วันนี้มาดึกนิดนึง พอดีแอดเพิ่งว่างเลยอยากมาแชร์ประสบการณ์สอบ Practical Malware Research Professional Certification (PMRP) จากค่าย TCM Security ครับ
สมัยก่อนเขาใช้ชื่อว่า Practical Junior Malware Researcher (PJMR) แต่ปัจจุบันได้มีการปรับปรุงเนื้อหา และเปลี่ยนชื่อใหม่เป็น PMRP ให้สอดคล้องกับระดับความยากของการสอบมากขึ้น…..เอิ่ม นั่นแหละครับ ยากขึ้นอยู่แหละ
Malware Analysis คืออะไร?
ขอเขียนตามความเข้าใจของแอดเลยละกัน Malware Analysis แปลตรงตัวคือการวิเคราะห์มัลแวร์ เพื่อให้เราเข้าใจพฤติกรรมและกลไกการทำงานของมัลแวร์ ช่วยให้เราสามารถวางแผนรับมือและป้องกัน ทั้งมัลแวร์ที่กำลังวิเคราะห์อยู่และมัลแวร์ตัวอื่นที่จะเกิดขึ้นในอนาคต ซึ่งอาชีพที่เกี่ยวข้องกับงานด้าน Malware Analysis คือ Malware Analyst เป็นอีกหนึ่งส่วนที่สำคัญในงานสาย Cybersecurity
แต่ถ้าถามว่าทำไมแอดเลือกศึกษาด้านนี้? พอดีมีน้องที่รู้จักทำงานด้าน Cybersecurity บอกว่างาน Malware Analyst ยังขาดบุคลากรพอสมควรและมีคนศึกษาน้อย ฟังแล้วดูท้าทายดี แอดก็เลยลองเรียนและมองหาเซอร์สักใบ สุดท้ายมาจบที่ TCM Security นี่แหละ
TCM Security PMRP
จริง ๆ ก่อนหน้านี้แอดเรียน Malware Analysis ของ Letsdefend ไปแล้ว แต่รู้สึกว่ามันยังไม่มากพออยากลองปฏิบัติมากกว่านี้ เลยซื้อคอร์ส PMRP ของ TCM ซึ่งคอร์สนี้จะประกอบไปด้วย
- วิดีโอสอน (ที่เข้าเรียนได้นาน 1 ปี) พอเรียนจบจะได้ใบรับรองการเรียน PMAT
- ตั๋วเข้าสอบ PMRP + ตั๋ว Retake ให้สอบซ้ำได้อีกครั้ง ถ้าครั้งแรกสอบไม่ผ่าน
ราคาทั้งหมดนี้จะอยู่ที่ 499 ดอลลาร์ และเนื้อหาทุกอย่างจะเป็นภาษาอังกฤษทั้งหมด
คอร์สเรียน PMAT
สำหรับในคอร์สเรียนเขาสอนค่อนข้างละเอียดครับ เริ่มตั้งแต่สอนติดตั้งระบบจำลองเพื่อให้เราทดสอบมัลแวร์ได้อย่างปลอดภัย (FlareVM และ Remnux) จากนั้นก็จะเริ่มสเต็ปประมาณนี้
- Basic Static Analysis: วิเคราะห์มัลแวร์เบื้องต้นแบบไม่สั่งรันมัลแวร์
- Basic Dynamic Analysis: วิเคราะห์มัลแวร์เบื้องต้นผ่านการรันมัลแวร์
- Advanced Static Analysis: วิเคราะห์ขั้นสูงแบบไม่สั่งรันมัลแวร์ โดยจะได้เรียนพวกภาษา Assembly ด้วย
- Advanced Dynamic Analysis: วิเคราะห์ขั้นสูงผ่านการรันมัลแวร์ ผ่านโปรแกรม Debugging ต่าง ๆ เพื่อสังเกตพฤติกรรมของมัน
- Malware Classes: สอนวิเคราะห์มัลแวร์แต่ละประเภท ทั้งพวก Shell script, VBscript, Office malware, HTML หรือมัลแวร์บนมือถือ เป็นต้น
- Yara rule: สอนเขียน Yara rule เพื่อใช้ในการตรวจจับมัลแวร์ที่เราทดสอบ
- Report pattern: สอนการเขียนรายงานการวิเคราะห์ เพื่อส่งให้กับผู้ว่าจ้าง
