NFLabs. エンジニアブログ

セキュリティやソフトウェア開発に関する情報を発信する技術者向けのブログです。

Zero2Automatedで学ぶマルウェア解析

教育研修事業担当のynです。先日、マルウェア解析トレーニングのZero2Automatedに一発合格しました。本記事では、Zero2Automatedの紹介をします。

Zero2Automatedとは

マルウェア解析のトレーニング研修(英語)です。

courses.zero2auto.com

次のような特徴があります。

  • アルゴリズムなどの講義から、本物のマルウェア解析まで、動画講義やドキュメントを通して学べる
  • Discordコミュニティ
  • 実践的な試験

Discordコミュニティでは、各コースの相談や情報共有などがありますが、特に注目したいのがマルウェア解析チャレンジです。3週間ごとにマルウェアの検体と解析目標が与えられ、解析と知見を共有します。マルウェア解析にモチベーションを感じたい方にお勧めだと思います。

試験の詳細は割愛しますが、私が受けてきた中で最も実践的な内容でした。数週間にわたり検体を解析するため、業務が忙しくない時に受験することをお勧めします。

初心者向けコース

私は受けていませんが、初心者向けコースもあるそうです。執筆時点では、内容がアップデート予定とのことで、リマスター版の事前受付を募集しています。興味がある方はこちらもチェックしてみてはいかがでしょうか。

学習

1つの検体に時間を費やすアプローチで学習しました。

例えば、第2章のマルウェア解析では、手動アンパック、Office数式エディタの脆弱性を用いた初期侵入、本命マルウェアの解析、Config抽出やPythonを用いた自動化などを合計4時間の動画とPDFで学びます。
最初は動画を見ながら解析していましたが、動画視聴と解析の往復が大変だったため、途中から自力で検体を解析して動画を確認する流れにしました。

反省点として、自力で解析する時のゴールを明確にしておくべきでした。満足するまで解析していたため、なかなか動画視聴まで進められず、申し込みから試験までかなり時間を費やしてしまいました。

所感

マルウェア解析やリバースエンジニアリングの事前知識がないと辛いです。公式サイトにもそれらの知識が必要と書いてます。事前知識は初心者向けコースで学べるようです。

私の場合、学生時代はCTFのrev問に取り組み、入社後はマルウェア解析業務に少し取り組んでいたため、多少の事前知識はあるつもりでした。それでも知らなかったことが多く、大変でしたが勉強になりました。

例えば、動画ではx32dbg/x64dbgを用いた解析テクニックがあります。私はそのデバッガをあまり使ったことがないため、参考になる解析テクニックでした。興味があるからこそ続けられた部分もあると思います。

終わりに

本記事では、マルウェア解析トレーニングのZero2Automatedについて紹介しました。本トレーニングはかなり時間を費やしましたが、ご理解・ご支援いただいた弊社には非常に感謝しております。ありがとうございました。