How to becoming a Malware Analyst? (Turkish - English)

(English)

The question I get asked most often, and the most common question I see from time to time, is “how do I get into malware” or “how do I become a malware analyst?” There are actually more than one answer to these questions, but the most important part is to start. There are tons of great resources that cover this question, I'll list a few below, but before I do that I want to spend a few minutes answering the question.

Why?
First, ask yourself why you want to become a malware analyst. Is there a business need, or is this something you're just starting to get interested in? Ask yourself why. Also know that there are other areas of reverse engineering you may want to explore, such as exploit development. So really try to understand why malware analysis is being done specifically. I would also recommend looking for open malware analysis job postings, reading the job descriptions for each one, and really trying to understand what is involved and what the requirements are to get an idea of your possible future career.

Additional Duties and Responsibilities:
One thing to consider is that while APT/nation state malware is the "sexier" side of malware, I would argue that cybercrime/commercial malware is just as interesting (and in fact lately the difference between the two types is increasingly (increasing) but still shrinking). The reason I mention this is because some organizations have dedicated malware teams that only look at a specific actor, region, or country, while other teams look at all types of malware, regardless of type. Another important thing to consider is that although there are jobs that require only malware analysis, many of them may come with additional responsibilities such as incident response, threat detection, creating detection signatures, writing technical newsletters/blog posts, and public speaking. at conferences, webinars, etc. While this may seem exciting, it may not meet all your expectations; Therefore, please note that these other aspects may be necessary in addition to analyzing malware.

Learning:
Next, think about your learning style. If you're more diligent, try to amass a good collection of malware-related books ([un]fortunately, there aren't many available for purchase on the market). If you gain knowledge by listening, be sure to check out the growing amount of content on YouTube. In the beginning, it's easy to become overwhelmed by the amount of information. Try not to let this get the better of you. Stick with it and, ultimately, you'll learn the most by practicing the art itself with hands-on time in a safe laboratory environment (which brings me to my next point).

Laboratory:
There are many ways to create a safe laboratory environment. At the end of the day, what works for one person may not exactly fit your needs. Try not to get lost in old debates like local cloud vs, VMware vs OpenBox, Windows vs Linux, and start by keeping it simple and creating your own lab. Install a VM with your preferred operating system. Be sure to configure the operating system in such a way that security settings are generally reduced to allow malware to fully explode. Install and play various vehicles, but don't get lost in the sea of vehicles. Yes, there are lots of tools, but ultimately understanding what the tool does and when to use it is more important than understanding the complexity of each option within a particular tool. Most of the time you'll only be able to use 5-10% of a tool's features anyway, so don't let that phase you.

Notes:
This brings me to my last point. Don't take notes. Get organized early. Take lots of notes. Print, digital, whatever works best for you. If you're like me and don't have a good memory, taking good notes will help solidify your knowledge, and if nothing else, you can at least do a reverse search when analyzing some malware that might look similar in the future. something you looked at a year ago.

Final thoughts:
I can't stress this enough, but no amount of reading and learning can replace the hands-on practical aspect of malware analysis. I think this applies more generally to many things in life. Also, spending hours/days stuck on a problem while analyzing some malware may seem like a waste of time, but when you finally experience that eureka moment you will feel on top of the world. These are moments to be cherished as they will help you build your own internal knowledge base as well as your self-confidence. I'm sure even the most successful malware reverse engineers are always learning new things. Therefore, when you enroll in a course or read a few books, you will learn.

Bana en sık sorulan soru ve zaman zaman gördüğüm en yaygın soru "kötü amaçlı yazılımlara nasıl girerim" veya "nasıl kötü amaçlı yazılım analisti olurum". Bu soruların aslında birden fazla cevabı var ancak en önemli kısım başlamaktır. Bu soruyu kapsayan tonlarca harika kaynak var, bunlardan birkaçını aşağıda vereceğim, ancak bunu yapmadan önce soruyu cevaplamak için birkaç dakika harcamak istiyorum.

Neden?
Öncelikle kendinize neden kötü amaçlı yazılım analisti olmak istediğinizi sorun. Bir iş ihtiyacı var mı, yoksa bu yeni yeni ilgilenmeye başladığınız bir şey mi? Kendinize nedenini sorun. Ayrıca, kötüye kullanım geliştirme gibi tersine mühendisliğin keşfetmek isteyebileceğiniz başka alanlarının da olduğunu bilin. Bu yüzden gerçekten neden özellikle kötü amaçlı yazılım analizinin yapıldığını anlamaya çalışın. Ayrıca, açık kötü amaçlı yazılım analizi iş ilanlarını aramanızı, her birinin iş tanımlarını okumanızı ve gelecekteki olası kariyeriniz hakkında fikir edinmek için neyin dahil olduğunu ve gereksinimlerin neler olduğunu gerçekten anlamaya çalışmanızı tavsiye ederim.