นอกจากนี้ จะมีช่วงที่ให้เราทดสอบความสามารถของตนเอง โดยการวิเคราะห์มัลแวร์ที่คอร์สเตรียมไว้ให้ สงสัยตรงไหนก็ค่อยเปิดดูคลิปเฉลยได้ เขาพาทำเป็นสเต็ปไปเรื่อย ๆ
การเรียนการสอนมีประมาณนี้ครับ ขอสารภาพตามตรงว่าแอดก็เรียน ๆ ข้าม ๆ ไปบ้าง เพราะตอนนี้แอดก็เรียน Cybersecurity ป.ตรี กับสถาบันปัญญาภิวัฒน์อยู่ด้วย แถมยังตรงกับรายวิชา Malware Analysis อี๊ก เลยต้องโฟกัสเนื้อหาของมหาวิทยาลัยก่อน ทำให้ข้าม ๆ เนื้อหาบางส่วนของ TCM ไป (ผสมกับความขี้เกียจอะเนอะ 5555)
การสอบเพื่อล่าใบเซอร์ PMRP
ขอบอกก่อนว่าเขาไม่ให้สปอยล์เนื้อหาการสอบใด ๆ เลยของ PMRP เพราะฉะนั้น ส่วนที่แอดจะเล่าจะออกแนวรีวิวการสอบละกัน แต่ไม่บอกรายละเอียดเนื้อหาการสอบนะครับ
การสอบ PMRP เขาจะมีเวลาให้เราวิเคราะห์มัลแวร์จำนวนหนึ่งในเวลา 5 วัน ให้เราทำให้เต็มที่เลย เวลาวิเคราะห์อะไรได้ก็ต้องแคปรูปไว้ด้วยนะครับ เพราะเราต้องใช้รูปไปประกอบการเขียนรายงาน ถ้าครบ 5 วันแล้ว ก็จะเหลืออีก 2 วันให้เขียนรายงาน โดยในช่วง 2 วันของการเขียนรายงานเราจะไม่สามารถทำการวิเคราะห์มัลแวร์ได้อีก
5 วันแรก นอนดึกทุกวัน
5 วันแรกจะเป็นการวิเคราะห์มัลแวร์ ทาง TCM จะเตรียมระบบไว้ให้เราทดสอบมัลแวร์บนเว็บไซต์ได้เลย ประมาณว่าเขามี VM บนหน้าเว็บให้เรา ช่วยป้องกันไม่ให้ข้อสอบรั่วไหล และตั้งระบบให้เป็นกลางสำหรับผู้เข้าสอบทุกคน
มัลแวร์ที่ให้มาจะมีหลากหลายชนิดเลย และอาจมีชนิดที่ซ้ำกันด้วย ความยากจะมีตั้งแต่ง่าย ๆ (ที่ไม่ได้ง่ายขนาดนั้น), ปานกลาง และยากไปเลย ช่วง 2 วันแรกนี่ ผมทำได้ช้ามาก ด้วยความที่เราต้องทำงานประจำไปด้วยเลยใช้เวลาได้ไม่เต็มวัน (วันนึงผมน่าจะมีเวลาทำแค่ราว ๆ 10 ชั่วโมงเท่านั้น)
ผ่านไป 2 วันแรกผมถอดมัลแวร์ไปได้แค่ 3-4 ตัวเองมั้ง และมีแค่ 1 ตัวที่ถอดได้จนครบ ส่วนที่เหลือยังไม่แน่ใจว่าได้ข้อมูลครบหรือเปล่า เริ่มรู้สึกท้อ ๆ ไม่ค่อยอยากทำละ เพราะไอ้ส่วนที่ผมถอดไม่ได้เลย คือผมไม่รู้จะไปต่อยังไง ตามหามาได้แค่ Hash กับสตริงของมันแค่นั้น
แต่พอได้เวลาตั้งสติสักหน่อย วันที่ 3 ผมเริ่มได้ไอเดียในการถอดมัลแวร์มากขึ้น เริ่มมีแนวคิดแปลกใหม่ในการถอดการทำงานของมัลแวร์ได้ประสิทธิภาพมากขึ้น จนสุดท้ายเหลือมัลแวร์อีก 2 ตัว ซึ่งผมไปถอดอีก 2 ตัวที่เหลือเสร็จในวันที่ 5 พอดี
อุปสรรคในช่วง 5 วันแรกที่ผมเจอมีดังนี้
- ถอดมัลแวร์ล่าช้าในช่วงแรก อาจจะเป็นเพราะเครื่องมันยังไม่ติดมั้ง ไอเดียยังไม่มี เลยตัน ๆ ไม่รู้จะทำยังไงต่อ
- ไม่ได้ร่างแผนในการถอดมัลแวร์ไว้ ทำให้บางทีต้องวนกลับไปทำใหม่เพราะลืมแคปภาพบ้าง ลืมขั้นตอนบ้าง เพราะอย่าลืมว่ามันต้องเรียกสเต็ปตั้งแต่ Basic ถึง Advanced
