¿Cuál es el trabajo de un investigador de malware?

Tres investigadores de ESET describieron el contenido de su trabajo, las habilidades necesarias para completarlo y dieron algunos consejos para comenzar una carrera en seguridad informática.

Hace unos días estuvimos hablando sobre seguridad informática de nivel de entrada y dos investigadores de ESET con amplia experiencia compartieron sus puntos de vista y sugerencias al respecto. Con el Día del Anti-Malware hoy, este día debe celebrar el trabajo y la importancia de los profesionales de la seguridad. Por lo tanto, hable con tres investigadores de ESET para obtener más información sobre el trabajo diario de los investigadores, comprender sus pensamientos y compartir sus hallazgos. La idea parece funcionar. Opiniones y experiencias.

¿Puedes resolver acertijos? ¿Es curioso y se esfuerza constantemente por nutrirse de nuevos conocimientos? ¿Quiere seguir una carrera como investigador de malware pero no está seguro de si es la persona adecuada? ¿O simplemente aprecia el excelente trabajo realizado por los investigadores de malware y quiere saber por qué eligieron esta profesión?

Cualquiera sea la razón (¿o quizás todas las razones?) Para obtener más información sobre el trabajo de los expertos en análisis e investigación de malware, preguntamos a los investigadores de ESET Lucas Stefanco, Fernando Tavella y Matias Porolli.

¿Cómo se involucró en el análisis y la investigación de malware?

LucasR: Todo comenzó cuando estaba familiarizado con la ingeniería inversa de software, tratando de comprender cómo funciona y se comporta el software sin acceso a su código fuente. La curiosidad me permitió comprender mejor cómo funciona el malware, cuál es su propósito, cómo comunicarse, etc. ¡Esta es una experiencia completamente nueva que realmente me gusta y todavía tengo!

FernandoR: Primero, siempre me ha gustado la parte de investigación, ya sea relacionada con problemas de seguridad u otras actividades. Por otro lado, cuando comencé mi carrera en seguridad, me di cuenta de que la ingeniería inversa era la que más me llamaba la atención debido a su complejidad y atractivo general. Fue en este momento que comencé a hacer CTF e investigando sobre varios temas hasta que me encontré con malware y me di cuenta de lo atractivo que es tratar de comprender sus funciones con lenguajes de bajo nivel y las técnicas de ofuscación o bypass que utilizan. Contrarrestar amenazas específicas ...

AlmohadillaEras antes: Recibí el premio ESET University Award en 2011 por realizar una investigación sobre seguridad informática. Antes de este puesto, todavía no me había enfrentado a análisis de malware, pero después de esta experiencia profundicé mis conocimientos de forma independiente y comencé a trabajar en ESET en 2013, donde tuve que lidiar intensamente con el malware.

¿Hay un día laboral regular?

Lucas: La mayoría de los días son iguales: reviso las últimas noticias sobre ciberseguridad, mi bandeja de entrada y Twitter. Pero algunos días verán cambios drásticos; Por ejemplo, si encontramos muestras de malware nuevas o interesantes o si creemos que podemos identificar a los ciberdelincuentes o nuevas acciones de las organizaciones de APT en función de sus huellas. Esta es una de las razones por las que es importante tener buenas fuentes de información, ya que puede ahorrarnos tiempo de análisis, ya que algunos métodos pueden haberse descubierto antes.

FernandoR: Creo que no existe un “día normal” en mi trabajo porque suceden muchas cosas todos los días que pueden ser diferentes entre sí. No se puede planificar nada. Si estoy realizando una investigación prolongada, como una actividad maliciosa en América Latina, un día típico puede ser una evaluación de amenazas y paso 30 minutos por la mañana tratando de comprender la situación. Pero hay algo nuevo todos los días.

AlmohadillaEras antes: Aunque a veces es posible abrir una investigación con un ataque en curso, mi trabajo diario se divide en dos actividades principales. Por un lado, "busco" nuevas amenazas en mis fuentes de información, persigo a los ciberdelincuentes y otros. Por otro lado, analice los archivos maliciosos creados a través de la caza o el trabajo colaborativo, especialmente al realizar ingeniería inversa y documentar estas amenazas.

Que es lo que mas te gusta de tu trabajo?

Lucas: De hecho, estas son todas las pequeñas piezas que componen el proceso de análisis de malware. Cuando algo despierta mi curiosidad, comienza el proceso. Cada paso del camino ayuda a descifrar el problema y crear una imagen más clara. Esto significa un análisis estático y dinámico del malware de Android, que incluye ejecutarlo en un dispositivo real y observar su comportamiento desde la perspectiva de la víctima para comprender su propósito. El análisis muestra, por ejemplo, con quién interactúa el malware y qué datos extrae del dispositivo. Al observar la solicitud de permiso, puede evaluar las capacidades del malware. Sin embargo, el análisis dinámico a menudo no es suficiente. Para comprender mejor cómo funciona el malware, es importante utilizar un descompilador y analizar el código usted mismo.

