Novinky z Avastu

Jeden den v životě lovce virů

Avast, 7. prosince 2017

Jak vypadá jeden den v životě našeho experta a jak probíhá odhalení zákeřného viru.

Avast chrání přes 400 milionů lidí po celém světě a měsíčně zabrání až 3,5 miliardám kyberútoků. Náš bezpečnostní cloud každý měsíc kontroluje až 200 miliard url adres
a 300 milionů nových souborů. Kdo za těmito velkými čísly stojí? Experti z našeho Threat Labs týmu. Jednotlivé hrozby každý den zaznamenávají, analyzují
a zneškodňují. Podívejte se, jak vypadá běžný pracovní den v životě jednoho z nich. Seznamte se s Honzou.

08:36

Vcházím do kanceláře. Začíná být rušno a ve vzduchu se mísí vůně kávy a míchaných vajíček z kantýny. Kolegové upřeně sledují velkou obrazovku blikající přes celou zeď plnou číslic a křivek. Tato globální statistika trendů, hrozeb a dalších aktivit nám hned po ránu připomíná, že hackeři nikdy nesmí. Nasnídám se, beru hrnek kávy a jsem připraven.

09:09

Začínám pravidelnými kontrolami a analýzami. Tentokrát moji pozornost ale upoutá hrozba, na kterou mě upozornil náš automatizovaný systém. Nezvyklý jev probíhal
už zhruba dva dny. Po takovém upozornění naši analytici vždy konkrétní jev prohledávají v
CyberCapture, Behaviorálním štítu a heuristických databázích, aby zjistili, zda je škodlivý a jak před ním případně uživatele ochránit.

Naše metoda má několik jasných kroků: odhalit hrozbu, analyzovat ji, vymyslet efektivní ochranu a zakomponovat ji do našeho produktu. Právě nové objevy jako ten dnešní jsou nejdůležitější částí celého procesu.

Drobné hrozby většinou eliminuje nás automatický systém, který využívá umělou inteligenci a velká data. Dnešní jev se ale projevuje výrazněji, a proto ho jdeme zkoumat do detailu manuálně. Vybereme z něj část kódu, s jehož pomocí zkoumáme, zda objevíme škodlivé URL nebo binární kód.

Avast_ThreatLabs_2.jpg

 

09:19

Některé hrozby, jako jsou viry, malware se v uživatelském prostoru pravidelně opakují, proto se jdu podívat, zda jsme se s něčím podobným už nesetkali. Často vídáme stejný škodlivý kód opakovaně, jen se třeba objeví v jiné podobě.

Jsou věci, které každý den dělám v rámci rutiny, žádný den však nikdy není stejný. Pokaždé totiž analyzuji jiné věci s různým vývojem.

09:47

Dokončili jsme sken kódu detekčním softwarem. Díky němu a dvojkové soustavy zjišťujeme, že se jedná o starý a nám již známý kód, nyní je však poupravený. Zdá se, že podvodný e-mail se má tvářit jako faktura od legitimního obchodního partnera uživatele. Ta je ale spojená s malwarem, který uživateli infikuje počítač a všechna další k němu připojená zařízení.

Podobné hrozby jsou nebezpečné, protože se stále vracejí zpět jako zombies. Naši uživatelé jsou chráněni proti těm, co vypadají stejně jako ty původní. V okamžiku,
kdy se vracejí v nové podobě, musíme jednat rychle a včas zakročit, aby náš antivirus byl schopen reagovat na nejaktuálnější hrozby.

10:30

Snažím se odhalit konkrétní podobu kódu, na němž je tato hrozba založena. Až pak budu umět napsat detekční mechanismus, který bude proti hrozbě chránit. Následně ho přímo implementujeme do softwaru našich uživatelů.

11:34

Vypadá to, že dnešní hrozba je složitější, než se zdálo. Budeme muset provést hlubší analýzu, abychom získali konfigurační soubor. Čekám ještě na výsledky diagnostiky, takže mezitím pracuji na jiném projektu. Vyvíjíme nový systém, díky němuž budeme schopni odhalit hrozby ještě rychleji než doposud.

12:03

Prázdno v břiše i na židlích kolem mě mi připomene, že je čas oběda. Je pátek, takže volba je jasná – dám si řízek.

V kantýně se vedle mě posadí kolegyně a tak probíráme útok, kterému se nám včera podařilo zabránit. Šlo o phishingový útok zaměřený na zákazníky jedné z velkých bank. Útočníci posílali podvodné emaily s falešnou aplikací, která měla skenovat texty v zařízeních a zjistit tak přihlašovací údaje uživatelů. Útok se nám podařilo zastavit včas a zabránili jsme tak úniku milionů, možná i miliard korun. 

Avast_kantyna_3.jpg

12:47

A zpátky do práce. Už přišla diagnostika, takže pátrám dál. Analyzuji vzor kódu
a zkoumám algoritmus, abych zjistil specifickou konfiguraci daného souboru. Pátrám po adrese URL uvnitř kódu, kterou bychom případně mohli zablokovat a chránit tak ty uživatele, kteří přílohu otevřou.

14:38

Tohle se ještě protáhne. Kód je velmi složitý a může trvat dlouho, než se nám podaří mu porozumět. Program je napsaný v jazyce C++, což celkově komplikuje možnost reverzního inženýrství, tedy rozebrání kódu a jeho lepšímu porozumění. Musíme být opatrní a debuggovat pomalu, krůček po krůčku.

16.10

Bingo, máme to! Spolu s kolegou jsme odhalili pravidelnost v binárním kódu a pak jsme sledovali jeho paměť. S podobným malwarem jsme se letos už setkali, útočníci použili stejný zdrojový kód, který však složitě zakryli.

Teď musíme co nejrychleji zajistit včasné upozornění a ochranu pro naše uživatele.
U každého případu vždy volíme ten nejlepší způsob detekce, který pak uživatelům zprostředkujeme. Těm se zobrazí aktualizace do několika minut poté, co se nám podaří škodlivý kód odhalit.

Je to skvělý pocit, když se nám podaří zastavit šíření škodlivého kódu. Možná vám moje práce může připadat jako nuda – celý den u počítače, ale odhalení původu hrozby, kterému nikdo jiný nerozumí, je ten nejlepší pocit na světě.  

pasted image 0.png

17.47

Čas jít domů. Byl to dobrý den. Odhalit hrozbu během 12 hodin se nám nepodaří pokaždé. Jdu si zacvičit a na pivo s kamarády. Jsem zvědavý, co přinese zítřek!