемашины).

Весь этот год сопровождался взломами и кражами, связанными с ICO. За одну неделю в июле было сразу три крупных кейса. Одни злоумышленники банально подменили на сайте адрес, куда слать деньги, за час собрав на кошелек больше $7 миллионов.

Другие из-за ошибки в кошельке с мультиподписью украли $30 миллионов. Третьи при помощи целевой атаки украли $8,4 миллиона у ICO-стартапа Veritaseum. Моя задача — понять, что произошло в каждом конкретном случае.

И желательно предложить какую-то концепцию защиты, предупредить следующую атаку.

Несмотря на то что технология блокчейна в 2017-м приобрела неимоверную популярность, эксперты «Лаборатории Касперского» о ней не особенно много рассказывали. Поэтому мы решили это исправить.

Почему я люблю работу в «Лаборатории Касперского». Причина № 1: моя работа полезная и важная. Всего несколько лет назад она была просто полезной: мы защищали пароли пользователя, его банковские счета, фотографии и частную жизнь. Но в последние годы работа стала еще и очень важной: мы защищаем электростанции (в том числе и атомные), нефтепроводы, аэропорты, да даже обычные светофоры, — все это управляется компьютерами, подвергается риску, атакуется. От их бесперебойной работы зависят человеческие жизни. Чтобы присоединиться к команде «Лаборатории Касперского», вы можете откликнуться на одну из вакансий здесь.

Как устроен блокчейн

Общий смысл блокчейна такой: все участники заполняют большой дневник, пишут, кто кому сколько денег передал. Оформляют его в виде цепочки последовательных сообщений — блоков — и прикрепляют их один за другим.

У каждого участника сети хранится вся цепочка этих самых блоков целиком, а новые дописываются только в конец. Чтобы все участники сети дописали в конец один и тот же блок, а не каждый свой, им надо как-то выбрать одного счастливчика и поручить добавить запись именно ему.

В случае самой известной криптовалюты — биткоина — счастливчик выбирается примерно раз в 10 минут (так запрограммирован алгоритм). Выбирать его можно разными способами, но чаще новый блок в цепочку сможет записать тот, кто сделает это первым.

И больше шансов на победу имеют те, кто тратят на решение больше вычислительных ресурсов — и, следовательно, больше электричества.

За выигрыш в такую лотерею полагается награда — 12,5 биткоина,это тоже запрограммировано в правилах сети. Как только новый блок дописан, то цепочка блоков от этого участника становится самой длинной и принимается другими за единственно верную.

Награда мотивирует участников браться за новые блоки, и именно благодаря ей в мире и появляются новые биткоины, этот процесс называется майнингом — то есть добычей криптовалюты.

У оформления блока есть строгие правила, поэтому его нельзя просто взять и переписать: самая длинная и сложная цепочка становится единственно верной, а остальные варианты отбрасываются.

И если «плохой парень» захочет переписать хвост блокчейна и вернуть себе недавно потраченные деньги, то ему придется потратить на добычу блока больше энергии, чем всем остальным майнерам, вместе взятым. То есть пока под контролем у «плохого парня» меньше половины всех майнерских мощностей, блокчейн не переписать.

Почему я люблю работу в «Лаборатории Касперского». Причина № 2: я работаю в компании, известной во всем мире. Представьте, вы встречаетесь с одноклассником, с которым не виделись 10 лет. Он спрашивает: «Где работаете?» Когда ему отвечаешь — в «Лаборатории Касперского», то он уважительно кивает. И в мире узнаваемость бренда очень высокая, и восприятие позитивное, несмотря ни на какие новости. А вот в Китае все знают «Кабасиджи» — так звучит «Касперский» по-китайски».

Чем хорош блокчейн

Блокчейн хорош тем, что лежит в основе большинства криптовалют. Но у него есть и другие преимущества. Например, он неблокируемый и устойчивый к атакам.

Раз каждый участник хранит всю информацию обо всей сети, то выключение или атака на любого из них не ведет ни к чему плохому. Например, в биткоине узлов, содержащих всю информацию из блокчейна, — десять тысяч.

Остальные пользователи подключаются к этим узлам, когда хотят совершить переводы.

Блокчейн валидируемый — и это еще одно преимущество. Это значит, что в нем все делается в соответствии с заранее фиксированными правилами — дебет всегда сойдется с кредитом. Большинство же современных систем проверяют корректность информации при записи, но в теории могут быть взломаны и подправлены позднее.

А еще блокчейн — доступный. Каждый может подключиться и поучаствовать, почитать, что происходило раньше, отправить что-то новое — в отличие от других современных систем, закрытых для наблюдателей.

Почему я люблю работу в «Лаборатории Касперского». Причина № 3: я могу покататься на Ferrari — тоже по работе. «Лаборатория Касперского» — давний партнер Ferrari. Мы занимаемся киберзащитой компании, а она иногда дает нам возможность покататься на настоящих гоночных тачках по настоящему гоночному треку, за рулем. В ноябре было очередное такое мероприятие в Дубае, а потом смотрели гонки «Формулы-1» в Абу-Даби.