Después de eso, investigué mucho y finalmente encontré actividad de malware activo que a los malos no les gustó. Algunas personas parecen seguir muy de cerca mi trabajo. Su código contiene varios comentarios que me han escrito. No siempre son agradables. Por ejemplo, pusieron mi nombre a sus clases o paquetes, firmaron malware "en mi nombre" e incluso registraron dominios maliciosos con mi nombre, que luego se usaron para comunicarse con malware. Personalmente, sin embargo, no lo creo.

Figura 1. Varios autores de malware parecen seguir de cerca el trabajo de Lucas.

FernandoR: Creo que la parte más emocionante de mi trabajo es hacer análisis de amenazas estáticas, ingeniería inversa, para poder ver todo el código en un nivel bajo y desde allí averiguar el comportamiento de la amenaza o sus características más interesantes. y luego puedes escribirlo.

AlmohadillaEras antesR: Lo que más me gusta es que rara vez utilizo el mismo método para diferentes encuestas. Los atacantes utilizan diferentes plataformas y diferentes tecnologías, y en muchos casos existen ciertos problemas que requieren soluciones creativas. Por ejemplo, cómo extraer automáticamente la configuración de malware de miles de archivos maliciosos o cómo implementar la revelación de archivos que se han modificado para dificultar el análisis.

¿De qué investigación o proyecto estás particularmente orgulloso?

Lucas: Puedo decir que esta es una de mis últimas investigaciones sobre el escaneo de vulnerabilidades de las aplicaciones de software de seguimiento de Android. Pasé varios meses haciendo esta investigación, examinando más de 80 aplicaciones de software de seguimiento y, finalmente, descubriendo más de 150 problemas graves de seguridad y privacidad.

FernandoEl trabajo del que estoy más orgulloso hasta ahora es mi investigación sobre el espionaje venezolano utilizando el malware Bandook con Matias porque pude hacer un análisis técnico completo de las amenazas que afectan al país y porque esta también es mi primera investigación.

AlmohadillaEras antesR: Hay muchos artículos de "apoyo" en todos los estudios que no se han finalizado, pero estoy muy orgulloso de eso, especialmente en lo que respecta al trabajo que mencioné antes de resolver problemas específicos. Si tuviera que mencionar que una encuesta es superior a otra, diría Evilnum. Antes de la investigación de malware, este grupo de ciberdelincuentes estaba prácticamente descuidado. ESET pudo contextualizar la biblioteca de malware utilizada por este grupo y darle significado y cohesión.

¿Trabaja con otros equipos de seguridad?

Lucas: Sí señor. Además de la investigación en profundidad, nuestro principal objetivo es proteger a los usuarios de nuestros productos y detectar amenazas en sus actividades. Esto significa que no solo se compartirá con nuestro equipo interno, sino también con otras empresas de ciberseguridad, etc. Ayúdanos a mejorar nuestra defensa frente a nuevas amenazas.

FernandoR: Trabajo en estrecha colaboración con el personal de servicio en respuesta a incidentes, principalmente para ayudarlos a comprender las amenazas que ven en el incidente.

AlmohadillaEras antes: Seguimos trabajando con otros profesionales. Vale la pena señalar que estoy en el departamento holandés para Cybercrime colaboró ​​para destruir el servidor utilizado por Evilnum y realizar análisis forenses.

¿Cuáles son las habilidades técnicas más importantes que necesita para su trabajo?

Lucas: Al analizar el malware de Android, diría que debe comprender el sistema operativo, incluido el ciclo de vida de la aplicación, y poder leer el código fuente descompilado de Java y Kotlin. También es importante comprender los descubrimientos recientes, las herramientas lanzadas recientemente e incluso las actualizaciones de los sistemas operativos y las aplicaciones. Por ejemplo, estas actualizaciones pueden contener nuevas funciones que pueden ser fáciles de usar, pero que también podrían ser explotadas por los ciberdelincuentes. Afortunadamente, la mayoría de las actualizaciones evitan que los desarrolladores de malware hagan su trabajo en lugar de ayudarlos.

Fernando: Creo que es importante saber programar, no necesariamente programar, sino ser capaz de leer código. Por otro lado, comprender el sistema operativo, la criptografía, la arquitectura de la computadora o la red (protocolo de red o análisis de tráfico). Cuanto mejor sea una persona en estos temas, mejor preparada estará para analizar el malware sin decepcionarse ni renunciar a sus intentos.

