Persiguiendo una carrera en Malware Analysis

Seguramente hay mucha relación entre la calidad del software y las pruebas y el analista de malware. Los principios básicos de investigar cómo funciona algo, probar sus límites de operación y profundizar en el alcance de sus funciones son comunes a ambos. Dicho esto, también dependerá del tipo de software que esté buscando.

Sé de varias personas que abandonaron la universidad y salieron al campo de "malware" (tal vez no tan específico ... pero protección / análisis general de la computadora) directamente de la universidad, por lo que también es una posibilidad.

Si desea obtener una ventaja, consulte universidades que ofrezcan los títulos de Seguridad de la información o Informática forense. (Tal vez un programa de maestría).

Es posible que desee ver el excelente artículo Cómo comenzar con el análisis de malware por Lenny Zeltser en SANS. Fue escrito en 2010, pero sigue siendo relevante hoy en día. Cubre los Artículos, libros, foros, blogs y cursos que se pueden seguir para convertirse en un analista de malware

Como se mencionó en otras respuestas, también debe ser fundamentalmente bueno en x86, C / C ++, Assembly

Sugeriría un curso autodidacta como eLearnSecurity Advanced Reverse Engineering of Software

Más adelante, cuando tengas más experiencia práctica, otros cursos que recomendaría son

(Google estos, mi nivel de reputación no me permite publicar más de 2 enlaces en mi respuesta)

• Capacitación en ingeniería inversa del Instituto InfoSec
• Introducción MANDIANTE al Análisis de Malware
• MANDIANT Customized Malware Analysis
• Análisis de Malware Intermedio MANDANTE
• MANDIANT Advanced Malware Analysis
• InfoSec Institute Advanced Reverse Engineering Malware

Esta pregunta ha sido respondida, pero otros pueden beneficiarse de escuchar todos los lados de esto.

Soy un analista de seguridad que responde a incidentes de malware para una empresa gigante. La mayoría de estas respuestas parecen guiarlo por el camino de las nuevas amenazas de ingeniería inversa y el desarrollo de firmas u otras inoculaciones, pero le pido que aclare su pregunta; Puede que estés más interesado en lo que hago.

En mi caso, recibo alertas de varias fuentes (alertas de AV, herramientas internas para el seguimiento de procesos, solicitudes de soporte de nivel 1, etc.) y uso conjuntos de herramientas forenses remotas para recopilar artefactos del sistema y, junto con el aprovechamiento de la red. y los registros de proxy, determinan si un sistema ha sido comprometido. El objetivo es encontrar "IOC" (indicadores de compromiso), como los hashes de proceso ejecutados que iluminan a VirusTotal.com, encontrar bases de datos personalizadas de shim en el USN Journal instaladas por un dropper, detectar módulos de persistencia de WMI, y así sucesivamente. Parte del trabajo es mantenerse al día con todas las nuevas técnicas y saber qué cuidar, perfeccionar su oficio.

En este caso, no necesita ninguna habilidad en programación (C / C ++, ASM, etc.), ni necesariamente necesita muchas certificaciones. La base para este campo de trabajo es:

• Conociendo sistemas; obtenga algo de experiencia en el soporte de nivel 1 o el administrador del sistema / red en una pequeña o mediana empresa. Los requisitos para obtener ese trabajo son significativamente más bajos de lo que estoy enumerando aquí, especialmente con su título de CS.
• Tener una mente curiosa, paranoica y analítica
• Estar al tanto de las redes, los principios de seguridad y una idea de las herramientas populares de código abierto o gratuito, como Nessus y Wireshark. No hay necesidad de "ser un experto" como usted dice ... el campo del análisis de malware está evolucionando demasiado para eso, solo tiene que ser adaptable y mantener el ritmo lo mejor que pueda.

Puede que esté totalmente fuera de la base, y preferiría desarmar el código para desarrollar firmas mientras trabaja en una compañía de antivirus, pero espero que esto le abra los ojos a las otras posibilidades que tiene abiertas para usted.

UNITE los foros de ayuda informáticos afiliados ofrecen programas de capacitación (de forma gratuita) sobre eliminación de malware, lo que probablemente sea un buen lugar para comenzar . No creo que profundicen en la disección de malware, sino que se centran en el diagnóstico y la limpieza.

Creo que para la investigación de Malware, SANS GREM es el más cercano y altamente considerado: SANS-GREM

SANS-GREM es un buen lugar para la certificación; pero para el estudio debe tener un buen conocimiento del lenguaje ensamblador x86, la herramienta IDA pro, y también algunos buenos libros. Para ensamblaje: ensamblaje paso a paso por Jeff Duntemann y Practical Malware Analysis | Sin prensa de almidón. Buen comienzo y sala de lectura SANS algunos ejemplos de documentos de análisis.

También es necesario configurar el laboratorio en su PC con una máquina virtual para hacer un análisis del mundo real.

Yo también tuve la misma pregunta y la respuesta es unirme a una compañía que está involucrada en el análisis de malware y no perder la esperanza. Tenga paciencia durante algunas semanas / meses y realice el trabajo de sus sueños.

Aprenda x86, C / C ++, API de Win32, elementos internos de Windows, elementos básicos de la estructura de archivos PE ... Entonces, cuando se sienta cómodo con estos, pruebe herramientas como ollydbg e IDA Pro. Esto te ayudará si quieres aprender por tu cuenta. Puedes probar las herramientas una al lado de la otra.

La mejor opción es unirse a una pequeña empresa que realiza análisis de malware y aprende en el trabajo. No solo trabajará en archivos de PE, sino que tendrá que lidiar con otros formatos de archivo como PDF, documentos, archivos web, etc.

También tendrás que aprender Android / iOS para estar a la vanguardia de la carrera.

Es un campo muy vasto; Cuanto más conocimiento tengas, mejor. Linux, shell shell, python, ruby, etc. Pero esto es para chicos experimentados.

No hagas una certificación: no pueden enseñarte a revertir en una semana. Necesitas años para perfeccionar el arte.