Что в себя включает работа вирусолога или вирусного аналитика?

kaspersky
Копипаст токена оО

 

Clerk
уважаю. я с ядерными сплоитами до того дела не имел. точнее имел, но это давно уже было...я уже и забыл все. а под рукой айса не было. и виндебага тоже

 

Ладно, народ похоже прав, нужно ближе к телу.
Такой вопрос, Крис, вы работаете сейчас в антивирусной компании.
Интересна технологическая цепочка работы над вирусом.
1)Сначала о вирусе слышат.
2)Затем его каким-нибудь образом получают.
3)Смотрят, что за зверь, возможно распаковывают
4)Определяют его функционал.
А дальше? Добавляют его сингатуру в базу? Пишут алгоритмы удаления из памяти?
Удаления из файлов? Каков дальнейший процесс? и правильные ли первые описанные
выше шаги?
Веря с(о)ветским газетам и журналам, опять таки, к сожалению, прочитал, что
вы предлагали некоторый вариант ultimate antivirus, что-то вроде тотального антивируса. Или опять вранье?

 

И что сей код делает? Или это нам надо самим разгадать?

 

neutronion

Попадает в ловушки и (полу)автоматом заносится в базу.

Выше уже написали...

 

neutronion
> Интересна технологическая цепочка работы над вирусом.
> 1)Сначала о вирусе слышат.
необязательно. есть эвристика. есть реюз компонентов (хакеры ленивы в своей массе). есть сандбоксы и прочая муть, ореентированная на детекцию вирусов, которых еще нет.

> 2)Затем его каким-нибудь образом получают.
логично. чтобы детектить вируса -- нужен сэмпл. источники сэмплов: публичные коллекции; хрень, залитая на вирустотал; хонейпоты; кастомеры (да, кастомеры тоже присылают файлы с подозрением на вирус).

> 3)Смотрят, что за зверь, возможно распаковывают
господи иссусе. у вас все еще ms-dos? что? не угадал? неужели w95? как опять не угадал? CP/M ?! вы из какого века вообще? exe вирусы неактуальны. сейчас основной вектор атак это JavaScript. скрипты, кстати, обычно зашифрованные.

> 4)Определяют его функционал.
не обязательно. ковыряют ровно настолько насколько это нужно для борьбы с ним.

> А дальше? Добавляют его сингатуру в базу?
не все можно найти по сигнатуре. очень часто приходится писать специальные модули детекции. а потом тестить их на ложнопозитивные и негативные срабатывания.

> Пишут алгоритмы удаления из памяти?
мы пишем IPS и потому к памяти доступа не имеем.

> Удаления из файлов? Каков дальнейший процесс?
вирус (троян или червь) анализируется ровно настолько насколько это нужно для его анализа, то есть обычно не слишком глубоко. после чего подключаются мозги. как реверсер я сбрасываю в группу писания сигнатур указание что мы вообще ловим и каким оно подвержено вариациям. группа писателей сигнатур в реверсинге разбирается слабо, а я слабо разбираюсь в сигнатурах, однако, мне необходимо знать возможости и ограничения движка из-за которых приходится ловить вирусов через попу, выделяя в качестве сигнатуры не те участки, по которым надежнее всего пропалить, а те которые удобно движку детектить. пример. мы ищем 'a' -> 'bbbbb' <- 'ccccccccc'. гдe '->' прыжок на некоторое кол-во байт вперед, а '<-' назад. но! допустим, движку не нравится когда первая строка для поиска очень короткая (вызывает слишком много срабатываний и вытекающие отсюда тормоза), прыжки назад так же негативно сказываются на производительности или вообще не поддерживаются. и потому приходится брать другую сигнатуру даже если она не такая надежная.

> Веря с(о)ветским газетам и журналам, опять таки, к сожалению,
> прочитал, что вы предлагали некоторый вариант ultimate antivirus,
кстати, залитый мной в фидо он трейсил прерывания, искал межсегметные переходы и нестадарные способы посадки в память, которыми балуются вирусы. ну это так сказать базовая идея. она завязана на ms-dos. в выне такое уже не работает, однако, то, что я сейчас пишу для McAfee основано на технологиях, которые я предлагал лет 15 назад. часть из них уже успели реализовать другие компании. часть -- нет. мы даже патентную заявку подали, которую впрочем отклонили как самоочевидную. вопрос: почему такую очевидность никто не реализовал кроме нас и почему она реально работает там где обламываются остальные был отвечен так: хз, но решение настолько просто и очевидно, что укладывается в три строки на си. конкуренты пишут тысячи строк. наверное потому что им за строки платят.

