Вы используете устаревший браузер!

Страница может отображаться некорректно.

Кухня

Кухня

Другие выпуски этой рубрики (48)
  • добавить в избранное
    Добавить в закладки

Профессия: вирусный аналитик. Чем он занимается?

Прочитали: 23341 Комментариев: 7 Рейтинг: 16

8 июня 2022

Вирусные аналитики детально изучают вредоносные программы. Их работа — исследовать существующие угрозы и предугадывать появление новых. Они должны уметь разбирать чужой код по кирпичикам. А для того, чтобы понимать, как мыслят злоумышленники, им приходится быть немного психологами.

Компьютерные вирусы появились еще в 1970-х годах. А в 80-х стало известно о первых вирусных эпидемиях.

Сегодня для борьбы с вредоносным ПО существует целая индустрия, в которой работают ценные специалисты — вирусные аналитики. Эти ребята анализируют причины появления и результаты работы вирусов на пользовательских устройствах и разрабатывают способы противодействия вирусным атакам.

Обязанности вирусного аналитика

Аналитическая лаборатория компьютерной вирусологии «Доктор Веб» ежедневно получает от 500 000 до 900 000 образцов кода. Они поступают из разных источников. В том числе — от антивирусных «агрегаторов» (таких как VirusTotal), антивирусных вендоров, приманок (honeypot), выделенных для привлечения вирусов компьютеров, ловушек для спама и внутренних телеметрических систем лаборатории.

Является ли файл вредоносным? Чтобы определить это, вирусный аналитик использует разные методы тестирования и наблюдает за его поведением. Не все образцы, которые поступают в нашу лабораторию, являются реальными угрозами. Однако, чтобы убедиться в этом, их необходимо проанализировать.

До 95% образцов исследуются автоматически. Для этого есть специализированные инструменты: «Доктор Веб» — один из немногих антивирусных вендоров в мире, владеющих собственными уникальными технологиями детектирования и лечения вредоносных программ.

Образцы кода, по которым роботы не могут дать вердикт сразу, мы анализируем вручную. Профессиональному и опытному вирусному аналитику достаточно 5 минут, чтобы дизассемблировать подозрительный файл, проанализировать его исходный код и подтвердить его статус.

Когда вирусный аналитик обнаруживает очень сложное или новое вредоносное ПО, он проводит углубленный анализ, которое позволяет дать техническое описание угрозе. В лаборатории компании «Доктор Веб» такие исследования проводятся в тестовой среде Sandbox («песочнице»), работающей на базе сервиса Dr.Web vxCube, а также на виртуальных машинах и эмуляторах.

Некоторые вредоносные программы остаются под нашим наблюдением в течение нескольких месяцев, поскольку они могут находиться в состоянии сна и вновь появиться после «доработки» у киберпреступников.

Отсканированные файлы, вредоносность которых подтверждена, добавляются в вирусные базы антивируса, которые обновляются каждый час. Это позволяет антивирусу выполнять свою работу — быстро обнаруживать и ликвидировать угрозы.

Что должен знать и уметь вирусный аналитик

В компании «Доктор Веб» вирусный аналитик может работать на первой линии (front-line) — в отделе, который отвечает за разработку автоматизированных средств анализа, приманки и сервис Dr.Web vxCube. Здесь анализируют все образцы, не принятые во внимание автоматизированными системами, и отвечают на запросы службы технической поддержки. Чтобы работать в этом отделе, необходимо:

  • знать Assembler x86,
  • уметь работать с инструментами OllyDBG, Hiew, IDA,
  • знать архитектуру Windows, PE-файлов,
  • понимать технический английский.

Есть отдел по исследованию и анализу сложных угроз. Задача этой команды — изучение еще неизвестных и/или очень сложных угроз, ботнетов, кибератак. Здесь вирусные аналитики работают над расшифровкой файлов, зашифрованных вымогателями, а также управляют расследованиями, связанными с ВКИ (вирусозависимыми компьютерными инцидентами). Этим специалистам, дополнительно к перечисленным выше знаниям и навыкам, нужно понимать шифрование, иметь опыт в разных атаках на удаленные сервера злоумышленников, уметь писать технические статьи и глубоко исследовать разные уязвимости и сложные вирусы.

И третий отдел занимается анализом вредоносных программ, которые угрожают мобильным устройствам. Здесь работают люди, которые:

  • понимают работу ОС Android и код Java,
  • знают формат исполняемых файлов ELF/DEX, базовые алгоритмы программирования и Python/C/C++,
  • имеют опыт работы с декомпиляторами DEX-файлов и с системами Linux,

#Honeypot #антивирус #ботнет #вредоносное_ПО #терминология

Антивирусная правДА! рекомендует

Как стать вирусным аналитиком?

Чтобы стать вирусным аналитиком, существует лишь один проверенный способ: учиться, учиться и еще раз учиться.

Профильных специалистов готовит, например, МГТУ им. Н.Э. Баумана на специальности «Информационная аналитика». Кафедра информационной безопасности также есть в НИУ «МИЭТ» (Зеленоград). Учатся будущие вирусные аналитики и в Университете ИТМО (Санкт-Петербург) на факультете безопасности информационных технологий, и в Институте физико-математических наук и информационных технологий БФУ им. Канта (Калининград).

И все же основной источник знаний вирусного аналитика — это самообразование. Нужно искренне интересоваться этой темой, искать, изучать, исследовать. Бегать быстрее всех, прыгать выше всех и разбираться в вирусах лучше всех может только тот, кто больше всех тренируется.

Хотите знать больше? Наши вирусные аналитики готовы поделиться профессиональными секретами с читателями «Антивирусной правды». Задавайте любые вопросы в комментариях: обещаем ответить на все.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии