Перейти к содержанию
Сергей Ильин

Время анализа вирусов в лаборатории

Recommended Posts

Сергей Ильин

Друзья, нашел очень интересную ссылку

http://www.kaspersky.com/viruswatchlite

Это монитор деятельности вирусной лабориатории Касперского.

Видно время выпуска сигнатуры (изменено С.И.) и время выпуска в обновления (каждый час). В среднем я прикинул у аналитиков на анализ одного вируса уходит минут 15.

Интересно, как обстоят дела в других вирлабах? Кто-нибудь видел что-то подобное у других производителей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Ну, у нас конечно не так прикольно, но что то похожее. Реально аналитику на добавление вируса/червя/трояна требуется от 5 минут до ... много часов (в зависимости от сложности заразы). Основная масса приходящей сейчас заразы трояны (95%), всё остальое это "черви пятиминутки" и "вирусы пятнадцати минутки" (крайне редко что то сложное, заслуживающее отдельного внимания).

Проблема не в сложности вирусов, а в их объёме (при большой нагрузке вирус/червь/троян может сутки/другие пролежать в очереди и это решается только уровнем автоматизации и количеством аналитиков).

Профи, которые в "военное время" занимаются сложными вирями, в относительно спокойное время занимаются реверсивным программированием (вскрывают всякие упаковщики, криптовщики и т.п.).

В день небольшой АВ-лаб с помощью различных средств автоматизации анализа, аЦкой работы и неудержимого энтузиазма добавляют в базы от 200 до 700 записей (это статистика последних 3-х месяцев). Конечно, если это всё разделить на количество рабочих часов АВ-лаб, запонение получается плотненькое, но помните старое выражение:

" Есть три вида лжи: ложь, наглая ложь с статистика"

Это я к тому, что цифры все верные, но расчёт среднего времени добавления не совсем точный ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вирусным аналитикам не позавидуешь, эдакий конвеер получается, сидишь долбишь вирусы дни на пролет.

У меня появилсь одна интересная мысль. Ведь мощности любой вирусной лаборатории ограничены, т.е. реально за час они могут проанализировать N вирусов. Поэтому если создать волну из большего количества новых вирусов и их модификаций, то часть из них получит больше времени на распространение, а значит эффективность атаки будет больше.

Интересно, предусмотрен ли в вирлабах запас прочности для такого рода ситуаций и возможно ли такое в принципе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Ну, не совсем так.

Каждый попадающий в лабораторию сэмпл автоматически получает приоритет. Черви, вирусы и прочие самоходные экземпляры автоматически получают приоритет выше. Сэмплы полученные от реальных пользователей ("Вот, нашёл в своей системе") также получают более высокия приоритет. Высокий приоритет также имеют сэмплы полученные от других антивирусных компаний с пометкой ITW.

Далее на анализ они подаются согласно приоритету. Кроме того не забывайте, что самоходное ПО (черви, вирусы) поступят в лабораторию из нескольких источников (от нескольких пользователей, компаний, АВ-компаний), что автоматически акцентирует на нём внимание лаборатории.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну, не совсем так.

Каждый попадающий в лабораторию сэмпл автоматически получает приоритет. Черви, вирусы и прочие самоходные экземпляры автоматически получают приоритет выше. Сэмплы полученные от реальных пользователей ("Вот, нашёл в своей системе") также получают более высокия приоритет. Высокий приоритет также имеют сэмплы полученные от других антивирусных компаний с пометкой ITW.

Далее на анализ они подаются согласно приоритету. Кроме того не забывайте, что самоходное ПО (черви, вирусы) поступят в лабораторию из нескольких источников (от нескольких пользователей, компаний, АВ-компаний), что автоматически акцентирует на нём внимание лаборатории.

Если не секрет, какие компании участвуют в обмене экземплярами вирусов? Многие об этом говорят, но толком никто ничего не знает.

Вот тут уже эта тема поднималась http://www.anti-malware.ru/phpbb/viewtopic.php?t=75

С наименованиями вирусов, насколько я знаю, ситуация такая, кто первый обнаружит - тот и придумывает имя, остальные его как-правило принимают. Это действительно так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych
Если не секрет, какие компании участвуют в обмене экземплярами вирусов? Многие об этом говорят, но толком никто ничего не знает.

Вот тут уже эта тема поднималась http://www.anti-malware.ru/phpbb/viewtopic.php?t=75

Участвуют более-менее все. Вопрос только в том, сколько контактов с коллегами у той или иной компании. Нет как такового одного узла, в котором обмениваются все-все, хотя несколько специализироющихся на этом организация и ассоциаций таки есть.

С наименованиями вирусов, насколько я знаю, ситуация такая, кто первый обнаружит - тот и придумывает имя, остальные его как-правило принимают. Это действительно так?

Почти, но не всегда. Есть компании который предпочитают давать своё имя (или политика такая, или аналитикам лень смотреть как конкуретны именуют этот вирь). Хотя у нас конечно стараются смотреть кто как именует тот или иной вирь (если он кем то уже детектируется) и давать название близкое или аналогичное. Вообще придумывание названий для вирей, это тоже своеобразная проблема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Хотя у нас конечно стараются смотреть кто как именует тот или иной вирь (если он кем то уже детектируется) и давать название близкое или аналогичное. Вообще придумывание названий для вирей, это тоже своеобразная проблема.

Количество вирья растет такими темпами, что скоро вообще имя будет придумать сложно :-) Придется номера давать, кстати для внутреннего пользования не самый влохой вариант, а для PR можно отдельным вирусам имена придумывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych
Количество вирья растет такими темпами, что скоро вообще имя будет придумать сложно :-) Придется номера давать, кстати для внутреннего пользования не самый влохой вариант, а для PR можно отдельным вирусам имена придумывать.

В мире этим уже занимаются: http://cme.mitre.org/

Проблема в том, что имя в виде номера не информативно. Такие имена будут сложнозапоминаемыми и ориентироваться в мире информационной безопасности будет ещё сложнее (особенно рядовым пользователям).. Скорее всего такая система нумерации в будущем появистя, но будет существовать параллельно с именованием вирусов различными АВ-компаниями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
karimovru
Количество вирья растет такими темпами, что скоро вообще имя будет придумать сложно :-) Придется номера давать, кстати для внутреннего пользования не самый влохой вариант, а для PR можно отдельным вирусам имена придумывать.

А McAfee насколько я помню уже бакдоры года два как буквами обзывает, типа AAA, AAB, AAC и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А McAfee насколько я помню уже бакдоры года два как буквами обзывает, типа AAA, AAB, AAC и т.д.

А как подбираются названия для разной заразы у вас в Proantivirus Lab?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
karimovru
А McAfee насколько я помню уже бакдоры года два как буквами обзывает, типа AAA, AAB, AAC и т.д.

А как подбираются названия для разной заразы у вас в Proantivirus Lab?

В основном мы следуем классификации KAV потому как лично мне она кажется наиболее логичной и правильной.

Сами же имена придумываются или берутся у других если уже кто-то дал имя.

придумываются совершенно разными способами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

У вирусных аналитиков есть уникальная возможность. Они могут называть новые, только что детектированные вирусы, в честь кого-нить из своих знакомых или родствеников.

По аналогии, как в штатах ураганы называют :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
В среднем я прикинул у дятлов на нализ одного вируса уходит минут 15.

На приведенном сайте нет информации, которая бы позволила такой вывод. Там две колонки цифр: время, когда сигнатура добавлена и время, когда обновление опубликовано в Инетрнете. Каждый вмрус при этом может анализироваться и 5 мин. и 5 недель.

Интересно, как обстоят дела в других вирлабах? Кто-нибудь видел что-то подобное у других производителей?

На американском сайе Trend Micro когда-то создали систему, которая в on-line позволяля посмотреть, что в данный момент делается с отправленным на анализ образцом. Крисивая графическая схема (граф) с мигающими узлами.

Она так и не заработала! У нее мигал первый узел "Pending" и через некоторое время последний "Pattern released". Верятно, что свести работу 700 сотрудников TrendLabs (распределенных по всему миру!) в прокрустово ложе единой схемы не получилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Михаил, да, действительно, 15 минут - это интервал между выпуском сигнатуры и выпуском ее в релиз. Т.е. это не время реакции, а скорость выпуска апдейтов.

