Lumières sur la sécurité

mercredi 15 juin 2022

Les analystes de virus étudient les logiciels malveillants en détail. Leur travail consiste à examiner les menaces existantes et à anticiper les nouvelles. Ils doivent être capables d'analyser " brique par brique " le code de quelqu'un d'autre. Et pour comprendre comment pensent les pirates, il faut qu'ils soient un peu psychologues.

Les virus informatiques existent depuis les années 1970. Et dans les années 80, sont apparues les premières épidémies virales.

Aujourd'hui, il existe toute une industrie pour lutter contre les logiciels malveillants, qui emploie de précieux spécialistes - les analystes de virus. Ces experts analysent les causes et les conséquences de l'activité virale sur les appareils des utilisateurs et développent les moyens de contrer les attaques et de réparer, le cas échéant, les dommages causés.

Responsabilités de l'analyste de virus

Le laboratoire analytique viral de Doctor Web reçoit quotidiennement de 500 000 à 900 000 échantillons de code. Ils proviennent de différentes sources, dont des " agrégateurs " d'antivirus (tels que VirusTotal), des éditeurs antivirus, des pots de miel (honeypot) alloués pour attirer les virus informatiques, des pièges à spam et les systèmes de télémétrie internes du laboratoire.

Un fichier est-il malveillant ? Pour le déterminer, l'analyste de virus utilise différentes méthodes de test et observe son comportement. Tous les échantillons qui arrivent dans notre laboratoire ne sont pas de véritables menaces. Cependant, pour en être sûr, il faut les analyser.

Jusqu'à 95 % des échantillons sont analysés automatiquement. Il existe des outils spécialisés pour cela : Doctor Web est un des rares fournisseurs de solutions antivirus possédant ses propres technologies de détection et de traitement des programmes malveillants.

Nous analysons manuellement des échantillons de code sur lesquels les robots ne peuvent pas se prononcer immédiatement. Un analyste expérimenté n’a pas besoin de plus de 5 minutes pour désassembler un fichier suspect et examiner son code source afin de déterminer son statut.

Lorsque l'analyste de virus détecte un logiciel malveillant très sophistiqué ou nouveau, il effectue une analyse approfondie qui lui permet de fournir une description technique de la menace. Dans le laboratoire de Doctor Web, ces recherches sont menées dans l'environnement de test Sandbox fonctionnant sur la base du service Dr.Web vxCube, ainsi que sur des machines virtuelles et des émulateurs.

Certains programmes malveillants restent sous notre surveillance pendant plusieurs mois, car ils peuvent être en sommeil et réapparaître après avoir été « peaufinés » par des cybercriminels.

Les fichiers analysés, dont la nocivité est confirmée, sont ajoutés aux bases de données virales, qui sont mises à jour toutes les heures. Cela permet à l'antivirus de faire son travail - de détecter et d'éliminer rapidement les menaces.

Ce que l'analyste de virus doit savoir et être capable de faire

Chez Doctor Web, un analyste de virus peut travailler en première ligne (front-line), dans le département responsable du développement des outils d'analyse automatisés, des pots de miel et du service Dr.Web vxCube. Ici, tous les échantillons non pris en compte par les systèmes automatisés sont analysés et les demandes de support technique sont traitées. Pour travailler dans ce département, il faut :

• connaître l'Assembler x86,
• savoir utiliser les outils OllyDBG, Hiew, IDA,
• connaître l'architecture Windows, les fichiers PE,
• comprendre l'anglais technique

Il existe un département de recherche et d'analyse des menaces complexes. Cette équipe a pour mission d'étudier les menaces encore inconnues et/ou très complexes, les botnets, les cyberattaques. Ici, les analystes de virus travaillent pour déchiffrer les fichiers chiffrés par les rançongiciels et gèrent également les enquêtes liées aux VCI (incidents informatiques liés aux virus). Ces spécialistes, en plus des connaissances et des compétences énumérées ci-dessus, doivent comprendre le cryptage, avoir de l'expérience concernant diverses attaques sur des serveurs distants de pirates, être capables de rédiger des articles techniques et de rechercher en profondeur diverses vulnérabilités et virus complexes.

Et le troisième département s'occupe de l'analyse des logiciels malveillants qui menacent les appareils mobiles. Les personnes qui travaillent ici sont :

• ceux qui comprennent le fonctionnement de l'OS Android et du code Java,
• connaissent le format de fichier exécutable ELF/DEX, les algorithmes de programmation de base et le langage Python/C/C++,
• qui ont de l'expérience avec les décompilateurs des fichiers DEX et les systèmes Linux

#pot de miel #antivirus #botnet #logiciel malveillant #terminologie