Перейти к содержанию
Сергей Ильин

Время анализа вирусов в лаборатории

Recommended Posts

Сергей Ильин

Друзья, нашел очень интересную ссылку

http://www.kaspersky.com/viruswatchlite

Это монитор деятельности вирусной лабориатории Касперского.

Видно время выпуска сигнатуры (изменено С.И.) и время выпуска в обновления (каждый час). В среднем я прикинул у аналитиков на анализ одного вируса уходит минут 15.

Интересно, как обстоят дела в других вирлабах? Кто-нибудь видел что-то подобное у других производителей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Ну, у нас конечно не так прикольно, но что то похожее. Реально аналитику на добавление вируса/червя/трояна требуется от 5 минут до ... много часов (в зависимости от сложности заразы). Основная масса приходящей сейчас заразы трояны (95%), всё остальое это "черви пятиминутки" и "вирусы пятнадцати минутки" (крайне редко что то сложное, заслуживающее отдельного внимания).

Проблема не в сложности вирусов, а в их объёме (при большой нагрузке вирус/червь/троян может сутки/другие пролежать в очереди и это решается только уровнем автоматизации и количеством аналитиков).

Профи, которые в "военное время" занимаются сложными вирями, в относительно спокойное время занимаются реверсивным программированием (вскрывают всякие упаковщики, криптовщики и т.п.).

В день небольшой АВ-лаб с помощью различных средств автоматизации анализа, аЦкой работы и неудержимого энтузиазма добавляют в базы от 200 до 700 записей (это статистика последних 3-х месяцев). Конечно, если это всё разделить на количество рабочих часов АВ-лаб, запонение получается плотненькое, но помните старое выражение:

" Есть три вида лжи: ложь, наглая ложь с статистика"

Это я к тому, что цифры все верные, но расчёт среднего времени добавления не совсем точный ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вирусным аналитикам не позавидуешь, эдакий конвеер получается, сидишь долбишь вирусы дни на пролет.

У меня появилсь одна интересная мысль. Ведь мощности любой вирусной лаборатории ограничены, т.е. реально за час они могут проанализировать N вирусов. Поэтому если создать волну из большего количества новых вирусов и их модификаций, то часть из них получит больше времени на распространение, а значит эффективность атаки будет больше.

Интересно, предусмотрен ли в вирлабах запас прочности для такого рода ситуаций и возможно ли такое в принципе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Ну, не совсем так.

Каждый попадающий в лабораторию сэмпл автоматически получает приоритет. Черви, вирусы и прочие самоходные экземпляры автоматически получают приоритет выше. Сэмплы полученные от реальных пользователей ("Вот, нашёл в своей системе") также получают более высокия приоритет. Высокий приоритет также имеют сэмплы полученные от других антивирусных компаний с пометкой ITW.

Далее на анализ они подаются согласно приоритету. Кроме того не забывайте, что самоходное ПО (черви, вирусы) поступят в лабораторию из нескольких источников (от нескольких пользователей, компаний, АВ-компаний), что автоматически акцентирует на нём внимание лаборатории.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну, не совсем так.

Каждый попадающий в лабораторию сэмпл автоматически получает приоритет. Черви, вирусы и прочие самоходные экземпляры автоматически получают приоритет выше. Сэмплы полученные от реальных пользователей ("Вот, нашёл в своей системе") также получают более высокия приоритет. Высокий приоритет также имеют сэмплы полученные от других антивирусных компаний с пометкой ITW.

Далее на анализ они подаются согласно приоритету. Кроме того не забывайте, что самоходное ПО (черви, вирусы) поступят в лабораторию из нескольких источников (от нескольких пользователей, компаний, АВ-компаний), что автоматически акцентирует на нём внимание лаборатории.

Если не секрет, какие компании участвуют в обмене экземплярами вирусов? Многие об этом говорят, но толком никто ничего не знает.

Вот тут уже эта тема поднималась http://www.anti-malware.ru/phpbb/viewtopic.php?t=75

С наименованиями вирусов, насколько я знаю, ситуация такая, кто первый обнаружит - тот и придумывает имя, остальные его как-правило принимают. Это действительно так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych
Если не секрет, какие компании участвуют в обмене экземплярами вирусов? Многие об этом говорят, но толком никто ничего не знает.