Там по идее должен быть еще один столбец - время обнаружения заразы, но думаю, его добавлять никто не будет, данные могут быть слишком противиречивые :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Там по идее должен быть еще один столбец - время обнаружения заразы, но думаю, его добавлять никто не будет, данные могут быть слишком противиречивые :-)

Это не данные будут противоречивые, суждения всякого встречного и поперечного, который будет строить на их основе нездоровые спекуляции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Михаил, да, действительно, 15 минут - это интервал между выпуском сигнатуры и выпуском ее в релиз. Т.е. это не время реакции, а скорость выпуска апдейтов.

Есть два существенных момента

1. Что гарантирует, что обновления дойдут до пользователей в корпоративной сети?

2. Утверждается, что проверка обновления (на корректность, ложные срабатывания) требует всего 15 мин?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Есть два существенных момента

1. Что гарантирует, что обновления дойдут до пользователей в корпоративной сети?

2. Утверждается, что проверка обновления (на корректность, ложные срабатывания) требует всего 15 мин?

Сейчас по всех новых продуктах Лаборатории Касперского частота обновления по умолчанию стоит - каждый час. Т.е. после релиза апдейта оно попадет к клиенту в диапазоне от 1 до 59 минут. Еще какое-то время уйдет на обновление всех компов в сети, там тоже это по какому-то расписанию делается (займет еще N минут/часов)

По второму пункту, очевидно, это именно так. Зарезили - так зарелизила, внутренне тестирование сигнатуры не входит в эти 15 минут :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Сейчас по всех новых продуктах Лаборатории Касперского частота обновления по умолчанию стоит - каждый час. Т.е. после релиза апдейта оно попадет к клиенту в диапазоне от 1 до 59 минут. Еще какое-то время уйдет на обновление всех компов в сети, там тоже это по какому-то расписанию делается (займет еще N минут/часов)

Это не "гарантирует". Может ли администратор убедиться, что все обновлено? (это наверное вопрос для другого треда)

По второму пункту, очевидно, это именно так. Зарезили - так зарелизила, внутренне тестирование сигнатуры не входит в эти 15 минут :-)

Я полагал, что тестироваться должно собственно "обновление", то есть непосредственно то, что в последствии выкладывается на сервера обновлений. Мало ли какой сочетанный эффект может обнаружиться после добавления сигнатуры в базу!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Я полагал, что тестироваться должно собственно "обновление", то есть непосредственно то, что в последствии выкладывается на сервера обновлений. Мало ли какой сочетанный эффект может обнаружиться после добавления сигнатуры в базу!

Насколько я знаю, сигнатуры проходят внутренне тестирование, которое, как заявляют в ЛК, практически полностью исключает фалсы.

По крайней мере, это факт, каких-то крупных проколов или скандалов в связи с дефективными апдейтами не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Я полагал, что тестироваться должно собственно "обновление", то есть непосредственно то, что в последствии выкладывается на сервера обновлений. Мало ли какой сочетанный эффект может обнаружиться после добавления сигнатуры в базу!

Насколько я знаю, сигнатуры проходят внутренне тестирование, которое, как заявляют в ЛК, практически полностью исключает фалсы.

По крайней мере, это факт, каких-то крупных проколов или скандалов в связи с дефективными апдейтами не было.

Ты не прав. Были. Правда не в ЛК, а почти год назад было у Dr Web. После очередного обновления их корпоратив просто отказался работать ВООБЩЕ! Соответственно мне пришлось разговаривать со службой поддержки, ругался долго, почти неделю.

Сразил наповал их ответ! Через неделю (после длинной ругани) мне предложили ВРУЧНУЮ снести их антивирусы, потом поставить заново и проапдейтить, а это обновление пропустить! Здорово было 300 компов в трех разных зданиях! Долго заказчики ругались!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
karimovru
Насколько я знаю, сигнатуры проходят внутренне тестирование, которое, как заявляют в ЛК, практически полностью исключает фалсы.

По крайней мере, это факт, каких-то крупных проколов или скандалов в связи с дефективными апдейтами не было.

Были, но очень быстро исправлялись.

Фолсы бывают у всех.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
×