Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

На передовой: о работе вирусных аналитиков «Доктор Веб»

Прочитали: 19406 Комментариев: 42 Рейтинг: 72

20 февраля 2021

Как известно, основа эффективной работы любого антивируса – поддержание его вирусных баз в актуальном состоянии. Ведь чем больше сигнатур – цифровых «отпечатков» различных угроз – будет «в памяти» антивирусного модуля, тем меньше у вредоносной программы шансов остаться необнаруженной при попытке проникновения на защищаемое устройство. Для надежной защиты требуется максимально сократить время между появлением новых угроз и добавлением их сигнатур в базы, поэтому Dr.Web получает обновления каждый час. Такой темп требует большого труда, особенно при непрерывном потоке новых вредоносных программ в цифровом пространстве. Ведь каждый день вирусная лаборатория «Доктор Веб» получает около 1 миллиона образцов для анализа!

В этом выпуске мы слегка приоткроем завесу тайны и расскажем о стражах на передовой, тех, без которых немыслима работа ни одного антивирусного продукта – вирусных аналитиках и их лаборатории.

Для начала немного статистики. Как было отмечено выше, наша лаборатория получает до 1 миллиона образцов в день для анализа. «Как можно обработать такое количество данных за один день?» – спросите вы. Стоит заметить, что не все присланные образцы априори являются вредоносными. Однако все они являются потенциально вредоносными, поэтому каждый из них должен быть проанализирован. Например, для мобильной системы Android аналитики ежедневно идентифицируют порядка 40 тысяч новых угроз.

Конечно же, в этом деле очень сильно помогает автоматизированная система. 93-95% всех образцов успешно обрабатывается специальной, собственной системой обработки вирусного потока. Остальную часть аналитики разбирают вручную, при этом вышеупомянутый программный комплекс сильно помогает им в работе.

Вирусная лаборатория разделена на несколько команд, каждая из которых отвечает за конкретные задачи.

  1. Группа внутренних разработок и автоматизации анализа.

    Она отвечает за разработку инфраструктуры автоматического анализа, ханипоты, а также продукт Dr.Web vxCube.

  2. Группа работы с потоком и заявками пользователей и технической поддержки.

    Именно она отвечает за обработку входящего потока угроз, которые не могут быть обработаны автоматически. Кроме того, этот отдел занимается всеми запросами от нашей технической поддержки и клиентов.

  3. Группа исследований и анализа сложных угроз.

    Здесь исследуются сложные и неизвестные угрозы, ботнеты и кибератаки. Отдел также отвечает за расшифровку файлов, пострадавших от вымогателей, и расследует всевозможные вирусозависимые компьютерные инциденты.

  4. Группа анализа мобильных угроз.

    Специалисты этого отдела сосредоточены на различных угрозах для мобильных устройств.

Существует два способа анализа любой угрозы. Первый – это так называемая тестовая песочница, основанная на Dr.Web vxCube и модифицированная под наши задачи и потребности. Второй способ – ручное тестирование при помощи виртуальных машин и эмуляторов.

Сколько же времени уходит на ручной анализ? Стоит сказать, что аналитику не всегда нужно прибегать к динамическому тестированию ПО, чтобы решить, является ли оно опасным. Опытному аналитику требуется до 5 минут, чтобы разобрать подозрительный файл, проанализировать его исходный код и определить его статус. Если файл вредоносен, аналитик добавляет его в вирусную базу.

Однако когда мы проводим полномасштабные исследования сложных угроз и ставим перед собой цель понять, как они действуют, сам анализ образца может занять до одной недели, включая создание необработанного технического описания для внутреннего использования. Время, затраченное на эту задачу, сильно зависит от объема кода, который предстоит проанализировать.

Стоит сказать, что все образцы классифицируются с использованием различных алгоритмов. Если лаборатория находит что-то неизвестное ранее, например, совершенно новое семейство троянов, то аналитики проводят собственное исследование.

Откуда же вирусная лаборатория получает все эти образцы? Есть несколько источников, например, вирусные агрегаторы, ханипоты и спам-ловушки, наша собственная телеметрия и, конечно же, сами пользователи. Практически постоянно происходит обмен образцами с другими антивирусными вендорами.

#антивирус #вредоносное_ПО #технологии_Dr.Web

Антивирусная правДА! рекомендует

Таким образом, за регулярными обновлениями баз и эффективной работой антивирусной системы в целом находится единый отлаженный механизм, стоящий на страже цифровой безопасности 24/7. Вирусописатели не отдыхают, поэтому аналитики «Доктор Веб» никогда не прекращают свое дежурство – извечное противостояние снаряда и брони.

Думаем, что этот выпуск логично завершить простой рекомендацией: доверяйте Dr.Web! У нас работают классные специалисты.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей