Кто такой вирусный аналитик

Обновлено: 22.04.2024

— Я считаю, что мне повезло. Не у каждого бывает момент, когда понимаешь, что хочешь заниматься именно этим. У меня такой момент был. История банальная: я ходила на подготовительные курсы при университете, там были занятия по информатике. У нас была замечательная преподавательница по алгоритмам. Там я узнала все тонкости алгоритмизации, научилась нормально программировать. И в это время увидела алгоритмы буквально с какого-то сказочного ракурса. Это меня так захватило! Все в жизни — алгоритм, все наши действия: почистить зубы, вызвать лифт — всё состоит из последовательности действий, циклов и ветвлений.

— Нет, она не совсем по моей специальности. Многие мои сокурсники ушли в защиту информации для предприятий — составление модели угроз периметра организации, например, банка. Вирусный анализ мы не изучали в университете, был ассемблер. В целом понятно, что углубленным вещам не учат в вузе — их изучают самостоятельно либо на курсах.

— Основная деятельность нашей команды — операционная. В режиме нон-стоп мы обрабатываем поток заявок от наших пользователей, саппорта, роботов. Заявки идут непрерывно, и их очень много.




Что касается ручного анализа, то здесь важную роль играет скорость. У нас есть SLA — обязательства перед нашими пользователями и партнерами. Мы должны осуществлять анализ как можно оперативнее, и нельзя в конце рабочего дня встать и уйти домой, оставив работу до утра. Поэтому у нас две смены в Москве и третья во Владивостоке — нужно 24 часа в сутки помогать пользователям и пострадавшим от разных вредоносов.

Ну а в конце аналитик убеждается, что сформированный автоматикой ответ действительно отвечает на вопросы пользователя. Если тот интересовался еще чем-либо помимо подозрительного файла, ответ придется скорректировать.

— Все заявки сортируются по приоритетам. На приоритет влияют ключевые слова: например, если автор заявки предполагает ложное срабатывание антивируса на чистый файл, то приоритет вырастет. Еще на приоритет влияет популярность анализируемого объекта (или его локально-устойчивой свертки, если речь о полиморфах).

Если же речь идет о файле, пропатченном вручную, то там будет изменена буквально пара десятков байт: например, открытие бэкдора при вызове определенного экспорта в пропатченной DLL'ке. Но мы хорошо умеем распознавать и такие случаи. Дело в том, что у нас огромная коллекция чистых файлов и мы легко по похожести можем найти оригинал и сравнить, что же именно поменялось.

Бывает, конечно, и так, что автор пишет большое чистое приложение и изначально добавляет в него небольшую деструктивную функцию, или же разработчик софта сам подвергся взлому. Вот такой случай действительно может долго оставаться незамеченным, и закладка вскроется, только когда вредоносный код исполнится в реальной защищаемой системе и будет пойман поведенческой защитой. При условии, что закладка делает что-то плохое в системе, конечно.

— Исходного кода у нас нет, поэтому мы реверсим скомпилированные файлы. Это как в собранном домике Лего пытаться понять, что там внутри за перекрытия. Разреверсив файл, по коду Ассемблера мы понимаем, какую активность он несет, что делает.

— Из актуальных — бестелесная Malware, так называемые fileless-угрозы. У них нет файлов в системе: например, в стандартный планировщик задач прописывается запуск PowerShell-скрипта с длинной закодированной командной строкой. Зловред запускается самой ОС по расписанию, исполняется стандартным интерпретатором.



Объем

Аудитория

Так как сотрудники нужны всегда, а рынок труда, вот беда, не поставляет реверс-инженеров, да и еще и с опытом анализа вредоносных файлов, мы делаем ставку на неопытных, а потом растим и учим сами.

Лично я предпочитаю сотрудников — студентов старших курсов. Они амбициозные, трудолюбивые, бесстрашные, открытые для всего нового. Чего не скажешь про опытных программистов. Опытные боятся учиться новому. Но, конечно, полно исключений. Кроме того, сам я считаю, что мой мозг работал лучше всего именно в студенческие годы.

Мотивация

Хорошая работа
  1. Это там, где хорошо платят
  2. Это когда ездить удобно
  3. Это там, где интересно работать
  4. Главное, чтобы начальник был добрый
  5. Начальник хороший (необязательно добрый)
  6. Коллектив хороший
  7. Это там, где есть перспективы
  8. Это там, где есть развитие
  9. Это там, где есть карьерный рост
  10. Это когда можно совмещать с учебой
А что же вам интересно?
Я всегда мечтал работать именно у вас


Есть такой подход к поиску работы: разослать резюме в 20-30 компаний, разместить на всех профильных сайтах, и ждать звонков, ходить выбирать. Подход имеет право на жизнь, он в целом эффективный. Но вот если кандидат хочет работать именно у нас, скажу честно, это действует на меня очень сильно. Даже если это он сам себе внушил, все равно.