- มีมัลแวร์ตัวนึงที่ผมถอดไปเมื่อวันแรก แต่ถอดแล้วไปต่อไม่ได้ ก็เลยลืมไปเลยจนเพิ่งได้มาทำต่อวันที่ 5 ซึ่งเวลามันเหลือน้อยมา ทำให้มัลแวร์ตัวนี้เป็นตัวที่ผมได้ข้อมูลมาน้อยที่สุด
- Point สำคัญ
- มีมัลแวร์ 2 ตัว ที่ผมได้ผลลัพธ์ของ Basic/Advanced ทั้ง Static และ Dynamic
- มีมัลแวร์ 2 ตัว ที่ผมได้ผลลัพธ์ของ Basic Static/Dynamic แต่ไม่ได้ Advanced เลย
- มัลแวร์ที่เหลือ ผมได้ผลลัพธ์ Basic Static/Dynamic และ Advanced Static
ตรง Point สำคัญนี่แหละที่เป็นปัญหาใหญ่ เพราะผมคิดว่าถ้าจะสอบผ่าน น่าจะต้องทำได้ครบทั้ง Basic/Advanced ทั้ง Static และ Dynamic แต่จากที่ผมทำไปจะเห็นว่าส่วนใหญ่ผมได้ไม่ครบทุกขั้นตอนครับ ซึ่งผมมองว่าไอ้ส่วนที่ผมทำได้น่ะมันก็เพียงพอต่อการอธิบายพฤติกรรมของมัลแวร์แล้ว แล้วเราต้องทำอะไรให้มันเยอะแยะอีกเหรอ นั่นทำให้ผมเครียดมากเลย
ทีนี้ในวันที่ 3-4 ผมเล่นเกมกับพี่คนหนึ่ง ที่เป็นพี่ที่รู้จักในแวดวง Cybersecurity และพี่เขาทำด้าน Malware Analysis ด้วย ผมเลยได้ถามพี่เขาไปว่า “จำเป็นไหมที่เราต้องทำให้ครบทุกขั้นตอน ทั้ง Basic และ Advanced”
ซึ่งพี่เขาตอบผมกลับมาว่า “เป้าหมายของการทำ Malware Analysis คือ ทำให้รู้พฤติกรรมและการทำงานของมัน ถ้าเราทำแค่ Basic แล้วตอบโจทย์ตรงนี้ได้ มันก็ไม่จำเป็นต้องถึงขั้น Advanced”
โอ้โห!! เหมือนสวรรค์มาโปรด ผมเลยทำเท่าที่ได้นั่นแหละครับ ที่เหลือคือฝีมือในการทำรายงานต่างหาก
รายงานอีก 2 วัน ฝึกภาษาอังกฤษสุดฤทธิ์
อย่างที่ผมบอกไปว่าทั้งหมดเป็นภาษาอังกฤษ ดังนั้น ในการเขียนรายงานก็ต้องเป็นภาษาอังกฤษด้วย ซึ่งตรงส่วนนี้เขามีเทมเพลตคร่าว ๆ มาให้ครับ ที่เหลือคือฝีมือของเราล้วน ๆ ว่าจะเขียนออกมาดีขนาดไหน ไอ้เรามันนักเขียนอยู่แล้ว การเล่าเรื่องไม่น่ายาก (เข้าข้างตัวเองสุด ๆ)
ในเวลา 2 วัน ผมทำรายงานมาได้ทั้งหมด 156 หน้า แล้วก็กด Submit ส่งรายงานได้
เฝ้ารอแสนนาน สุดท้ายผมก็สอบผ่าน
หลังจากส่งข้อสอบไปแล้ว เราจะต้องรอให้ทาง TCM ตรวจ โดยผมส่งข้อสอบไปเมื่อวันที่ 15 กุมภาพันธ์ และผลสอบออกวันที่ 27 กุมภาพันธ์ ก็กินเวลาไปทั้งสิ้น 12 วันเลยทีเดียว
ระหว่างที่รอผมค่อนข้างกังวลนะ เพราะผมได้เข้าไปในกลุ่ม Discord ของ TCM PMRP นี่แหละ แล้วก็ได้ไปหาถามคนที่สอบไม่ผ่านว่าเขาเขียนรายงานยังไง ส่วนมากจะบอกว่าทำครบทุกขั้นตอบทั้ง Basic และ Advanced ส่วนไอ้เราเนี่ยทำไม่ค่อยครบสักเท่าไร 5555 โคตรกดดัน
สุดท้ายก็มีอีเมลจาก TCM ส่งเข้ามาบอกว่า ผลสอบออกแล้วนะ ไปเช็กบนเว็บไซต์ได้เลย !!
หลังจากเช็กบนเว็บไซต์มันก้ขึ้นว่า Passed สรุปสอบผ่านแล้วครับ เย้!!
จากนั้นก็ไปดาวน์โหลดใบเซอร์ พร้อมแชร์ขึ้น LinkedIn สวย ๆ ได้เลย
You must be logged in to post a comment.