Вирусный аналитик

Обязанности

  • Анализ кода и функциональности вредоносного объекта;
  • Добавление записей о вредоносном объекте в антивирусные базы;
  • Анализ и программирование методов распаковки и разархивирования;
  • Обнаружением на основании поведенческих паттернов операционной системы;
  • Обнаружением на основании статических паттернов исследуемого объекта;
  • Обнаружением на основании сетевых паттернов;
  • Обнаружением с использованием ML подходов;
  • Исследовать вредоносные файлы, проводить реверс-инжениринг, разрабатывать пути и способы детектирования вредоносных файлов по их поведению;
  • Проводить эмуляцию действий атакующего на виртуальном стенде для тестирования и улучшения детекта;
  • Реализовывать детектирующую логику в рамках существующего фреймворка (на языке Python, либо на языке Rust, либо в формате Sigma);
  • Самостоятельно находить проблемные кейсы, способы обхода систем динамического анализа и пути решения этих проблем;
  • Анализировать детектирующую логику на предмет ложно-положительных срабатываний и сводить такие случаи к минимуму;
  • Проводить анализ аналогичных решений для сравнения поведения систем в разных ситуациях;
  • Тестировать логические правила детектирования на функциональность и производительность;
  • Анализ вредоносных файлов;
  • Написание правил детектирование вредоносных файлов;
  • Разработка сценариев автоматизации для детектирования и мониторинга ВПО;
  • Подготовка технических отчетов;
  • Атрибуция выявляемых атак;
  • Поиск индикаторов и дополнительной информации, связанной с атакующим;
  • Проводить анализ вредоносных программ, обнаруженных в процессе расследования инцидента ИБ, включая выявление адресов управляющих серверов (СnC), URL-адресов и иных индикаторов;
  • Составлять детальные технические отчёты по проведённому исследованию вредоносного программного обеспечения (ВПО) и утилит;
  • Участвовать в совместных кейсах со специалистами по реагированию на инциденты и цифровой криминалистике;
  • Разрабатывать детектирующие правила, вспомогательные скрипты и программы для анализа;

Знания и навыки

  • Знание ассемблера x86, x64;

  • Знание C/C++;

  • Знание архитектуры ОС Windows/Linux;

  • Знание архитектуры Windows, DOS структуры NE- и PE-файлов;

  • Знания в направлении реверс-анализа;

  • Знание принципов работы, архитектуры и основных механизмов детектирующих технологий: EDR, Sandbox, AV, Yara, Suricata и другие;

  • Знания принципов работы сетевых технологий. Знание базовых сетевых протоколов, умение работать с сетевым трафиком (в первую очередь с точки зрения исследования угроз);

  • Знание современных угроз, уязвимостей, типичных атак на информационные системы;

  • Знание скриптовых языков для автоматизации работы и тестирования;

  • Знания и понимание принципов работы основных сетевых протоколов (HTTP, DNS, etc.);

  • Понимание принципов работы основных категорий СЗИ (EPP, EDR, IDS/IPS, FW, SIEM, Proxy, Sandbox, Honeypots.), а так же общее понимание принципов организации процессов ИБ в ИТ-инфраструктуре при помощи этих СЗИ;

  • Понимание принципов работы решений класса EDR, Sandbox, NTA и опыт работы с ними;

  • Понимание основных тактик и техник злоумышленников, знание и применение матрицы MITRE ATT&CK;

  • Понимание архитектуры Windows, WinAPI, формат PE-файлов;

  • Понимание приемов, используемых для сокрытия вредоносного кода от антивирусов и сопротивления отладке;

  • Понимание работы приложений в OC Android;

  • Представление о форматах PDF, MS-CFB;

  • Умение анализировать Java-код;

  • Умение разбирать обфусцированный код на скриптовых языках;

  • Умение настраивать виртуальную машину для анализа вредоносного кода;

  • Владение инструментами OllyDBG, Hiew, IDA;

  • Владение языком Python;

  • Владение инструментами статистического и динамического анализа;

  • Владение инструментами отладки и дизассемблирования (Linux/Windows);

  • Навыки реверс-инжиниринга и анализа ВПО под ОС Windows;

  • Экспертные знания операционных систем Windows и Linux:

  1. Понимание принципов работы ОС;
  2. Знание основных механизмов обеспечения безопасности в ОС для защиты от эксплуатации уязвимостей и вредоносного ПО;
  3. Понимание архитектуры ОС а так же компонентов;
  4. Знания анатомии бинарных, офисных и прочих типов файлов;
  • Знание современного ландшафта киберугроз:
  1. Знание базовых векторов компрометации инфраструктуры, а так же основных сценариев, потенциально используемых злоумышленниками для развития атаки;
  2. Знание основных категорий ВПО, принципов их работы;
  3. Знание существующих механизмов и сценариев обхода современных средств защиты (EPP/EDR/Sandbox);
  4. Умение строить и проверять гипотезы для обнаружения ВПО или действий злоумышленника;

Опыт

  • Опыт работы с декомпиляторами DEX-файлов;
  • Опыт работы с инструментами дизассемблирования и отладки (IDA Pro/Ghidra/etc);
  • Опыт работы с песочницами и прочими инструментами статического и динамического анализа;
  • Опыт программирования на скриптовых языках (Python/Go/etc) или C/C++;
  • Опыт работы с IDA Pro, отладчиками ring-3, песочницами и прочими инструментами статического и динамического анализа;
  • Опыт работы с песочницами, а также инструментами статического и динамического анализа программ под Windows и *nix-подобные операционные системы;
  • Опыт создания детектирующих правил YARA и Sigma;

Дополнительно

  • Владение языком Rust;
  • Навыки реверс-инжиниринга и анализа ВПО под ОС Linux и macOs;
  • Опыт написания статей и публичных выступлений приветствуется;
  • Опыт работы с SIEM, Sandbox;
  • Опыт анализа эксплойтов (flash, pdf, docx и т.д.);
  • Опыт анализа сетевого трафика;
  • Опыт пентестов;
  • Опыт работы в роли разработчика средств защиты AV, EDR, Sandbox;