  1. И что же вы про нас знаете? А какие продукты кроме антивируса еще у нас есть?
  2. А какие другие антивирусные компании вы вообще знаете?
  3. А с какого момента вы так решили? Вы все это время посвящали прокачке реверс-инжиниринга?
Как вы относитесь к рутине?

Экспертиза

  1. На чем бы вы писали парсер лога антивируса?
  2. Назовите известные вам WinAPI функции для создания нового процесса
  3. А вот у вас тут в резюме неизвестная мне технология, расскажите, зачем она нужна
CrackMe


Кандидату при назначении собеседования предлагается дома отреверсить несложный файлик. Знание Asm обязательно для позиции. Причем, достаточно институтского курса, опыт необязателен. Этим заданием мы проверяем не только знание, но еще и готовность потратить час-день своего времени. А если соискатель реально эксперт, то задание займет у него 5 минут. Некоторые кандидаты не настолько хотят работать именно у нас, чтобы тратить свое личное время на какие-то там задания. Это тоже нормально. Только на позиции вирусного аналитика придется именно реверсом и заниматься. А если вам неинтересен один сампл, вряд ли вам будет интересно анализировать их много.

Пару раз приходили кандидаты, которые просто загуглили имя файла crackme01_x64.exe и взяли оттуда решение. Эпическая победа.

Assembler

xor eax, eax
or eax, eax
jz label

Задачка


Сталкивались ли вы с вирусами?
А не малварщик ли ты часом?
C vs C++
Разбор сампла

Зарплата


После этого, в отличие от продажника, я ничего не говорю, а просто убираю листок с ответом и перехожу к другим вопросам.

Заключение

Почему я не сообщаю решение сразу
  1. Кандидат может начать спорить, уговаривать
  2. Кандидат усомнится в нашей объективности, мол, мы не приняли во внимание все аспекты

Кроме того, есть сотрудник HR, который обычно сообщает решение. У него большой опыт сообщать отказы правильно, так что лучше довериться профессионалу.

И, конечно же, у нас есть правило: мы сообщаем решение в любом случае в течение трех рабочих дней. А если не успеваем определиться, то просим кандидата еще подождать.

Другие вопросы
Случай из жизни

Был однажды кандидат. Сотрудница HR честно предупредила, что он не совсем адекватен, но только не меня, а моего напарника. А он, редиска, мне не сказал.

Я: Как добрались?
Он: На поезде!

Позитивный осадок

image

Сам я убежден, что независимо от того, подошел нам кандидат или нет, надо продемонстрировать ему, что ЛК — это лучше место работы. И одним только офисом дело не ограничивается. Если он пожелает, мы покажем ему вирлаб, улыбчивых коллег, ответим на все возникшие вопросы. Нельзя давить на кандидата, заваливать. А если на вопрос он отвечает какую-то чушь, я называю это любопытной точкой зрения.

Зачем это надо? Ведь вряд ли он пойдет постить гадости на форуме. Просто я стараюсь сделать мир добрее.


Никита: Я изначально в Бауманку пришел на кафедру информационной безопасности. Потому что ИБ — самое перспективное направление. Оно будет всегда, как ни крути. И чем дальше информационные технологии развиваются, тем больше будет желающих украсть информацию и тем сложнее эту информацию надо будет защищать. Поэтому я захотел заниматься именно этим направлением. Плюс всякие страшилки про хакеров сподвигли. Интересно было, что это такое вообще, думал, может быть, я тоже что-нибудь смогу в этой сфере…

После этого я узнал о программе стажировок SafeBoard и решил подать заявку. Нормально прошел этап онлайн-тестирования, решил задачи crackme, потом пошел на хакатон. Там изначально определился с направлением форенсики, заинтересовался набором в отдел, занимающийся реагированием на инциденты.

После хакатона мне сказали, что в принципе я прохожу, но там были разные направления, в том числе тестирование, системный анализ. Но я точно знал, что хочу заниматься именно ИБ. После этого были общие курсы, на которых нам быстро дали основы знаний по разработке, тестированию, сисанализу, исследованию угроз. Но я уже целенаправленно шел в AMR, хотел быть ревесером, исследователем уязвимостей.

