Pozrite si
Už sme sa zmierili s tým, že k digitálnemu svetu patria aj vírusy a škodlivé kódy. Ale skúsili ste sa niekedy zamyslieť nad tým, ako vyzerá práca výskumníka, ktorý sa venuje ich „chytaniu“? Aké zručnosti sú nevyhnutné na túto prácu? Ako vyzerá analýza malvéru?
Výskumníci škodlivého kódu sa snažia vžiť do kože útočníkov a pochopiť fungovanie nebezpečných kódov. Ich úspech je založený na dôkladnej analýze. Experti dopodrobna skúmajú vírusy, trójske kone či malvér prostredníctvom takzvaného reverzného inžinierstva. Pri výskume sa teda neskúma len samotný kód, ale aj jeho metadáta – kde sa pripájal, na aké servery a v ktorých krajinách.
Kybernetický výskum
Analýza kódu prebieha staticky, alebo dynamicky. Statická forma znamená, že si výskumník prezerá kód, ale nespustí ho. Aby ho mohol pochopiť, musí si ho preložiť. Strojový jazyk je totiž zložený len z núl a jednotiek. Tu príde na pomoc nástroj disassembler.
Dekompilátor dokáže pretransformovať kód do niečoho, čo sa podobá na zdrojový kód a programovacie jazyky (napríklad C++). Ide teda o reverzné inžinierstvo. Programátor má vždy konkrétnu špecifikáciu a podľa nej kóduje, reverzeri sa pozerajú na existujúci program, ktorý vytvoril niekto iný. Spočiatku o ňom netuší nič, snaží sa zistiť, ako funguje a čo konkrétne robí.
Výskumníci teda zvyčajne nevidia útok „v priamom prenose“, škodlivé kódy analyzujú v off-line režime na vlastných zariadeniach. Security monitoring robí iný tím špecializujúci sa na udalosti, ktoré sa aktuálne odohrávajú.
Zaujímavo pôsobí informácia, že skôr, ako začnú výskumníci analyzovať takýto kód, musia ho identifikovať a rozhodnúť, či by stálo za námahu sa na neho pozrieť. Na to treba mať veľa skúseností, v ESET-e si vychovávajú zo svojich ľudí malware hunterov (lovcov škodlivého kódu). To je schopnosť objavovať to zaujímavé, čo stojí za analýzu.
„My sa s útočníkmi vlastne hráme na mačku a myš. Snažíme sa pochopiť ako funguje malvér, aké techniky využívajú útočníci. Naopak, útočníci vymýšľajú stále nové techniky, aby obišli našu detekciu a aby sa im útok podaril. To znamená, že sa výskumník nebude nudiť, no vyžaduje si to neustále vzdelávanie,“ vysvetľuje senior analytik škodlivého kódu Robert Lipovský.
Viete, že…
…pracovníci z ESET-u plnia aj úlohu SOC (Security Operation Center) a robia security monitoring? Práve oni sa sústredia na udalosti, ktoré sa aktuálne dejú u používateľa a zvyčajne vedia pomôcť. Tejto práci sa teda nevenujú analytici škodlivého kódu.
Kde získajú vedomosti potencionálni reverzeri? Základné vzdelanie dostanú na školách s technickým zameraním, samozrejme, v špecifikácii, ktorá zahŕňa potrebné predmety. Šikovným a nadaným môže stačiť vďaka internetu aj samoštúdium, pretože žiadna škola neposkytne komplexné vzdelanie v tomto smere.
ESET spolupracuje so školami a takto si pripravuje budúcich talentovaných ľudí. Okrem toho, že vedie bakalárske a diplomové práce, podieľa sa aj na výučbe vlastných predmetov, kde je zaradené aj reverzné inžinierstvo.
Máme to šťastie, že je dnes dostupné obrovské množstvo kvalitného materiálu. Treba mať len záujem, chuť a nájsť si na to čas.
Robert Lipovský, Senior Malware Researcher v ESET-e
Napriek tomu, že škodlivý kód ubližuje a okráda, niekedy dokáže výskumníkov zaujať po technickej stránke. Robert Lipovský ako príklad uvádza hekerské útoky na Ukrajine, ktoré tam spôsobili obrovské výpadky elektriny. Kyberzločinci vtedy použili aj zbraň najväčšieho kalibru, akú kedy analyzovali – Industroyer.
Množstvo ďalších užitočných informácii nájdete na stránke bezpecnenanete. Môžete si prečítať zaujímavé informácie o témach ako napríklad Škodlivý kód, Podvodné praktiky, Dezinformácie, ale aj o tom ako používať technológie v rodine.
Článok sme pripravili v spolupráci so spoločnosťou ESET.
Zdroj