Сервис VirusTotal решил проблему с замедлением поиска угроз на своем сайте

[Artifact]

7 июля нынешнего года поиск на платформе с помощью движка сканера YARA существенно замедлился.

Сервис для сканирования вредоносного ПО и сбора данных о киберугрозах VirusTotal исправил уязвимость, замедлявшую операции по отслеживанию угроз на своем сайте.
Проблема затрагивала движок сканера YARA – компонент сайта VirusTotal, позволяющий исследователям безопасности с помощью текстовых правил осуществлять поиск в огромной базе данных сервиса.
По словам программного инженера VirusTotal и создателя YARA Виктора Мануэля Альвареса (Victor Manuel Alvarez), причиной проблемы являлся на первый взгляд «невинный» шаблон.
«Сам по себе шаблон не вызывал никаких подозрений и выглядел, как и другие шаблоны, не вызывающие никаких проблем, но дьявол прячется в мелочах. Причиной проблемы являлись множественные и сравнительно длинные переходы [0-60], разделенные короткими и частыми шаблонами 00», - сообщил Альварес.
Как пояснил специалист, для сопоставления шаблонов наподобие этих YARA использует два алгоритма. Первый является более сложным алгоритмом для полноценных регулярных выражений (regexp), а второй – более простым и примитивным алгоритмом для определенных шестнадцатеричных шаблонов, подобных приведенному выше.
Эти шестнадцатеричные шаблоны могут сопоставляться с помощью алгоритма полноценных регулярных выражений, но примитивный алгоритм как правило быстрее.
«Алгоритм полноценных регулярных выражений работает медленнее, чем примитивный в 99% случаев, но это хорошее свойство: его временная сложность линейна, и нет «плохих случаев», которые могут замедлить алгоритм экспоненциально. Примитивный алгоритм в большинстве случаев быстрее, но он имеет экспоненциальный рост во времени. Плохие случаи по-настоящему плохие. Правило, вызвавшее эту проблему, - один из таких по-настоящему плохих случаев», - пояснил Альварес.
Специалист охарактеризовал проблему как очень редкий случай, с которым компания не сталкивалась в течение долгих лет. Проблема затронула пользователей VirusTotal в среду, 7 июля, когда поиск на платформе с помощью правил YARA существенно замедлился. В настоящее время проблема исправлена, и VirusTotal работает в обычном режиме.