Умная пробирка для злобной малвары.

Previous Entry Поделиться Next Entry
20 мая, 12:23
e_kaspersky
Вы задавали себе вопрос - почему компьютерные вирусы назвали именно «вирусами»? Вопрос на самом деле риторический, но если для кого-то это не очевидно, то в нашей энциклопедии есть краткий и исчерпывающий ответ.

Эту подводку я использую с другой целью: а почему до сих пор всю компьютерную гадость многие так и называют «вирусами», хотя вирусов как таковых уже надцать лет не было замечено в «дикой цифровой природе»?

Дело в том, что по сей день технологии компьютерной безопасности вызывают ну уж очень сильные ассоциации с людьми в белых скафандрах, карантином, пробирками и прочей атрибутикой изучения микробиологических глубин мира. Именно так: вирусы уже давно повывелись, но методы их анализа и разработки защиты остались, развились и очень даже хорошо показывают себя в борьбе с современными вредоносами. Например, эмулятор.

Вкратце, эмулятор – это метод выявления неизвестных угроз, при котором подозрительный файл запускается в виртуальном пространстве, имитирующем реальный компьютер. Антивирус(*) смотрит за поведением файла «на лету» и при обнаружении опасных действий изолирует его от греха подальше для проведения дополнительных исследований.

Чувствуете аналогию с оригинальной, микробиологической вирусологией? Зачем делать сомнительную инъекцию живому человеку и потом снимать показания как его колбасит? Ведь можно эмулировать среду обитания «в пробирке» и наблюдать за поведением подозрительного объекта для выявления его вредоносной сущности.

Впрочем, как и в микробиологии, здесь перед нами встаёт непростая задача эмуляции этой самой естественной среды обитания, так, чтобы вирус зловред комар носа не подточил. Не знаю как у наших коллег в белых скафандрах :) но мы (ЛК) без ложной скромности делаем это давно и «впереди планеты всей».

20190517_Test_tube

Первый в мире эмулятор я разработал ещё в далёкую DOS-эпоху летом 1992г. Скоро эксперты начали восторгаться детекту нашего антивируса (да, тогда он ещё был «антивирусом»), который рвал конкурентов в независимых тестах в том числе благодаря работе эмулятора.

Шло время, ландшафт угроз усложнялся: классические вирусы покинули сцену, им на смену пришли сетевые черви, трояны и прочие многоклеточные. Росло разнообразие компьютерных-мобильных-IoT-всех прочих цифровых технологий, а с ними и вредоносного инструментария, а с ним и компетенция эмулятора. Мы прикрутили его к облаку безопасности KSN, обучили новым языкам программирования, браузерам и прочим объектам операционной системы, чтобы автоматически ловить неизвестных зловредов. Никакой маркетинговой ИИ-лапши, только ловкость рук и мощь мозга в лучших традициях принципа инновационных реальных разработок Humachine :)

humachine_ru

Сегодня немногие конкуренты могут похвастаться такой технологией, что вполне понятно: эмулятор - это очень непростая задача, которая требует многолетней экспертизы, трудозатратной интеграции в «боевые» продукты и постоянного развития. Многие новички индустрии кибербезопасности предпочитают вкладываться в развесистый «ля-ля-маркетинг». В краткосрочной перспективе такой подход может дать увесистый толчок развитию бизнеса, но долго морочить голову пользователям не получится – до первого крупного прокола. Иными словами, наличие эмулятора свидетельствует об уровне экспертизы и зрелости разработчика, а его отсутствие – верный признак пустышки-однодневки.

Но я отвлёкся.

На самом деле, кибернегодяи тоже, пардон, «не пальцем деланы» (с) и прилагают серьёзные усилия для защиты своего бизнеса и кибершпионских операций, в том числе в плане защиты от эмулятора.

Наиболее продвинутые группировки используют разнообразные анти-эмуляторные уловки для распознавания «пробирки». Например, запуск недокументированной функции, проверка подлинности выполнения вызовов по изменению регистров процессора, анализ кодов ошибки, поиск в памяти определённого кода, использование «логических бомб», вводящих эмулятор в бесконечный цикл и др. Если зловред учуял что-то подозрительное, то он сворачивает выполнение вредоносной функции, прикидываясь «белым и пушистым» файлом. Но мы лучше их «пальцем не деланы» :) и с этими напастями и разными прочими технологическими особенностями (прежде всего, ресурсоёмкостью) эмулятора успешно боремся. Например, для его ускорения мы используем разные ограничители, оптимизаторы и профили настроек, вплоть до полного отключения этой фичи в определённых условиях, когда задержка BSoD’у подобна.

А на днях наши патентовоеды принесли ещё одну радостную весть: мы получили патент (US10275597) на эмулятор программного кода с функцией интерпретации неизвестных объектов! Насколько мне известно, ни в одном конкурирующем продукте такой фичи нет: для защиты от анти-эмуляторных уловок малвары им приходится переделывать весь эмулятор, что, разумеется, процесс небыстрый. Мы же научили эмулятор обновляться «на лету» из локальной базы данных! В общем, очень полезная фича, а посему нет и повода не рассказать вам о ней, ибо знание как мы вас защищаем – сила! :)

Дело в том, что некоторые файлы распространяются не в машинном коде, а непосредственно в коде программном. Для их выполнения на компьютере требуется интерпретатор (например, JavaScript или VBA), который в масштабе реального времени переводит этот код на понятный машине язык. И, понятное дело, в таких файлах тоже частенько встречаются зловреды.

