“Je veľmi jednoduché vytvoriť antivírus, ktorý by chytal 100 % malvéru, ak by sa spravil tak, že by chytal všetky súbory. Ten by bol, samozrejme nepoužiteľný.”
V druhej časti rozhovor s odborníkom na malvér zo spoločnosti ESET, Róbertom Lipovským, sme sa pýtali na rozdiely medzi moderným malvérom a malvérom z minulosti a proces skúmania malvéru v ESET. Prvú časť rozhovoru nájdete tu.
Vznikajú vírusy aj spontánne alebo je za tým vždy cieľavedomá činnosť tvorcu vírusov? Stáva sa teda, že niekto vytvorí vírus a z neho sa samovoľne vytvorí niečo iné?
Tomuto javu resp. meniacemu sa malvéru, sa hovorí polymorfizmus, ale v dnešnej dobe nie je taký bežný. V minulosti, v čase “pravých vírusov” vírus mutoval a takýmto spôsobom sa vyhýbal detekcii. V dnešnej dobe je tých pravých vírusov podstatne menej, väčšinou ide o trójske kone. Polymorfizmus však funguje v trochu inej miere, hovoríme tomu silver side polymorfizmus. Škodlivý kód sa totiž skladá z dvoch vrstiev – máme jadro a akúsi ochrannú obálku, ktorá jadro chráni. Čiže tvorcovia vírusov takýmto spôsobom vytvárajú tisícky súborov s rovnakým jadrom a rozdielnou obálkou. Odtiaľto pochádza aj spomínané číslo – 300 000 detegovaných škodlivých súborov za deň.
Toto sa, samozrejme, robí automatizovaným spôsobom. Sila antivírusu spočíva v prejdení cez ochrannú obálku a vyhodnotenia škodlivosti na základe skutočnej funkcionality v jadre.
Sú však naprogramované, aby sa menili. Tie pravé vírusy však menili svoj kód samovoľne?
Áno. Samozrejme, nejde o umelú inteligenciu. Kód polymorfných vírusov bol postavený tak, aby kopíroval svoje telo a pripájal ho na iné hostiteľské súbory a vždy, keď sa týmto spôsobom skopuje, svoje telo pozmení. V dnešnej dobe sa tento typ malvéru šíri cez nejaký automat, ktorý vždy vytvára tieto odlišnosti.
Ako skúmate nové typy malvéru resp. ich funkcionalitu či efekty na zariadenie?
Vo Virus Labe sa venujeme 2 hlavným činnostiam. Jedna je detekcia a druhá sú analýzy z vykonaného výskumu. Detekcia je prvoradá, keďže chceme, aby náš antivírus chránil zákazníkov. Ľudia, ktorí pracujú na detekcii zabezpečujú, aby sme chytali súbory, ktoré máme chytať a nedetegovali, čo chytať nemáme. Je totiž veľmi jednoduché vytvoriť antivírus, ktorý by detegoval 100 % všetkého malvéru ak by sa spravil tak, že by chytal všetky súbory. Ten by bol, samozrejme, nepoužiteľný. Čo sa týka analýz a výskumu, väčšinou to analytikom podsúvajú detekční inžinieri, ktorí vyhodnocujú, či je niečo škodlivé alebo nie a v prípade, že na súbore nebola vykonaná detekcia, zabezpečiia, aby bol súbor chytaný. Keďže ide o státisíce súborov, je fyzicky nemožné, aby ľudia vyhodnocovali každý jeden súbor. Pred týmto procesom je ale značná dávka automatizácie a títo inžinieri sledujú len akési clustre podobných vecí a na základe nich vykonajú manuálnu detekciu. Tá trvá rádovo niekoľko minút. No a v prípade, že sa pri tejto detekcii objaví niečo zaujímavé – ide o nový typ malvéru, v takýchto prípadoch posielame súbor na hlbšiu analýzu výskumníkom. Tí vedia stráviť nad analýzou anomálie aj hodiny, dni či dokonca mesiace.
A ako analytik zabráni, aby sa týmto vírusom nenainfikoval napríklad celý ESET?
Analytik súbor analyzuje v špeciálnom prostredí, voláme ho replikátor. Ide o systém určený práve na bezpečné spúšťanie kódu bez toho, aby sme infikovali celú sieť.
Ide o program alebo o konkrétne zariadenie?
Je to fyzický počítač alebo virtuálny stroj. Máme aj automatické replikátory, tých podôb je viacero. Tieto analýzy sa robia taktiež viacerými spôsobomi. Celý proces sa nazýva reverzné inžinierstvo – my robíme v istom zmysle opak programovania – sledujeme cudzí kód, o ktorom spočiatku nič nevieme a na základe rozobratia a analýzy tohto kódu zisťujeme, čo presne robí a akú má funkcionalitu. To robíme buď statickou analýzou – pozrieme sa do súboru, ale nespúšťame ho. Alebo dynamickou, pri ktorej súbor spustíme a vyhodnocujeme, čo robí.V ďalšom diely sa budeme venovať najproblematickejším typom malvéru pre používateľov, ale príde aj na tému najsmiešnejších vírusov, s akými sa Róbert stretol.