Чем плох блокчейн

Но есть и недостатки. В первую очередь блокчейн — это медленно. Всем участникам надо «договориться», выбрать майнера, который допишет новый блок, прийти к консенсусу. Например, у биткоина и эфира пропускная способность три-семь транзакций в секунду на весь мир. Для сравнения: в  выставляется сто тысяч лайков в секунду.

Другая проблема блокчейна в том, что он не масштабируется. То есть если удвоить количество обслуживающего его «железа», то пропускная способность останется ровно на том же уровне. В централизованных системах, как правило, хочешь работать в два раза быстрее — просто пойди и докупи еще столько же оборудования.

Ну и то, что беспокоит больше всего лично меня: подавляющее большинство публичных блокчейнов (криптовалют) сейчас выбирают счастливчика при формировании блока по принципу «кто больше электричества сжег, тот и молодец».

В результате один только биткоин потребляет электричества столько же, сколько Марокко, Азербайджан или Эквадор.

При этом если цена биткоина удвоится, потребление электричества тоже постепенно удвоится, а это дает неутешительные для экологии прогнозы.

Почему я люблю работу в «Лаборатории Касперского». Причина № 4: я могу самовыражаться не только в профессиональном плане. «Лаборатория Касперского» постоянно проводит конкурсы на лучшую фотографию, поддерживает футбольную и баскетбольную команды. В прошлом году наши стали чемпионами России по баскетболу среди корпоративных команд. А на корпоративных вечеринках, которые проходят два раза в год, до хедлайнеров (например, «Сплин», «Ленинград», Земфира и т. п.) обычно выступают несколько групп из сотрудников (они еще отдельно проводят свой рок-фестиваль). До этого сотрудники показывают театрально-музыкальные номера. Причем их готовят с профессиональными постановщиками, хореографами и учителями по вокалу.

Вокруг блокчейна поднялся невероятный ажиотаж, и это слово пытаются использовать везде, просто чтобы показать, что они в теме.Отсюда возникает много проектов, где блокчейн совершенно ни к чему, но его «впихивают» насильно, лишь бы привлечь внимание и заработать денег. Например, по такой логике возникают странные проекты вроде условных «ЕГАИС на блокчейне» или «Росреестр на блокчейне».

Их проблема в том, что авторы проектов идут не от цели, а от модного инструмента. Если заказчик хочет, чтобы данные в реестре были открыты для всего интернета, чтобы каждый мог проверить их корректность, для этого необязательно прикручивать децентрализацию.

Но зачастую систему сначала переводят на блокчейн (или просто заявляют о намерениях), потом же начинают оценивать ее преимущества и недостатки.

Люди думают, что блокчейн обеспечивает неподдельность данных и защищает от всех махинаций. Это лишь часть правды. Предположим, мы пишем реестр недвижимости в блокчейне: у квартиры меняются владельцы, и они записываются в реестр.

Но при этом возможность переписать квартиру на мошенника никуда не девается, ведь функция «задать нового владельца» — штатная возможность блокчейн-системы.

Конечно, его нельзя подправить задним числом, но такое свойство системы легко сделать и без блокчейна, а с более простым алгоритмом контроля целостности.

Еще есть мнение, что блокчейн поможет избавиться от посредников и банков или, например, позволит автоматизировать правительство.

Но ведь большинство посредников получает свою комиссию за то, что они общаются с производителем, покупают оптом, везут, работают на благо потребителя.

Так что, если связать при помощи блокчейна напрямую производителей и розничных покупателей, мир не станет лучше — просто исчезнет часть полезных услуг.

Почему я люблю работу в «Лаборатории Касперского». Причина № 5: компания заботится о комфорте в офисе. Хотя массаж в офисе всего раз в неделю. Автомат с бесплатным кофе только на первом этаже, и всего десять типов напитков, а в автоматах в патио на каждом этаже еще меньше выбор. Тимбилдинг только раз в квартал. Чая всего пять типов на выбор. Печеньки-батончики-орешки я не ем, потому что на диете. В общем, «Лаборатория Касперского» дает возможность не зажраться.

Блокчейн в «Лаборатории Касперского»

В «Лаборатории Касперского» есть бизнес-инкубатор, который анализирует проекты, использующие разные технологии, в том числе и блокчейн. Один из таких проектов — платформа для электронного ания Polys.

Голосование — это как раз та область, в которой особенно важны открытость, устойчивость к атакам и прозрачность подсчетов. Блокчейн для всего этого подходит. Сама идея не нова, но в Polys, в отличие от других проектов, по ходу ания не видно, кто побеждает, — потому что это сильно влияет на его итоги.

А вот по окончании выборов в Polys каждый может подсчитать голоса, но при этом не будет знать, кто конкретно за кого ал.

А теперь мы проверим, хорошо ли вы поняли, что такое блокчейн

Источник: https://meduza.io/feature/2017/12/20/antivirusnyy-ekspert-laboratorii-kasperskogo-rasskazyvaet-o-blokcheyne

Советы доктора
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: