2022年9月にeCMAPを受験し、10月に合格しました。
この記事を書いた時点では、日本語の記事が見当たらなかったので、受験記録として紹介します。
eCMAPについて
eLearnSecurity Certified Malware Analysis Professionalとは、INE社の一部門であるeLearnSecurityが提供している資格試験の一つ。
eLearnSecurityについては以下の記事で詳しく紹介されているので、見てみるといいです。
ペネトレーションテストやネットワークディフェンスなど、いろんな種類の試験があり、eCMAPはその内の、マルウェア解析に関する試験となっている。
試験について
| 項目 | 内容 |
|---|---|
| 費用 | $400 |
| 期間 | 8日間(解析環境にアクセスできるのは5日間) |
| 形式 | ハンズオン形式(VPNで解析環境にアクセスして解析する) |
| 内容 | 期間内に解析対象のファイルを解析して、レポートを作成、提出する |
eLearnSecurityが提供している試験はシナリオベースのハンズオン形式で行われており、eCMAPの場合、VPNで解析環境にアクセスして、そこで解析対象のファイルを解析する。
そして、解析した結果をレポートにまとめる必要がある。
試験期間自体は8日間となっているが、解析環境へのアクセスは5日間となっているので、解析自体は5日以内に終わらせる必要がある。
必要な知識・技術
・表層解析、動的解析、静的解析などマルウェア解析の基本的な知識
・マルウェアの挙動を把握する
・C2通信を特定して、使用目的がわかる
・デバッガや逆アセンブラなどで解析する技術(リバースエンジニアリング)
・コードインジェクションや持続性などマルウェアの機能に関する知識
・パッカーに関する知識
・難読化手法に関する知識
・デバッガ検知、サンドボックス検知などの解析環境検知の知識
・IOCの作成
・マルウェア解析レポートの作成
試験の大まかな流れ
バウチャーを購入したら、180日以内に試験を開始する必要がある。
試験が始まると、解析環境へアクセスするためのVPNプロファイルとLetter of Engagementがダウンロードできるようになる。
Letter of Engagementには、リモートデスクトップで解析環境にアクセスするのに必要な情報や、試験の詳細な内容が書かれている。
解析対象のファイルが置いてある場所や、解析に使うツールの場所もここに書かれている。
試験開始から5日経つと、解析環境にアクセスできなくなり、レポートの提出に関する内容のメールが届くようになる。
レポートを提出すると、受領した旨のメールが届く。
30営業日以内にレビューして、結果を通知すると書かれている。
試験に合格すると、以下のメールが届く。
合格するために大事なこと
たくさんスクリーンショットをとる
この試験に限ったことではないが、スクリーンショットのない説明は評価されない。
どのように解析を進めたのかを説明するために、たくさんスクショしましょう。
計画を立てて進める
期間が8日間と長期戦となるので、一日でどこまで進めるか計画を立てることをお勧めする。
Letter of Engagementをちゃんと読み込む
どのようなことをレポートにまとめて欲しいかは、Letter of Engagementに書かれているので、それに沿って解析を進めましょう。
おすすめの学習コンテンツ
INEのトレーニング
公式がトレーニング出しているので、これを受講するのが手っ取り早いと思う。
自分は受講していないので、詳細については割愛する。
リバースエンジニアリング
マルウェアを解析するには、リバースエンジニアリングの知識が必要なため、最初にリバースエンジニアリングの学習からすることをお勧めする。
C-Code-Disassembly
Reverse engineering course (with radare2)
Reverse Engineering For Everyone!
Windows System Calls For Hunters
Anti-Debug: Debug Flags
リバースエンジニアリングバイブル ~コード再創造の美学~
デバッガによるx86プログラム解析入門
マスタリングGhidra
マルウェア解析
マルウェアに関する知識や技術は、こちらの内容を押さえておいた方がいいと思う。
セキュリティ・キャンプ全国大会2015でのマルウエア分析講義
Malware Analysis - CSCI 4976
Check Point Evasion techniques
初めてのマルウェア解析
詳解 インシデントレスポンス
CTF・Crackme
解析の練習として、CTFやCrackmeはとてもお勧めなコンテンツだと思う。
いろんなツールを使って解析してみよう。
Windows Reversing(MalwareTech)
Reversing.kr
Crackmes
eagle0wl Crackme
最後に
英語でレポートを書かないといけなかったりと大変だったが、試験自体はとても面白い試験だった。
もっと高度な解析をするための土台作りとしてお勧め。
こういうハンズオン系の資格は、あまり認知されてないように感じるので、もっと認知されて欲しいと思った。
マルウェア解析に興味がある方はぜひチャレンジしてみてください。