AlmohadillaEras antesR: En términos de habilidades técnicas, además de la informática, se requieren conocimientos de muchas áreas, p. Ej. B. en redes, sistemas operativos y programación. El análisis de malware es esencial y requiere un conocimiento profundo de la ingeniería inversa, principalmente en la plataforma Windows.

¿Existen habilidades no técnicas relacionadas con su trabajo que sean desafiantes o cree que debería seguir mejorando?

Lucas: Sí hay. Cada año trato de mejorar mis habilidades para escribir, hablar, hablar, hablar con los medios y realizar entrevistas. Para una persona técnica e introvertida como yo, la mayoría son difíciles de conseguir y requieren que salga de mi zona de confort, lo que es más fácil decirlo que hacerlo.

Fernando: Necesito mejorar mis habilidades para informar y publicar. Si bien un grupo es responsable de revisar este trabajo, es importante que los investigadores encuentren las palabras adecuadas para expresar mejor su significado, ya que el artículo o documento final reflejará todo el trabajo posible detrás de la investigación. Por lo tanto, poder comunicarse correctamente al escribir una publicación, un informe o lo que sea, es tan importante como lo es en trabajos anteriores.

AlmohadillaEras antes: Es importante saber comunicar los resultados: al público al que informamos y adaptar los métodos de comunicación en consecuencia. También es importante poder contar historias en lugar de solo describir descripciones técnicas una por una.

¿Qué habilidades blandas crees que deberían tener los investigadores de malware?

LucasR: Creo que lo más importante es la pasión por la resolución de problemas y la voluntad de aprender cosas nuevas. Todo lo demás se puede aprender en este proceso.

Fernando: Creo que los investigadores de malware deben tener dos cualidades muy importantes: aprendizaje y curiosidad.

AlmohadillaEras antes: Paciencia, curiosidad, atención al detalle e inclinación por resolver problemas.

¿Cómo te mantienes al día?

Lucas: Tengo que decir que se necesita mucho tiempo para ver qué pasa todos los días. Sin embargo, he aprendido a utilizar feeds RSS fiables y especializados, alertas de Google, feeds de redes sociales fiables, blogs y tweets de otros investigadores y otras empresas de ciberseguridad, y la investigación académica para mantenerme actualizado. Después de navegar por estos recursos y leer las noticias más importantes, intentaré compartirlas con otros entusiastas de la seguridad móvil a través de mi canal de Telegram. Puede ahorrarles tiempo y también comprobar si hay mensajes de seguridad móviles.

Fernando: Normalmente voy a Twitter para ver el trabajo de otros investigadores y sus publicaciones. Por eso siempre me entero de nuevas campañas o tecnologías que los ciberdelincuentes pueden utilizar. También es posible que después del examen me llamaran la atención cierto tema que anoté para seguir estudiando en mi tiempo libre, por ejemplo: cierta encriptación, cierta técnica de ofuscación, etc.

AlmohadillaEras antes: Necesita leer las noticias y comprender lo que está pasando. Recomiendo usar las redes sociales para seguir a las empresas de seguridad, ponerse al día con las nuevas investigaciones e incluso seguir a los líderes e investigadores de tecnología. Lea también el blog de seguridad informática: WeLiveSecurity es un gran lugar para comenzar;)

¿Qué le diría a alguien que sigue una carrera en la investigación de malware?

Lucas: No estés triste. El entusiasmo y el entusiasmo son esenciales para que cualquier investigador de malware pueda ingerir información y conocimiento fácilmente. Incluso si algo te resulta difícil de entender, no te preocupes: tus futuros compañeros estarán encantados de explicártelo.

Fernando: Sugiero que vayamos un poco. Asista a CTF para cubrir una amplia variedad de temas estrechamente relacionados con el análisis de malware, como: B. Ingeniería inversa, criptografía y análisis de tráfico de red. Es posible que no se dirija directamente a malware específico, ya que puede ser difícil de hacer al principio. Por otro lado, lea lo que otros ya han hecho para comprender las amenazas encontradas en el pasado y cómo funcionan. Si lee y busca con suficiente atención, encontrará que algún código malicioso comparte ciertas características, como la forma en que manipula el registro para mantener la persistencia en la computadora de la víctima. Además, al leer el artículo de otro investigador, podemos darnos cuenta del contenido importante de esta amenaza en particular que se puede utilizar como guía en el primer análisis del malware.

Matías: Mantenga la calma y establezca una contraseña permanente

Esperamos que esta entrevista sea de utilidad para aquellos interesados ​​en estudiar seguridad. Después de todo, invertimos un tercio de nuestras vidas en el trabajo. Entonces, si no ha tomado una decisión, ¿por qué no elegir una carrera tecnológica que pueda tener un impacto y ayudar a mantener a todos más seguros?

¡Feliz etiqueta anti-malware!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!