Вот тут уже эта тема поднималась http://www.anti-malware.ru/phpbb/viewtopic.php?t=75

Участвуют более-менее все. Вопрос только в том, сколько контактов с коллегами у той или иной компании. Нет как такового одного узла, в котором обмениваются все-все, хотя несколько специализироющихся на этом организация и ассоциаций таки есть.

С наименованиями вирусов, насколько я знаю, ситуация такая, кто первый обнаружит - тот и придумывает имя, остальные его как-правило принимают. Это действительно так?

Почти, но не всегда. Есть компании который предпочитают давать своё имя (или политика такая, или аналитикам лень смотреть как конкуретны именуют этот вирь). Хотя у нас конечно стараются смотреть кто как именует тот или иной вирь (если он кем то уже детектируется) и давать название близкое или аналогичное. Вообще придумывание названий для вирей, это тоже своеобразная проблема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Хотя у нас конечно стараются смотреть кто как именует тот или иной вирь (если он кем то уже детектируется) и давать название близкое или аналогичное. Вообще придумывание названий для вирей, это тоже своеобразная проблема.

Количество вирья растет такими темпами, что скоро вообще имя будет придумать сложно :-) Придется номера давать, кстати для внутреннего пользования не самый влохой вариант, а для PR можно отдельным вирусам имена придумывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych
Количество вирья растет такими темпами, что скоро вообще имя будет придумать сложно :-) Придется номера давать, кстати для внутреннего пользования не самый влохой вариант, а для PR можно отдельным вирусам имена придумывать.

В мире этим уже занимаются: http://cme.mitre.org/

Проблема в том, что имя в виде номера не информативно. Такие имена будут сложнозапоминаемыми и ориентироваться в мире информационной безопасности будет ещё сложнее (особенно рядовым пользователям).. Скорее всего такая система нумерации в будущем появистя, но будет существовать параллельно с именованием вирусов различными АВ-компаниями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
karimovru
Количество вирья растет такими темпами, что скоро вообще имя будет придумать сложно :-) Придется номера давать, кстати для внутреннего пользования не самый влохой вариант, а для PR можно отдельным вирусам имена придумывать.

А McAfee насколько я помню уже бакдоры года два как буквами обзывает, типа AAA, AAB, AAC и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А McAfee насколько я помню уже бакдоры года два как буквами обзывает, типа AAA, AAB, AAC и т.д.

А как подбираются названия для разной заразы у вас в Proantivirus Lab?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
karimovru
А McAfee насколько я помню уже бакдоры года два как буквами обзывает, типа AAA, AAB, AAC и т.д.

А как подбираются названия для разной заразы у вас в Proantivirus Lab?

В основном мы следуем классификации KAV потому как лично мне она кажется наиболее логичной и правильной.

Сами же имена придумываются или берутся у других если уже кто-то дал имя.

придумываются совершенно разными способами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

У вирусных аналитиков есть уникальная возможность. Они могут называть новые, только что детектированные вирусы, в честь кого-нить из своих знакомых или родствеников.

По аналогии, как в штатах ураганы называют :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
В среднем я прикинул у дятлов на нализ одного вируса уходит минут 15.

На приведенном сайте нет информации, которая бы позволила такой вывод. Там две колонки цифр: время, когда сигнатура добавлена и время, когда обновление опубликовано в Инетрнете. Каждый вмрус при этом может анализироваться и 5 мин. и 5 недель.

Интересно, как обстоят дела в других вирлабах? Кто-нибудь видел что-то подобное у других производителей?

На американском сайе Trend Micro когда-то создали систему, которая в on-line позволяля посмотреть, что в данный момент делается с отправленным на анализ образцом. Крисивая графическая схема (граф) с мигающими узлами.

Она так и не заработала! У нее мигал первый узел "Pending" и через некоторое время последний "Pattern released". Верятно, что свести работу 700 сотрудников TrendLabs (распределенных по всему миру!) в прокрустово ложе единой схемы не получилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Михаил, да, действительно, 15 минут - это интервал между выпуском сигнатуры и выпуском ее в релиз. Т.е. это не время реакции, а скорость выпуска апдейтов.