Но когда начались с собеседования, то как-то так получилось, что я не прошел на интересную мне специальность. Там их много было, этих собеседований, штук 10 наверное. По ИБ было четыре, в группу эвристического анализа, в ботнеты, ну и в форенсику. Я дошел до финальных этапов отбора, когда вот ты сидишь, вот менеджер отдела и ты решаешь задания прямо при нем. И я не прошел ни в AMR, никуда. Вообще с безопасностью не получилось.

Соответственно, связался с HR, мне выслали задания. То есть помимо обучения в университете я параллельно решал отборочные задания в вирлаб, которые нужны, чтобы дойти хотя бы до этапа собеседования, ну и занимался основной работой — тестированием. Задание было сложное, но очень интересное. Кстати, это был crackme с конференции Zero Nights 2017 года. Как впоследствии выяснилось, его писал мой будущий наставник в вирлабе. Я его решал где-то три ночи, мне прямо очень понравилось. Ну в общем основная цель была — пройти в вирлаб, глаза горели. Я сделал отчет, отправил и мне через неделю, уже в марте, назначили собеседование.

Дальше вообще интересно — я пришел, а там сидят мой непосредственный наставник и руководитель отдела. Задают вопросы все вот такие же примерно. Обсуждаем crackme. И тут меня сажают перед компом, дают маленький файлик и говорят: у тебя есть 10 минут и ты должен нам рассказать, что эта штука делает. А там просто ассемблерный листинг. И я должен рассказывать особенно не раздумывая, просто смотря в листинг и по ходу комментируя. Для меня это было, во-первых, непривычно, во-вторых, шоком.

Я сидел анализировал все это по порядку. Как оказалось, это был какой-то там переходник для скачивания малвари, я там по ходу путался, распутывался, меня подталкивали к определенным мыслям. Получилось так, что я с ним справился за 10 минут, рассказал по кусочкам, что там происходило. Рассказал, откуда выкачивалась малварь, почему она выкачивалась, всякие тонкости. Потом собеседование закончилось и началось ожидание. Вскоре мне написали — говорят, что вы проходите на позицию. И в конце мая готовы зачислить в штат.

Никита: Я на четвертом курсе. Еще два года учиться. На шестом курсе я выхожу из университета с дипломом специалиста по компьютерной безопасности. Но это по факту не имеет вообще никакого отношения к реверсу. Это математические методы защиты информации.

Никита: Ну тут особого смысла нет. У нас же сейчас специалитет, это как бакалавр плюс магистратура. То есть если идти, то уже в аспирантуру. Но я в аспирантуру не хочу, я хочу заниматься прикладными вещами. В науку нет, не хочу.

Никита: Долбит код, да. Но не только. То есть большая часть работы — действительно в том, что мы сидим и анализируем код. К нам прилетает много заявок, китайцы ночью могут прислать по 50 файлов, это нормальная ситуация. Но помимо этого мы еще пишем свои эвристики, то есть эвристические детекты. Улучшаем работу потока, то есть у нас скапливаются самплы, мы думаем, как улучшить анализ на потоке, пишем свои внутренние утилиты. То есть по факту мы тоже занимаемся разработкой в какой-то мере. В дополнение к тем, которые для нас пишут другие отделы.

А по факту мы как какой-то вирусный саппорт. Вот к нам прилетают малвари, мы их агрегируем, обрабатываем и распределяем между отделами. Вот эта малварь — в отдел эвристического анализа, эта — в антиспам, эта — в ботнеты. У нас тут такой перевалочный пункт — первая линия. Также занимаемся какими-то другими вещами, которые служат для улучшения анализа, но по факту — да. Мы долбим код.

Никита: Смены по 8 часов. Бывают и ночные, но, к счастью, не у нас. У нас есть утренняя и вечерняя. А когда в Москве ночь, то работает смена во Владивостоке. То есть у нас по факту две локации основные. Владивосток и Москва.

Никита: Как ни странно, получилось так, что почти без потерь. То есть я пропускаю от силы процентов пять пар. Получилось так, что расписание легло идеально, да и руководство пошло на уступки по расписанию. То есть у меня пятидневный рабочий график, но он распределенный. Три дня я работаю в утреннюю смену и два дня — в вечернюю. И вот благодаря такому балансу успешно совмещаю учебу и работу. То есть, конечно, ты жертвуешь своими выходными, не можешь куда-то сходить. Но цель-то великая! Хочется стать крутым. А чтобы стать крутым, надо пахать. На сессию отпуск буду брать. Ну а как по-другому?