Для обнаружения неизвестных угроз этого типа много лет назад мы создали эмулятор программного кода, который перед выполнением файлов проверяет их в «пробирке». Однако эмулировать интерпретатор целиком – слишком ресурсоёмкий вариант. Задержка в обработке web-страниц со скриптами вряд ли сделает счастливым среднего пользователя. Поэтому эмуляторы воссоздают компромиссный вариант виртуального пространства, приемлемый как с точки зрения производительности, так и качества защиты. Но что делать, когда эмулятор встречает в коде неизвестный объект, метод или функцию, без которых полноценный анализ файла не представляется возможным?

Задачу «надёжно и быстро» мы решили другим способом – при помощи умного интерпретатора, способного быстро обучаться эмулировать такие объекты. Во время обновления через облако KSN продукт получает вспомогательный код на языке анализируемого объекта (JavaScript, VBA, VB Script, AutoIt – список открыт для других языков) и уже с новыми знаниями возвращается к проверке файла. В сложных случаях, когда вспомогательного кода ещё нет задача автоматически передаётся нашим аналитикам, которые его разрабатывают и оперативно добавляют в базу данных.

В итоге пользователь получает в распоряжение не только сильную, но и высокоскоростную технологию, способную быстро реагировать на киберугрозы, не дожидаясь перевыпуска всего эмулятора. Бинго!

(*) «Антивирус» - ещё один архаизм эпохи компьютерных вирусов. Современные антивирусы борются не только с вирусами, но со всем зловредством вообще, а также содержат много других полезных функций, например, менеджер паролей, VPN, родительский контроль, резервное копирование и многое другое. Т.е. если называть антивирус по-новому, то получится что-то вроде Анти-всё-плюс-много-чего-ещё :)



Метки: ,
Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «technology»

  • Смотрим в будущее: "Земля 2050".

    Вы, может, слышали, что в нашей компании неделю назад случились большие перемены. Так вот: на самом деле это неправда! Перемены у нас накопились…

  • Свинью верни!

    Когда-то давно байты были маленькими, деревья были большими, у нас в хозяйстве водилась одна довольно громкая свинья. Как её звали - неизвестно. Но…

  • Индустриальный подъём.

    Многие до сих пор думают, что мы – просто антивирусная компания, которая лучше всех гоняется за всевозможными кибер-зловредами и защищает наши и ваши…


Страница 1 из 2
<<[1] [2] >>
это те единственные, что сдали свой VPN Роскомпозору? Нет, спасибо, если другие антивирусы.

да блин, теперь порнуху не посмотреть, пиратский контент по поскачивать...

Стоящий текст - читать это безусловно стоит хотя бы как пример структурированной рекламной презентации , ведь эти аргументы создают то пространство диалога , в котором в будущем станут развивать полемику... Эти слова будут воспроизводить в диалогах всякие знатоки-сисадмины и эксперты критикующие продукты Касперского

сначала верните на рынок многолетние продкты и продления хотябы по акциям хоть в лотерею. бесплатники же нужны и для рекламы ака вин98 и для монторинга и для ужатия фрагов и поджимания конкурентов и для внедрия продукта и его нужности. но дорого жеж. напоминает интернет за 200 и тв за ещё 200 когда оно и так онлайн + антена за 400 на 30 лет.

Антивирус касперкского - лютый шлак. И это отлично, виндовозы должны страдать)

Виндовозам достаточно бесплатного антивируса от Майкрософта, который показывает превосходные результаты по всем тестам. Зачем ставить шпионского Кошмарского - непонятно.

Хороший пост, спасибо. Нужен суперский антивирусник!!! Посоветуйте лучшую антивирусную программу!?

спасибо очень интересная статья

разработок Humachine :)\\

Вы уж либо все на русском языке пишите, либо не пишите вовсе.

этот термин как-то сложно переводится на русский..
кириллицей тоже криво.
Но слово красивое, потому и используем.

(Удалённый комментарий)
За нецензурную лексику иногда "пожизненный эцих с гвоздями".

Прочее оставлю, дабы "дабы дурь каждого видна была".

(Удалённый комментарий)
А отношения Блумберг с ФБР и АНБ они близкие ? Или уже интимные ?

(Удалённый комментарий)
Евгений,
судя по учётной записи и её наполнению - это типичный платный тролль. Может всё таки забанить, чтобы не отвлекал глупостями?

зловреды чичас многослойные создания
и каша ен всегда успевает за трендом

Ты лучше расскажи про кровную связь Касперского и Fancy Bear.

интересно, расскажите.
Можете начать с того, что Sofacy нашёл именно Касперский

ой, странный у вас какой-то аккаунт... что-то тролли прямо как по приказу набежали.

Сейчас почему-то вспомнил "Петю".

любопытный момент с NotPetya - продукты ЛК его словили проактивно

Но ведь авторы вирусов все равно на шаг впереди. Каждый раз, когда на почту приходит очередное письмо с вложением в архиве вроде "счет.doc.js", отправляю на вирустотал и как правило, все антивирусы, включая Касперского, начинают его детектировать только через день, а то и два.

ориентироваться на вирустотал для понимания детекта не стоит - там крутятся обрезанные версии продуктов, без проактивных технологий. по сути, там детект только базами.

Спасибо за интересную и познавательную статью!


Страница 1 из 2
<<[1] [2] >>
?

Log in

No account? Create an account