web-dev-qa-db-fra.com

Poursuivre une carrière dans l'analyse des logiciels malveillants

Quand j'étais enfant, je veux devenir un analyste malveillant et travailler dans une entreprise antivirus. A cette époque, j'aime essayer différentes solutions antivirus et faire un projet de recherche sur le virus informatique/antivirus au lycée. Je suis intéressé à savoir comment les malwares sont entrés dans mon système et mon enlèvement de logiciels malveillants.

Aujourd'hui, je suis à nouveau au chômage et à la recherche d'une nouvelle carrière et cette pensée me vint à l'esprit. J'ai soudainement envie de poursuivre mon rêve d'enfance en tant qu'analyste malveillant. Je n'ai pas beaucoup d'expérience d'emploi de programmation informatique avant (seulement quelques mois dans une société de jeu) et mon travail précédent était un comptable. (Non liée à la programmation informatique).

J'ai eu mon diplôme en informatique il y a 5 ans et je prends actuellement des cours à temps partiel dans les logiciels QA/Test au collège. (Parce que je suis également envisagé de changer de carrière dans le domaine de la qualité de l'AMO)
[.____] Je sais aussi que pour travailler dans un domaine de sécurité, vous devez d'abord être un expert dans ce domaine. Pensez-vous que travailler comme un logiciel QA/Tester serait un bon point de départ pour le cheminement de carrière en tant qu'analyste malveillant? Ou c'est totalement indépendant?

J'apprécierais que quelqu'un puisse fournir des conseils pour poursuivre une carrière dans l'analyse des logiciels malveillants.

éditer

J'ai entendu parler de Security +, Cissp, CISA, CEH, SSCP, etc. Mais je ne sais pas lequel est lié à l'analyse des logiciels malveillants.

Merci

16
Shawn

Vous voudrez peut-être examiner l'excellent article Comment commencer par l'analyse des logiciels malveillants par Lenny Zeltser sur Sans. Il a été écrit en 2010 mais est toujours pertinent aujourd'hui.Il couvre le articles, livres, forums, blogs et cours que l'on pourrait suivre pour devenir un analyste malveillant

Comme mentionné dans d'autres réponses, vous devez également être fondamentalement bon à X86, C/C++, Assemblée

Je suggérerais un cours à soi-même comme Elearnsecurity avancé inverse ingénierie du logiciel

Plus tard, quand vous avez plus de mains sur l'expérience, d'autres cours que je recommanderais sont

(Google ceux-ci, mon niveau de réputation ne me permet pas de publier plus de 2 liens dans ma réponse)

  • Infosec Institute Formation inverse en génie inverse
  • Introduction mandante à l'analyse des logiciels malveillants
  • Analyse des logiciels malveillants professionnels mandants
  • Analyse des logiciels malveillants intermédiaires mandants
  • Analyse des logiciels malveillants avancés mandants
  • Infosec Institute Malware avancé d'ingénierie inverse
5
ZASE

Cette question a été répondue, mais d'autres peuvent bénéficier d'entendre tous les côtés de cela.

Je suis un analyste de sécurité qui fait des maladies malveillantes une réponse incidente pour une entreprise géante. La plupart de ces réponses semblent vous amener dans la voie de l'ingénierie inverse de nouvelles menaces et de développer des signatures ou d'autres inoculations, mais je vous demande de clarifier votre question; Vous pouvez être plus intéressé par ce que je fais.

Dans mon cas, je reçois des alertes de diverses sources (Alertes AV, des outils internes pour le suivi des processus, des demandes de support de niveau 1, etc.) et utilisez des outils de justice à distance pour recueillir des artefacts du système et, en conjonction avec le réseau de levier et des journaux de proxy. , déterminez si un système a été compromis. L'objectif est de trouver "CIO" (indicateurs de compromis), tels que les processus de processus exécutés de Virustotal.com, trouvant des bases de données de shim personnalisées dans le journal USN installé par un compte-gouttes, détectant les modules de persistance WMI et sur et sur. Une partie du travail est de suivre toutes les nouvelles techniques et de savoir quoi regarder pour regarder votre métier.

Dans ce cas, vous n'avez pas besoin de compétences en programmation (C/C++, ASM, etc.), vous n'avez pas nécessairement besoin de nombreuses certifications. La base de ce domaine de travail est la suivante:

  • Systèmes de connaissances; Obtenez une certaine expérience en matière de soutien de niveau 1 ou d'administrateur système/réseau à une petite ou moyenne entreprise. Les exigences relatives à l'obtention de ce travail sont nettement inférieures à ce que je liste ici, en particulier avec votre diplôme CS.
  • Avoir un esprit curieux, paranoïaque et analytique
  • Être conscient de la mise en réseau, des principes de sécurité et une sensation des outils populaires libres ou open source tels que Nessus et Wireshark. Il n'est pas nécessaire de "être déjà un expert" comme vous dites ... Le domaine des logiciels malveillants évolue trop pour cela, il suffit de vous adapter à vous-même et de garder le rythme de mieux que vous le pouvez.

Je pourrais être totalement hors de la base et vous préféreriez désassembler le code de développer des signatures tout en travaillant dans une entreprise antivirus, mais j'espère que cela ouvre vos yeux aux autres possibilités que vous avez ouvertes.

2
armani

J'ai aussi eu la même question et la réponse est rejoindre une entreprise dans des travaux d'analyse de logiciels malveillants et ne perdez pas l'espoir. Avoir de la patience pendant quelques semaines/mois et réaliser votre travail de rêve.

Apprenez X86, C/C++, Win32 API, Windows Internals, Structure de fichier PE Structure de base ... Puis, lorsque vous êtes à l'aise avec ceux-ci, essayez des outils tels que OLLYDBG et IDA Pro. Cela aidera si vous voulez apprendre vous-même. Vous pouvez essayer des outils côte à côte.

La meilleure option est de rejoindre une petite entreprise qui analyse des logiciels malveillants et apprennent au travail. Non seulement vous travaillerez sur les fichiers PE, mais vous devrez traiter d'autres formats de fichiers tels que PDF, DOC, Fichiers Web, etc.

De plus, vous devrez apprendre Android/iOS à rester en avance sur la course.

C'est un très vaste champ; Plus vous en avez la connaissance. Linux, codage, python, rubis, etc. Mais c'est pour les gars expérimentés.

Ne faites pas de certification: ils ne peuvent pas vous apprendre à vous inverser dans une semaine de temps. Vous avez besoin d'années pour perfectionner l'art.

1
Rebel_87

Sans-Grem est un bon endroit pour la certification; Mais pour l'étude, vous devez avoir une bonne compréhension de la langue de montage X86, IDA Pro Tool, également quelques bons livres. Pour l'assemblage - Assemblage pas à pas par Jeff Duntemann et analyse malware pratique | Pas de presse d'amidon. Bon début et Sans salle de lecture Quelques échantillons d'analyses d'échantillons.

Aussi besoin de configurer le laboratoire sur votre PC avec une machine virtuelle pour effectuer l'analyse réelle du monde.

[~ # ~] Unite [~ # ~ #] Les forums d'aide informatique affiliés proposent des programmes de formation (gratuitement) dans le retrait des logiciels malveillants qui est probablement un bon point de départ. Je ne pense pas qu'ils vont en profondeur dans la dissection de logiciels malveillants plutôt se concentrant sur le diagnostic et le nettoyage.

1
Andrew Lambert

Je crois pour les programmes de recherche de logiciels malveillants, Sans Grem est le plus proche et hautement considéré: Sans-Grem

1
talfiq