渗透测试人员最终是否有可能成为一名优秀的恶意软件分析师？

Question

对于一个懂脚本的笔式测试人员来说，这是否合乎逻辑，以及病毒/恶意软件是如何被用来申请恶意软件分析员的工作的？这会给他/她一点优势吗？或者不是真的。

Answer 1

是的，我目前正在从一个主要的渗透测试技能集过渡到一个数据取证和事件反应(DFIR)技能集，其中包括恶意软件分析。

我在网络工程方面的背景帮助我掌握了一些工具，比如马尔科姆、用于分析C2的工具，以及自动恶意软件分析解决方案的配置，比如Palo、野火/自动聚焦以及FireEye和LastLine。

强大的Linux、Windows和macOS背景也将有助于使用诸如Cuckoo及其云实现Malwr等工具提取恶意软件的特性和行为。(更新09/26/2017)：这里有一些有趣的链接，用于从五酯位置返回到响应者位置--

• http://digitalizedwarfare.com/2016/03/24/sandbox-stories-flight-of-the-great-cuckoo-bird/
• https://infosecspeakeasy.org/t/howto-build-a-cuckoo-sandbox/27
• https://bdavis-cybersecurity.blogspot.com/2016/12/cuckoo-sandbox-installation-part-4-of-4.html
• https://byte-atlas.blogspot.com/2017/02/hardening-vbox-win7x64.html
• https://github.com/AlicanAkyol/sems
• https://github.com/hfiref0x/VBoxHardenedLoader
• https://github.com/LordNoteworthy/al-khaser (N.B.，用一些攻击来衡量你的防御！)
• https://github.com/a0rtega/pafish

最重要的是，学习DFIR有助于提高我的五官手艺。如果我知道要检测什么，那么我就知道如何对付这个检测！例如，我最近参加的DerbyCon培训课程:用于蓝队和红队的高级PowerShell --对于隐藏共享(但随后使用MountPoints2注册表项检测它们)非常有帮助，但随后使用其他协议(如WMI、WinRM或PS远程处理)在网络上隐藏起来。

学习一些鉴证技术也帮助了我在各种方面的学习。例如，前几周我使用一个网络块设备用户服务器( cvechecker )与nbd驱动程序和nbd远程访问磁盘，以便运行本地化的cvechecker。

获得这两本书:学习网络取证，以及Windows恶意软件分析要点。练习使用-- https://github.com/jonschipp/ISLET --训练环境，特别是与兄弟一起。有很多很好的资源，但这些资源会让你快速前进。

Answer 2

是的绝对是。随着渗透测试逐渐发展成为高端的红色团队，这种技能和创建工具的能力几乎成为了必须的。我知道今天市场上的大多数渗透测试人员可能没有这些技能，但是随着这个领域的不断发展和成熟，他们将需要越来越多的了解。

更重要的是，我要告诉你深入到你感兴趣的安全领域，因为“渗透测试员”这样的职位可能会随着时间的推移而变得不同。

在高层次上，你要问的问题是，我的第二项技能对我的职业生涯有帮助吗？答案是肯定的，只要这不是分散注意力的主要技能。在您的场景中，这听起来根本不像实际情况，所以请继续。

最后，如果你在大学里，找一位你想要的领域的专家并寻求他们的建议并不会有什么害处。他们可能会告诉你很多关于职业道路的事情，这对你来说很有价值，你甚至还没有足够的经验去思考。不要仅仅依靠大学课程来决定你想学什么，要遵循你喜欢的技术。深潜，自己做项目。