> что-то вроде тотального антивируса. Или опять вранье?
все зависит от точки зрения. точка зрения ЛК известна. если это бред, то ну его накуй. точка зрения McAfee - ну да. ну бред. ну и что? оххх... сколько я бредовых идей предлагал McAfee щас даже страшно вспомнить. и как только меня не выгнали? сам удивляюсь их терпению. ведь первые же попытки проверки мыщъхных идей на практике подтвердили их несостоятельность. детектилось лишь немного вирусов, зато фэлсы перли со страшной силой. и на доработку одной конректной идеи ушел год. причем от начальной концепции пришлось отказаться. ну потому что бред в самом деле. но мой шеф в меня верил. и не спешил посылать нах. и теперь мы оба довольны. шеф доволен, потому что таки птиц взлетел и ттх оказались лучше, чем у конкурентов. мыщъх доволен тем, что летать таки можно. даже если ненадолго выпрыгнуть из окна. а потом запрыгнуть обратно.

 

Ну все, ставлю Mcafee и сплю почти спокойно. Спасибо за ликбез.

Судя по вирусам которые вы ловите:
> 3)Смотрят, что за зверь, возможно распаковывают
exe вирусы неактуальны. сейчас основной вектор атак это JavaScript. скрипты, кстати, обычно зашифрованные.
Атака в большинстве случаев идет через веб-браузер.
Но получается здесь 2 части. Первая часть - залазит на комп. Вторая уже работает на компе и заражает все, что попадя.
Первая часть похожа чем-то на эксплойт? Или я туплю?

 

Посмотри исходники public эксплоитов.

 

neutronion
> Ну все, ставлю Mcafee и сплю почти спокойно. Спасибо за ликбез.
за вами уже выехали, тьфу вас уже защищают. McAfee NTR стоит у крупных ISP (к сожалению, не российсих) и он давит атаки автоматом не, можете конечно и себе поставить если у вас есть лишних $70k, но имхо это негуманно.

> Атака в большинстве случаев идет через веб-браузер.
а так же через pdf, который у всех уже вызывет мигрень. такая дыра, что даже ie по сравнению с ней цветочки. а когда адоба помогла хакером легально обходить dep и aslr, парни из ms матерились так, что низколетящие самолеты шарахались.

> Но получается здесь 2 части. Первая часть - залазит на комп.
> Вторая уже работает на компе и заражает все, что попадя.
в авроре вот было три части. шелл-код в html стягивающий exe -> exe, стягивающий кучу других exe и dll -> виртуальные рабочие столы дотягивающие что угодно. причем, "аврора" вылезло из dll файла системы удаленного управления. легальной, кстати. и написанной совсем другой стороной.

> Первая часть похожа чем-то на эксплойт? Или я туплю?
да, только вместо запуска калькулятора скачивает что-то из иннета или открывает порт и позволяет закачать. закачивается как правило exe или dll, которые так же надо детектить, но это уже вторая фаза атаки и методика детекции исполняемых файлов вылизана еще в эпоху ms-dos, когда были распространены полиморфы. а вот детеция JS - это новая тема.

 

Уважаемый Крис, а точнее будет наверное Николай, тему с pdf, .doc, и браузерами просто отстой. Этому решению сто лет в обед. Тут дажет школота справится...

А ведь зомба был прав(А а тогда только Наташку за косы дергал). Нету никаких новых идей. Развитие вирсных аналитиков остановилось лет так уже X. Как минимум 4-5 лет ничего особого не произошло. Разумеется основные идеи были в MS-DOS(Никогда не видел этой системы, мне так стыдно, а на самом деле все по*** ).
Наверное задается вопрос почему ничего нету прорыва? Так ответ содержится в вопросе: А зачем? "Всем по X**й".
Вот зомба ушел, так как "Всем по X**й".

Сражаться с мельницами...

Крис единственным сложным, как было, таки остается exe файл. вот сколько времени понадобилось на Skype? Вот вот И я о том же...

