Цифра месяца: 70K. Ежедневно.

Previous Entry Поделиться Next Entry
28 октября, 2011
e_kaspersky
Наша служба и опасна и трудна. А ещё очень сложна. Простому смертному трудно понять все тонкости работы антивирусной компании. А нам ох как хочется о них рассказать! Так что мы по мере сил стараемся переводить их на человеческий язык. А вершина этого айсберга – свод цифр и фактов, которые иллюстрируют эту службу.

Например, вот такая любопытная инфографика:



Ещё много интересной инфографики здесь.

Но один из самых задаваемых вопросов – «а сколько вирусов вы находите каждый день?».



Вопрос на самом деле нетривиальный, но что делать - нужен простой ответ на простой вопрос. И до недавних пор у нас был стандартная циферка – 35 тысяч. Вот как-то так. Усреднённо. Без умопомрачительных подробностей о малварных семействах, полиморфизме, векторных паттернах, записях и пр.

Но уже как несколько месяцев за этим ответом часто следовал уточняющий вопрос, что, мол, как-то мало, не сходится! В общем, мы тут напряглись, посчитали и обалдели. В результате появился апдейт: 70 тысяч. Ежедневно. Ага.

Опять же, не буду вдаваться в подробности (если кому интересно – спрашивайте в каментах). Лучше расскажу как оно вообще нам удаётся перелопачивать эти ежедневных семьдесят тысяч сэмплов.

Ну, многие знают, что наш фамильный талисман – дятел. И неспроста. В старые-добрые времена наш вирлаб так и работал. Как на конвейере – сидели и «долбали» вирусы. Между прочим, очень сложная, утомительная и уважаемая профессия! И я тоже много лет дятлил!

Однако времена уже давно не те. И ясно, что при нынешнем потоке «долбать» уже просто нереально, экономически неэффективно, да и просто глупо. У нас уже много лет как на боевом дежурстве … авто-дятлы! Человеческому фактору достаётся только самая интеллектуальная работа – разбирать самые сложные образцы, исследовать ботнеты, следить, чтобы авто-дятлы не фолсили, ну и, конечно, тренировать и всячески развивать оных.

Вообще есть несколько источников, через которые мы получаем образцы малвари для анализа: самоходы («налипают» на специальные ловушки), сабмиты (пересылают пользователи), обмен коллекциями с другими антивирусными компаниями и наш облачный сервис KSN (видео, подробности).  Причем по вкладу в защиту пользователей последний источник сейчас занимает лидирующие позиции. Вот на примере KSN и посмотрим как работает наша автоматизация обработки малвари.

Компьютеры-участники KSN (а их сейчас больше 30 миллионов) пересылают в облако статистику (неперсонифицированную!) о работе наших продуктов. Тут и информация об отловленных вредоносах и зараженных сайтах, так и много полезного для обнаружения новой малвари – например, подозрительное поведение программ, хэши скачанных файлов и другое.

Вот, допустим, юзер запускает ранее неизвестный файл. Локальный антивирус проверяет его всеми доступными инструментами – чисто. Спрашиваем облако – нет данных. Ок – даём добро на запуск. И тут оказывается, что он как-то странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения, имеет двойное расширение (jpg.exe) или что-то ещё. Сигнал поступает в KSN, где система автоматически вычисляет репутацию файла (веса всех признаков и действий) и принимает решение о детекте. В результате на защищённый компьютер отправляется команда «фас», файл блокируется, а его действия откатываются. Разумеется, чем больше сообщений об одном и том же файле с разных компьютеров, тем более высокий приоритет обработки и выше точность и критичность вердикта. Появись такой файл на других компьютерах, подключённых к KSN – им сразу говорится, что опасно и не надо экспериментировать.

Ещё пример.

Сразу несколько пользователей скачали файл по одной и той же ссылке. Но каждый раз у файла разный хэш. Пахнет полиморфизмом! KSN начинает раскручивать дело и видит, что, например, сайт зарегистрирован всего пару дней назад, на нём «висит» какой-нибудь iframe или с него раньше уже рассылались зараженные файлы (ну, там много разных признаков). И снова облако вычисляет репутацию и посылает команду блокировать как сам файл, так и доступ к сайту.

Важно: благодаря такому подходу в среднем между детектом и вердиктом проходит всего лишь 40 сек!

Но на этом работа наших авто-дятлов не заканчивается.

Уже другая система выкачивает из сети тот самый подозрительный файл и передаёт его на анализ автоматическому обработчику. Там вообще целый букет всяческих патентованных и пока ещё не патентованных технологий, посему копать глубже не буду. Этот обработчик разрабатывает и тестирует знакомые всем обновления и выкладывает на серверы для скачки.

Вот как-то так. Помню ещё лет 8 назад конкуренты, завидуя, восторгались, как у нас получается такими небольшими ресурсами вести такую огромную работу? Автоматизация однако! И только грамотной автоматизации под силу справиться с этим безумным потоком малвари! Кстати говоря, хотя фронт работ постоянно расширяется и углубляется, у нас уже год не меняется количество сотрудников в вирлабе.

Тут возникает логичный вопрос. А как же выживают маленькие антивирусные компании? Известно, что содержать хороший вирлаб – не только дело денег, но и мозгов. Откуда у них находятся ресурсы держаться на плаву, при этом почти не тратиться на R&D?

Больная тема.

Уже несколько лет в антивирусной индустрии процветает натуральное воровство «детекта». Вместо того, чтобы анализировать малвару, развивать свою экспертизу и изобретать новые технологии некоторые (и этих «некоторых» около десятка!) компании просто подсматривают результаты работы других и тупо добавляют в свои базы детект по хэшу. Им помогают некомпетентные тесты, которые не отражают уровень защиты в реальных условиях. В результате наверх проползает не самый лучший софт, растёт количество его установок, а общий уровень защищённости падает. У честных компаний теряется мотивация к исследованиям, эффективность инвестиций в R&D падает, зато продажи воров растут, а кибер-негодяи ликуют.

Ну, это тема для отдельного рассказа.

И напоследок. Ещё наши дятлы бывают вот такими:













И даже #kozmo-дятел:


Фото Георгий Малец
 
Кстати, если у кого есть ещё всяких прикольных дятлов - давайте ссылки в коментах. Буду регулярно апдейтить коллекцию.

Всем пока!

Метки:
Previous Entry Поделиться Next Entry
В Инете огромное количество всякой дряни, которое выплевывает из своих недр все новые семплы. Плюс крипторы, пакеры. Семл - это конкретный образец. Вот есть некая малварь. Упаковали ее UPX'ом (это я для понимания сути) - появился новый семпл.

?

Log in

No account? Create an account