Никита: Я понимаю, да. Вообще, начало работы в ИБ именно с вирлаба — идеально. Потому что мы анализируем всевозможную малварь, от андроидовской до линуксовой. Иногда APT-атаки нам присылает отдел GREAT. И мы все это анализируем. Со временем начинаешь понимать, какие темы тебе интереснее, какой вектор развития хочешь выбрать. Вот сейчас мне больше всего интересны сложные APT-атаки. Там ведь разное бывает. Некоторые вон, спутники хакать пытаются. Это прямо очень интересно. Еще интересны всякое эвристическое детектирование. И все, что связано с поиском уязвимостей. Вот ты смотришь на код и понимаешь, где могут быть потенциальные zero-day-уязвимости. Если zero-day нашел, то твой престиж растет.

Никита: Не, это не в подозрительных файлах. Это как хобби получается.

Никита: Ну на хобби остается время. Его, к сожалению, немного. Учеба. Иногда получается в CTF играть, иногда уязвимости искать. А какой путь я вижу… Вот я хочу сделать так. Сначала набраться опыта, а потом уже понять, куда идти конкретно. В какие отделы. Вообще, конечная цель — стать руководителем RnD. Но на самом деле с конкретной сферой определюсь после того, как я наберусь разнопланового опыта. В ближайших планах — за год подняться до уровня middle.

Никита: В вирлабе? Ну сначала, когда ты приходишь на новое место, ты немного жмешься. Немного стесняешься. Но со временем это все поутихло, когда я начал непосредственно уже прокачиваться в знаниях, со всеми ребятами перезнакомился. Мы там друг другу скидываем всякое, шуточки профессиональные, мемы, рабочие моменты обсуждаем. То есть нормально я влился в коллектив. И общие интересы есть. Кто-то хочет тоже в том же направлении, что и я, развиваться, с ними вообще просто общий язык найти.

Никита: Читаю достаточно много, потому что в ИБ надо постоянно оставаться в теме. Ведь не только мы ловим новые угрозы. Все время появляются какие-то уязвимости, какие-то новые атаки. Какое-никакое, а повышение квалификации. Иногда прямо помогает реагировать на инциденты. Что конкретно читаю? Ну вот основной источник — это Хакер. Потом читаю на Хабре всякие статейки. Иногда из песочницы. Иногда смотрю доклады с прошедших конференций по ИБ-тематике. Там DEFcon, BlackHat. Стараюсь больше читать на английском, потому то большая часть литературы — это все-таки английский.

Никита: Интересно! Вообще, если мы уже подходим к каким-то выводам из моей истории, то хочу сказать, что нужно четко идти к своей цели. Вот я перед собой поставил цель. Великую цель, скажем так. И я к ней иду. Я понимаю, что именно мне надо, и когда небольшими шажочками иду, а когда и перепрыгиваю через несколько ступеней. Так получилось с SafeBoard — через четыре месяца из стажера стал младшим вирусным аналитиком. И надо понимать, что если вам судьба дает какие-то шансы, то их надо брать. Потому что если вы их не будете брать, судьба от вас отвернется, и все, никаких шансов не будет, и будете себя всю жизнь укорять за то, что не воспользовались ими. И надо работать над собой целыми днями (я понимаю, что это тяжело, хочется погулять). Но лучше поработать сейчас — потом будет проще. Если ты постоянно идешь к этой цели и берешь шансы — то все будет хорошо. Надо работать, много работать.

Никита: А что делать, если я реально так думаю?

Фото: Shutterstock

Без учета принятых российскими властями мер курс американской валюты был бы на уровне ₽180, сказал агентству Bloomberg валютный стратег Wells Fargo Securities Брендан МакКенна. Нынешнее укрепление рубля является искусственным, добавил он.

В марте курс доллара взлетел выше ₽120, обновив исторический максимум на отметке ₽121,5275. Но после этого ралли был разворот, и российская валюта, напротив, укрепилась на 46% к доллару США, до ₽83,35 к концу марта. 8 апреля за доллар на бирже давали всего ₽71. Укрепление рубля произошло на фоне мер поддержки со стороны российских властей и Банка России.

Фото:Pexels

В марте ЦБ установил временный порядок операций с наличной валютой и предписал брокерам взимать комиссию в размере 12% с физических лиц, которые покупают иностранную валюту на бирже. В конце февраля также вышел указ президента России, который обязал экспортеров продавать 80% валютной выручки, зачисленной с 1 января 2022 года. В начале апреля регулятор снял ряд других валютных ограничений. В частности, произошла отмена комиссии на покупку долларов, фунтов и евро на бирже. ЦБ также разрешил банкам с 18 апреля продавать наличную валюту гражданам, но только ту, которая поступила в кассы с 9 апреля.

