Главная / Исследование вредоносного кода
Исследование вредоносного кода
Исследование вредоносного кода — это деятельность, направленная на определение функционала вредоносного и потенциально опасного кода, выявление индикаторов компрометации и формирование рекомендаций по выявлению, нейтрализации опасных объектов и предотвращению повторного заражения.
Данные работы проводятся в Лаборатории исследования вредоносного кода (ЛИВК) — команде экспертов в области реверс-инжиниринга. ЛИВК специализируется на изучении вредоносных объектов, задействованных в целевых атаках, которые практически невозможно обнаружить автоматическими средствами защиты, такими как, например, антивирусные «песочницы». Лаборатория занимается детальным исследованием вредоносных объектов, анализируя их реальный код вместо поведения, поскольку атакующие могут изменять поведение исследуемых объектов в зависимости от определенных условий (например, не допуская исполнения потенциально опасных действий в случае запуска внутри песочницы). Квалификация экспертов ЛИВК позволяет нейтрализовать (обойти) защиту, используемую вредоносным программным обеспечением и выявить условия, которые необходимы вредоносному ПО для настоящей работы, для чего зачастую требуется расшифрование его конфигурации, изучение журналов работы вредоносного ПО и получение других важных характеристик. Собранная информация позволяет создать список индикаторов компрометации, с помощью которых системные администраторы или даже начинающие специалисты по безопасности могут найти и нейтрализовать сложное вредоносное программное обеспечение. Помимо этого, наши исследования способствуют повышению эффективности использования сложных защитных инструментов, таких как антивирусные песочницы, анти-APT и EDR, которые, без экспертной поддержки, максимально эффективно использовать достаточно сложно.
Результаты исследований ЛИВК помогают корректировать правила поиска угроза, а иногда и функционал средств защиты.
Лаборатория оснащена профессиональным оборудованием и программными продуктами для обеспечения качественного исследования вредоносного кода, а ее эксперты повышают свои знания на международных форумах, а также — выступают в качестве спикеров на крупных международных конференциях (Positive Hack Days, Security Analyst Summit, FIRST Conference и других).