Ek Görevler ve Sorumluluklar:
Göz önünde bulundurulması gereken bir nokta, APT / ulus devlet kötü amaçlı yazılımlarının kötü amaçlı yazılımların "daha seksi" yönü olmasına rağmen, siber suç / ticari amaçlı kötü amaçlı yazılımların da aynı derecede ilginç olduğunu iddia edebilirim (ve aslında son zamanlarda iki tür arasındaki fark giderek artmaktadır) yine de daralmaktadır). Bunu belirtmemin nedeni, bazı kuruluşların yalnızca belirli bir aktör, bölge veya ülkeyi inceleyen özel kötü amaçlı yazılım ekiplerine sahipken, diğer ekiplerin türü ne olursa olsun her türlü kötü amaçlı yazılıma bakmasıdır. Göz önünde bulundurulması gereken bir diğer önemli nokta da, yalnızca kötü amaçlı yazılım analizi gerektiren işler olmasına rağmen, bunların çoğunun olaya müdahale, tehdit tespiti, tespit imzaları oluşturma, teknik bültenler / blog gönderileri yazma ve topluluk önünde konuşma yapma gibi ek sorumluluklar getirebileceğidir. konferanslarda, web seminerlerinde vb. Bu heyecan verici görünse de, tüm beklentilerinizi karşılamayabilir; bu nedenle, kötü amaçlı yazılımları analiz etmenin yanı sıra bu diğer hususların da gerekli olabileceğini lütfen unutmayın.

Öğrenme:
Daha sonra öğrenme stilinizi düşünün. Daha çalışkansanız, kötü amaçlı yazılımlarla ilgili kitaplardan oluşan iyi bir koleksiyon toplamaya çalışın ([un]neyse ki, piyasada satın alınabilecek çok fazla kitap yok). Dinleyerek bilgi ediniyorsanız, YouTube'da giderek artan içeriğe mutlaka göz atın. Başlangıçta bilginin yoğunluğu karşısında bunalıma girmek kolaydır. Bunun seni daha iyi hale getirmesine izin vermemeye çalış. Buna sadık kalın ve sonuçta, sanatın kendisini güvenli bir laboratuar ortamında uygulamalı zamanla uygulayarak en fazlasını öğreneceksiniz (bu da beni bir sonraki noktaya getiriyor).

Laboratuar:
Güvenli bir laboratuvar ortamı oluşturmanın birçok yolu vardır. Günün sonunda, bir kişi için işe yarayan şey sizin gereksinimlerinize tam olarak uymayabilir. Yerel bulut vs, VMware vs OpenBox, Windows vs Linux gibi eski tartışmaların arasında kaybolmamaya çalışın ve basit tutarak kendi laboratuvarınızı oluşturarak başlayın. Tercih ettiğiniz işletim sistemiyle bir VM yükleyin. İşletim sistemini, güvenlik ayarlarının genellikle kötü amaçlı yazılımın tamamen patlamasına izin verecek şekilde azaltılacağı şekilde yapılandırdığınızdan emin olun. Çeşitli araçlar yükleyin ve oynayın, ancak araçlar denizinde kaybolmayın. Evet çok sayıda araç var, ancak sonuçta aracın ne yaptığını ve ne zaman kullanılacağını anlamak, belirli bir araç içindeki her bir seçeneğin karmaşıklığını anlamaktan daha önemlidir. Zaten çoğu zaman bir aracın özelliklerinin yalnızca %5-10'unu kullanabilirsiniz, bu nedenle bunun sizi aşamalandırmasına izin vermeyin.

Notlar:
Bu beni son noktaya getiriyor. Not alma. Erkenden organize olun. Bol bol not alın. Yazılı, dijital, sizin için en uygun olanı. Benim gibiyseniz ve iyi bir hafızanız yoksa, iyi notlar almak bilginizi sağlamlaştırmanıza yardımcı olacaktır ve başka hiçbir şey olmasa bile, en azından gelecekte benzer görünebilecek bazı kötü amaçlı yazılımları analiz ederken geriye doğru arama yapabilirsiniz. bir yıl önce baktığınız bir şey.

Son düşünceler:
Bunu yeterince vurgulayamam, ancak hiçbir okuma ve öğrenme, kötü amaçlı yazılım analizinin uygulamalı pratik yönünün yerini alamaz. Bunun daha genel anlamda hayattaki pek çok şey için geçerli olduğunu düşünüyorum. Ayrıca, bazı kötü amaçlı yazılımları analiz ederken bir soruna takılıp saatler/günler harcamak zaman kaybı gibi görünebilir, ancak sonunda o eureka anını deneyimlediğinizde kendinizi dünyanın zirvesinde hissedeceksiniz. Bunlar, öz güveninizin yanı sıra kendi iç bilgi tabanınızı da oluşturmanıza yardımcı olacağı için değer verilmesi gereken anlardır. Eminim ki en başarılı kötü amaçlı yazılım tersine mühendisleri bile her zaman yeni şeyler öğrenmektedir. Bu nedenle, bir kursa kaydolduğunuzda veya birkaç kitap okuduğunuzda öğreniminizin orada bitmesini beklemeyin. Siber Güvenliğin çoğu yönü gibi öğrenmeyi asla bırakmazsınız. Bu durum tersine mühendislik kötü amaçlı yazılımları için de kesinlikle geçerlidir.