Фото:Chung Sung-Jun / Getty Images

Главный аналитик Промсвязьбанка Егор Жильников полагает, что рубль технически сейчас уже выглядит перекупленным. По прогнозам эксперта, на следующей неделе курс доллара будет колебаться в диапазоне ₽70–75. При этом в начале недели рубль может инерционно окрепнуть, однако уже по итогам недели ожидаемые послабления ЦБ по контролю над капиталом смогут развернуть нисходящую тенденцию и привести курс доллара к более высоким значениям.

Фото:Shutterstock

Цикл снижения ставок позитивен для рынка акций, так как это должно способствовать оживлению экономической активности, увеличению доступности кредитования, а кроме того, может быть сопутствующим фактором разворота курсовой динамики рубля к более справедливым значениям, отмечает эксперт. По мнению Бахтина, справедливый курс российской валюты к доллару находится в зоне ₽80–85. Дополнительно ослабление рубля может стимулировать дальнейшее смягчение Центробанком мер валютного контроля.

В Росбанке полагают, что сезонный перевес торговых потоков в пользу рубля сохранится в течение апреля, это позволит удержать курс доллара у нижней границы диапазона ₽75–80, а курс евро — вблизи нижней границы коридора ₽80–85. Однако его средне- и долгосрочные перспективы будут зависеть как от внешних условий, так и от темпов отказа ЦБ от ограничений на движение капитала, предупредили аналитики.

В течение текущей недели Банк России последовательно демонстрировал смягчение стабилизационных мер, способных оказать влияние на волатильность валютного рынка, отмечают аналитики Росбанка. Однако рубль по-прежнему игнорирует послабления обязательных экспортных продаж для несырьевого и сырьевого секторов. Следующим этапом может стать снижение порога обязательных продаж экспортной выручки с 80%. Эксперты допускают, что к концу первого полугодия курсы доллара и евро поднимутся до более высоких значений. Курс американской валюты к концу второго квартала может подняться до ₽95, а курс евро — до ₽102,6.

Дивиденды — это часть прибыли или свободного денежного потока (FCF), которую компания выплачивает акционерам. Сумма выплат зависит от дивидендной политики. Там же прописана их периодичность — раз в год, каждое полугодие или квартал. Есть компании, которые не платят дивиденды, а направляют прибыль на развитие бизнеса или просто не имеют возможности из-за слабых результатов. Акции дивидендных компаний чаще всего интересны инвесторам, которые хотят добиться финансовой независимости или обеспечить себе достойный уровень жизни на пенсии. При помощи дивидендов они создают себе источник пассивного дохода. Подробнее

Фото: Mohamed Abd El Ghany / Reuters

Как минимум один ребенок умер, 17 детям потребовалась пересадка печени. Новый вид гепатита был обнаружен у детей в возрасте от 1 месяца до 16 лет.

Больше всего случаев пришлось на Великобританию (114), еще 13 детей заболели в Испании, 12 — в Израиле, девять — в США, менее пяти — в Ирландии, по четыре ребенка — в Нидерландах и Италии, по двое — в Норвегии и Франции и по одному — в Румынии и Бельгии.

При этом ВОЗ делает оговорку о том, что пока неясно, произошло ли увеличение числа случаев заболевания гепатитом или просто повысилась выявляемость случаев болезни.

Фото:Михаил Терещенко / ТАСС

Фото: Spencer Platt / Getty Images

Повышенные цены и переориентация экспорта. Что ждет российский нефтегаз

Разворот на 180 градусов: чем и с кем Россия будет торговать теперь

Как разработка хирургических инструментов сделала иммигранта миллиардером

Как рынки Нью-Йорка и Лондона поняли превратности Второй мировой войны

Фото: Wikimedia Commons

Как Джон Рокфеллер стал богатейшим человеком в мире. История Standard Oil

Фото: Shutterstock

В кризис так нельзя: пять способов пустить продажи под откос

Фото: Tim Boyle / Getty Images

Вы переехали за рубеж. О каких законах своей страны не надо забывать

Первые случаи заражения были выявлены в начале апреля. К 5 апреля в ВОЗ знали о десяти случаях у детей младше десяти лет в центральной Шотландии. К 8 апреля их число по всей Великобритании выросло до 74.

Читайте также: