Вирусные аналитики детально изучают вредоносные программы. Их работа — исследовать существующие угрозы и предугадывать появление новых. Они должны уметь разбирать чужой код по кирпичикам. А для того, чтобы понимать, как мыслят злоумышленники, им приходится быть немного психологами.
Компьютерные вирусы появились еще в 1970-х годах. А в 80-х стало известно о первых вирусных эпидемиях.
Сегодня для борьбы с вредоносным ПО существует целая индустрия, в которой работают ценные специалисты — вирусные аналитики. Эти ребята анализируют причины появления и результаты работы вирусов на пользовательских устройствах и разрабатывают способы противодействия вирусным атакам.
Обязанности вирусного аналитика
Аналитическая лаборатория компьютерной вирусологии «Доктор Веб» ежедневно получает от 500 000 до 900 000 образцов кода. Они поступают из разных источников. В том числе — от антивирусных «агрегаторов» (таких как VirusTotal), антивирусных вендоров, приманок (honeypot), выделенных для привлечения вирусов компьютеров, ловушек для спама и внутренних телеметрических систем лаборатории.
Является ли файл вредоносным? Чтобы определить это, вирусный аналитик использует разные методы тестирования и наблюдает за его поведением. Не все образцы, которые поступают в нашу лабораторию, являются реальными угрозами. Однако, чтобы убедиться в этом, их необходимо проанализировать.
До 95% образцов исследуются автоматически. Для этого есть специализированные инструменты: «Доктор Веб» — один из немногих антивирусных вендоров в мире, владеющих собственными уникальными технологиями детектирования и лечения вредоносных программ.
Образцы кода, по которым роботы не могут дать вердикт сразу, мы анализируем вручную. Профессиональному и опытному вирусному аналитику достаточно 5 минут, чтобы дизассемблировать подозрительный файл, проанализировать его исходный код и подтвердить его статус.
Когда вирусный аналитик обнаруживает очень сложное или новое вредоносное ПО, он проводит углубленный анализ, которое позволяет дать техническое описание угрозе. В лаборатории компании «Доктор Веб» такие исследования проводятся в тестовой среде Sandbox («песочнице»), работающей на базе сервиса Dr.Web vxCube, а также на виртуальных машинах и эмуляторах.
Некоторые вредоносные программы остаются под нашим наблюдением в течение нескольких месяцев, поскольку они могут находиться в состоянии сна и вновь появиться после «доработки» у киберпреступников.
Отсканированные файлы, вредоносность которых подтверждена, добавляются в вирусные базы антивируса, которые обновляются каждый час. Это позволяет антивирусу выполнять свою работу — быстро обнаруживать и ликвидировать угрозы.
Что должен знать и уметь вирусный аналитик
В компании «Доктор Веб» вирусный аналитик может работать на первой линии (front-line) — в отделе, который отвечает за разработку автоматизированных средств анализа, приманки и сервис Dr.Web vxCube. Здесь анализируют все образцы, не принятые во внимание автоматизированными системами, и отвечают на запросы службы технической поддержки. Чтобы работать в этом отделе, необходимо:
- знать Assembler x86,
- уметь работать с инструментами OllyDBG, Hiew, IDA,
- знать архитектуру Windows, PE-файлов,
- понимать технический английский.
Есть отдел по исследованию и анализу сложных угроз. Задача этой команды — изучение еще неизвестных и/или очень сложных угроз, ботнетов, кибератак. Здесь вирусные аналитики работают над расшифровкой файлов, зашифрованных вымогателями, а также управляют расследованиями, связанными с ВКИ (вирусозависимыми компьютерными инцидентами). Этим специалистам, дополнительно к перечисленным выше знаниям и навыкам, нужно понимать шифрование, иметь опыт в разных атаках на удаленные сервера злоумышленников, уметь писать технические статьи и глубоко исследовать разные уязвимости и сложные вирусы.
И третий отдел занимается анализом вредоносных программ, которые угрожают мобильным устройствам. Здесь работают люди, которые:
- понимают работу ОС Android и код Java,
- знают формат исполняемых файлов ELF/DEX, базовые алгоритмы программирования и Python/C/C++,
- имеют опыт работы с декомпиляторами DEX-файлов и с системами Linux.
Рекомендуем
Как стать вирусным аналитиком?
Чтобы стать вирусным аналитиком, существует лишь один проверенный способ: учиться, учиться и еще раз учиться.
Профильных специалистов готовит, например, МГТУ им. Н.Э. Баумана на специальности «Информационная аналитика». Кафедра информационной безопасности также есть в НИУ «МИЭТ» (Зеленоград). Учатся будущие вирусные аналитики и в Университете ИТМО (Санкт-Петербург) на факультете безопасности информационных технологий, и в Институте физико-математических наук и информационных технологий БФУ им. Канта (Калининград).
И все же основной источник знаний вирусного аналитика — это самообразование. Нужно искренне интересоваться этой темой, искать, изучать, исследовать. Бегать быстрее всех, прыгать выше всех и разбираться в вирусах лучше всех может только тот, кто больше всех тренируется.