 

TermoSINteZ спасибо, постораюсь исправится, если че так это по голове... ))

Ну а если серьезно? хватит ведь XWin ? Не? почему? устройство скажем с пиков(может если что то круче я не железячик) на нем мини linux kernel, Ну и соединить с компом... Driver USB, PCI как угодно, XWin на винде а на device Linux. Конечно скороть... Ну в конце концов, не такие уж это и сложные апликции.. Все эксплоиды прахом... Дажет и реверсить не надо.. ))

П.С. зомба был идейным, а вовсе не героем... Мне так кажется, пере-кристился сильнее начало казаться )))

П.С. П.С. это все кофеин, не пил три недели, а сегодня Астапа понисло.... Буду теперь на форму ))

 

П.С. П.С. П.С. Я имел ввиду что когда то Зомба писал что в АВ компания(или только у Каспера) работают гуано. Вот и не знаю верить или...

 

assasincore
> Уважаемый Крис, а точнее будет наверное Николай, тема с pdf, .doc,
> и браузерами просто отстой. Этому решению сто лет в обед.
> Тут дажет школота справится...
какому решению? возможности обфускации и самомодификации JS только осваиваются хакерами. можно наблюдать за полетом мысли по хронологии развития сплоитов. первые методики обфускации были до ужаса примитивные, сейчас появились довольно продвинутые. ну а обход DEP/ASLR через JIT и вовсе новая идея. ну или пруфлинки в студию на реализации времен зомбы.

> Нету никаких новых идей.
идеи есть, просто вы видимо не в курсе.

> Развитие вирсных аналитиков остановилось лет так уже X.
> Как минимум 4-5 лет ничего особого не произошло.
за последние 4-5 лет все изменилось. радикально. где раньше был машинный код, теперь JS. в меньшей степени AS.

4-5 лет назад на вопрос может ли вирус заразить текстовой файл отвечали: ну разве только по ошибке или макросы какие заюзать. сейчас очень даже заражает без всяких макросов. какие макросы в bmp, например? а открывать его рисковано. можно ведь и огрести.

а если взять идеи переполнения буферов? сначала это был только стек. потом куча. потом целочисленное переполнение. стали появлятся средства защиты. стали появлятся методы их обхода.

китайский парень который показал как переписать аврору чтобы она обходила DEP/ASLR выиграл небольшой конкурс в $10k. другой мой знакомый участвовал в конкурсе где премия была в 100,000 фунтов. не выиграл. слушайте, если у вас все так просто и все проблемы уже решены...

> Разумеется основные идеи были в MS-DOS
а вирусы появились еще даже до никсов. задолго до. кстати, под дос не было ни одного сетевого червя.

> Наверное задается вопрос почему ничего нету прорыва?
какой прорыв вам нужен? когда-то pdf считался безопасным форматом. сейчас его страшно открывать. это не прорыв? когда-то JS считался безопасным. щас это дыра. когда-то блэкбери считалась непробиваемой. щас ее скомпроментировали. мобилки очень небезопасны и очень скоро будут кишеть заразой разного вида. это ли не прорыв? антивирусы тоже изменились. хотя бы взять эволюцию IDS до IPS.

> Так ответ содержится в вопросе: А зачем? "Всем по X**й".
не нужно говорить за всех. тот факт, что мы наблюдаем противостояние вирусов и антивирусов говорит о том, что идет активная борьба двух сторон. иначе бы одна сторона давно бы раздавила другую.

> Вот зомба ушел, так как "Всем по X**й".
свет сошелся на нем клином.

> Крис единственным сложным, как было, таки остается exe файл.
что в нем сложного? объясните. не понимаю. сложно что?

> вот сколько времени понадобилось на Skype? Вот вот И я о том же...
понадобилось на что?

 

assasincore
> Я имел ввиду что когда то Зомба писал что в АВ компания
> (или только у Каспера) работают гуано. Вот и не знаю верить или...
а свои мозги включить? у каспера собрались очень сильные люди. в симантеке тоже неслабые. кстати, никому туда дорога не закрыта. можно сходить и проверить самостоятельно.

 

assasincore
Зомба ?
Иди назу

 

Иди ____ на свой ксакеп неумная школота.)

 

Блин.. ну вы поняли смысл ))

 

kaspersky
> Воин дзена Re: Заработки в геймдевеClerk
> Назовите пожалусто ник.
> к сожалению не могу. но вы и так можете догадаться кто он. я уже начинаю всерьез опасаться, что нас примут за голубых на этом форуме. но мы не голубые. просто работаем вместе.
> Не он ли это ?
> вот тут я могу совершенно честно сказать, что не он.
Ну я ведь всёравно узнаю, спустя неделю или две какая разника

 

Clerk
>> вот тут я могу совершенно честно сказать, что не он.
> Ну я ведь всёравно узнаю, спустя неделю или две какая разника
дык вы и так его знаете Термосинез это короче.