Мне нравятся красивые отчёты. Уверен, что Вам также нравятся красивые отчеты, как и мне. Например, отчёты компании FireEye. В одном из последних отчётов «HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group» я увидел упоминание всего одного образца файла. Обычно в подобных отчётах присутствует больше чем один файл, но здесь только один. Меня это заинтриговало и я решил исследовать что это за файл.Нажмите здесь, чтобы отредактировать..
На поверку оказалось, что сейчас детектируют многие, но все. А вот дальше самое интересное – файл не является вредоносным. Именно, такой вердикт пришёл от вирусных аналитиков родной компании. Точнее, файл просто не запустится. Вердикт вирусных аналитиков косвенно подтвердил анализ файла на стороннем ресурсе.
Странно, но факт – ведь информация о файле находится в центре упомянутого мною отчёта, да и компания FireEye не новичок на рынке.
Вначале, как обычно, я начал искать объяснение такого рода «багу»: рассуждал намеренно или нет, могли допустить авторы отчёта такую оплошность, если намеренно, то какова их цель и т.д.
Вначале, как обычно, я начал искать объяснение такого рода «багу»: рассуждал намеренно или нет, могли допустить авторы отчёта такую оплошность, если намеренно, то какова их цель и т.д.
По ходу рассуждений на ум пришла анекдотичная история из жизни. Дело было в те времена, когда я ещё не работал в антивирусной компании, хотя и активно занимался тестированиями антивирусных продуктов. Небезызвестный «исконно-британский» антивирус на букву «К» стабильно детектировал файловый вирус в обычном HTML-файле. А файл оказался страничкой с веб-сайта этой же компании, а сама страничка содержала описание … этого же файлового вируса :-). Затем вспомнил ещё одну более свежую историю из жизни одного румынского антивирусного продукта: при тестировании выяснилось, что продукт детектирует в заведомо незапускаемых файлах немалое количество троянцев, причём это количество на порядок отличалось в большую сторону в сравнении с другими продуктами.
Эти истории напомнили мне о проблеме всей антивирусной индустрии, проблеме существующий и по сей день - на фоне из года в год возрастающего количества угроз, уже не хватает человеческих ресурсов для пополнения вирусных баз. Выход нашли в автоматизации процесса внесения новых записей в вирусные базы. Однако, это не устранило, а скорее умножило количество ложных срабатываний антивирусных продуктов на совершенно безвредных файлах. Конечно, сам процесс можно и нужно оптимизировать. У кого-то это получается лучше, у кого хуже, но в целом проблема имеет место быть не только «на сейчас», но и в будущем, имхо.
Возвращаясь к отчёту, склоняюсь, что злого умысла у авторов отчёта не было. Авторы увидели первоначальный детект сампла несколькими продуктами на VT, далее решили раскручивать тему. А там и остальные подтянулись с детектом, пусть даже файл и не представляет угрозы реальным системам. Лично мне это не нравится – коль назвали файл троянцем, то он по определению должен творить нехорошее, злое. Белое нужно бы называть белым, серое – серым, а чёрное – чёрным. Но отчёт красивый, бесспорно.
В заключении снимок из моего личного архива детекта одного известного антивруса очень-очень злого вируса EICAR. :-)
Эти истории напомнили мне о проблеме всей антивирусной индустрии, проблеме существующий и по сей день - на фоне из года в год возрастающего количества угроз, уже не хватает человеческих ресурсов для пополнения вирусных баз. Выход нашли в автоматизации процесса внесения новых записей в вирусные базы. Однако, это не устранило, а скорее умножило количество ложных срабатываний антивирусных продуктов на совершенно безвредных файлах. Конечно, сам процесс можно и нужно оптимизировать. У кого-то это получается лучше, у кого хуже, но в целом проблема имеет место быть не только «на сейчас», но и в будущем, имхо.
Возвращаясь к отчёту, склоняюсь, что злого умысла у авторов отчёта не было. Авторы увидели первоначальный детект сампла несколькими продуктами на VT, далее решили раскручивать тему. А там и остальные подтянулись с детектом, пусть даже файл и не представляет угрозы реальным системам. Лично мне это не нравится – коль назвали файл троянцем, то он по определению должен творить нехорошее, злое. Белое нужно бы называть белым, серое – серым, а чёрное – чёрным. Но отчёт красивый, бесспорно.
В заключении снимок из моего личного архива детекта одного известного антивруса очень-очень злого вируса EICAR. :-)