Там по идее должен быть еще один столбец - время обнаружения заразы, но думаю, его добавлять никто не будет, данные могут быть слишком противиречивые :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Там по идее должен быть еще один столбец - время обнаружения заразы, но думаю, его добавлять никто не будет, данные могут быть слишком противиречивые :-)

Это не данные будут противоречивые, суждения всякого встречного и поперечного, который будет строить на их основе нездоровые спекуляции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Михаил, да, действительно, 15 минут - это интервал между выпуском сигнатуры и выпуском ее в релиз. Т.е. это не время реакции, а скорость выпуска апдейтов.

Есть два существенных момента

1. Что гарантирует, что обновления дойдут до пользователей в корпоративной сети?

2. Утверждается, что проверка обновления (на корректность, ложные срабатывания) требует всего 15 мин?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Есть два существенных момента

1. Что гарантирует, что обновления дойдут до пользователей в корпоративной сети?

2. Утверждается, что проверка обновления (на корректность, ложные срабатывания) требует всего 15 мин?

Сейчас по всех новых продуктах Лаборатории Касперского частота обновления по умолчанию стоит - каждый час. Т.е. после релиза апдейта оно попадет к клиенту в диапазоне от 1 до 59 минут. Еще какое-то время уйдет на обновление всех компов в сети, там тоже это по какому-то расписанию делается (займет еще N минут/часов)

По второму пункту, очевидно, это именно так. Зарезили - так зарелизила, внутренне тестирование сигнатуры не входит в эти 15 минут :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Сейчас по всех новых продуктах Лаборатории Касперского частота обновления по умолчанию стоит - каждый час. Т.е. после релиза апдейта оно попадет к клиенту в диапазоне от 1 до 59 минут. Еще какое-то время уйдет на обновление всех компов в сети, там тоже это по какому-то расписанию делается (займет еще N минут/часов)

Это не "гарантирует". Может ли администратор убедиться, что все обновлено? (это наверное вопрос для другого треда)

По второму пункту, очевидно, это именно так. Зарезили - так зарелизила, внутренне тестирование сигнатуры не входит в эти 15 минут :-)

Я полагал, что тестироваться должно собственно "обновление", то есть непосредственно то, что в последствии выкладывается на сервера обновлений. Мало ли какой сочетанный эффект может обнаружиться после добавления сигнатуры в базу!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Я полагал, что тестироваться должно собственно "обновление", то есть непосредственно то, что в последствии выкладывается на сервера обновлений. Мало ли какой сочетанный эффект может обнаружиться после добавления сигнатуры в базу!

Насколько я знаю, сигнатуры проходят внутренне тестирование, которое, как заявляют в ЛК, практически полностью исключает фалсы.

По крайней мере, это факт, каких-то крупных проколов или скандалов в связи с дефективными апдейтами не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Я полагал, что тестироваться должно собственно "обновление", то есть непосредственно то, что в последствии выкладывается на сервера обновлений. Мало ли какой сочетанный эффект может обнаружиться после добавления сигнатуры в базу!

Насколько я знаю, сигнатуры проходят внутренне тестирование, которое, как заявляют в ЛК, практически полностью исключает фалсы.

По крайней мере, это факт, каких-то крупных проколов или скандалов в связи с дефективными апдейтами не было.

Ты не прав. Были. Правда не в ЛК, а почти год назад было у Dr Web. После очередного обновления их корпоратив просто отказался работать ВООБЩЕ! Соответственно мне пришлось разговаривать со службой поддержки, ругался долго, почти неделю.

Сразил наповал их ответ! Через неделю (после длинной ругани) мне предложили ВРУЧНУЮ снести их антивирусы, потом поставить заново и проапдейтить, а это обновление пропустить! Здорово было 300 компов в трех разных зданиях! Долго заказчики ругались!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
karimovru
Насколько я знаю, сигнатуры проходят внутренне тестирование, которое, как заявляют в ЛК, практически полностью исключает фалсы.

По крайней мере, это факт, каких-то крупных проколов или скандалов в связи с дефективными апдейтами не было.

Были, но очень быстро исправлялись.

Фолсы бывают у всех.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×