Cómo utilizar ChatGPT para análisis de malware

Desde los albores de la era digital, el malware ha sido una preocupación constante para los sistemas informáticos. De hecho, cada avance tecnológico proporcionó a los actores de amenazas herramientas adicionales para hacer sus creaciones más sofisticadas y destructivas. Sin embargo, un año después del inicio de la nueva era marcada por el auge de la IA generativa , parece que esta tendencia se está revirtiendo, ya que los profesionales de la ciberseguridad se están convirtiendo en los principales beneficiarios de soluciones como ChatGPT.

¿Cómo es exactamente útil la IA para abordar los ataques de malware?

Las capacidades aparentemente ilimitadas de ChatGPT lo convierten en un instrumento muy versátil, adecuado para numerosos escenarios de ciberseguridad. Para demostrarlo, centrémonos en tres tareas que realiza prácticamente todo analista de malware y que pueden facilitarse enormemente con la ayuda de un asistente de IA.

1. Creación de reglas YARA

Las reglas YARA son un mecanismo esencial para detectar malware basado en ciertos patrones. Para garantizar una cobertura adecuada de las amenazas, los analistas necesitan escribir muchos de estos, y hacerlo no es un paseo por el parque, especialmente en términos del tiempo necesario.

Afortunadamente, ChatGPT puede acelerar significativamente y automatizar en gran medida todo el proceso imprimiendo dichas reglas en el acto. Todo lo que se necesita es proporcionar al chatbot las instrucciones adecuadas. Eso sí, en la mayoría de los casos será necesario un pequeño retoque.

Aquí, ChatGPT no pudo especificar que las cadenas pueden tener 2 codificaciones, ASCII y ancha, y omitió una pregunta adicional en la cadena $str4. Sin embargo, para una regla producida básicamente en segundos, es impresionante y extremadamente útil para acelerar el flujo de trabajo.

Utilice el mensaje para crear sus reglas con ChatGPT:

GPT, ¿podrías ayudarme a escribir una regla YARA? Estoy intentando detectar un malware específico.
muestra que tiene las siguientes características:
[REEMPLAZAR CON CARACTERÍSTICAS].
¿Cómo puedo escribir una regla YARA que identifique con precisión este malware?
No explique sobre YARA, proporcione una regla y siga con una descripción general de la lógica.

2. Escritura de reglas de Suricata

Las reglas de Suricata son otra parte integral de la detección y análisis de malware efectivo. En este sentido, ChatGPT también demuestra ser una herramienta ingeniosa, que ofrece variantes que son casi tan buenas como las escritas por un analista junior.

Como queda claro en el ejemplo, el chatbot todavía tiene margen de mejora, pero al tratar sus resultados como un borrador que puede brindarle una base sobre la cual construir, nuevamente puede ahorrar una gran cantidad de tiempo.

Utilice este mensaje para generar sus reglas:

ChatGPT, genere una regla Suricata que detecte [SU CONDICIÓN].

Utilice la siguiente información si se proporciona:

Opciones: [opciones]

Acciones: [acciones]

Encabezados: [encabezados]

Tenga en cuenta que es posible que estos elementos no siempre se proporcionen. Si ninguno de estos

Se proporcionan detalles, cree una regla que solo detecte [SU CONDICIÓN].

3. Comprender las actividades maliciosas

Aún así, el caso de uso clave de ChatGPT cuando se trata de análisis de malware es la capacidad de aprender más sobre acciones específicas realizadas por diferentes amenazas. Por ejemplo, en el siguiente ejemplo, le preguntamos al chatbot sobre las formas en que el malware puede explotar la utilidad legítima w32tm.exe y nos dio una respuesta sólida.

De hecho, puede acceder a dicha información de una manera más conveniente utilizando el sitio gratuito CUALQUIER EJECUCIÓN salvadera. El servicio está destinado a analizar archivos y enlaces mediante la interacción directa en una máquina virtual Windows segura en la nube.

No solo detecta tráfico de red, procesos y cambios de registro maliciosos, sino que también le permite obtener información adicional sobre los objetos de su interés, incluidas las reglas activadas de Suricata, utilizando su función ChatGPT incorporada.

Gracias a esto, puede obtener una comprensión integral de cómo y por qué el malware realiza ciertas actividades y qué significa eso para la seguridad de su infraestructura. Mire el vídeo a continuación para ver cómo el chatbot desglosa los comandos ingresados por el malware en la línea de comando y resalta su propósito.

Conclusión

Por ahora, la IA generativa no significa en absoluto el fin de toda la industria del malware. Sin embargo, empresas como ChatGPT claramente están haciendo que sea más fácil que nunca para los profesionales hacer su trabajo, permitiéndoles responder a los ataques más rápido y mejorar la postura de seguridad de las organizaciones.

Integrar chatbots en flujos de trabajo rutinarios, particularmente a través de plataformas como ANY.RUN, puede ser notablemente ventajoso y servir para aumentar considerablemente su competencia y eficiencia como analista.