Comment utiliser ChatGPT pour l'analyse des logiciels malveillants

Depuis l’aube de l’ère numérique, les logiciels malveillants constituent une préoccupation constante pour les systèmes informatiques. En fait, chaque avancée technologique a fourni aux auteurs de menaces des outils supplémentaires pour rendre leurs créations plus sophistiquées et destructrices. Cependant, un an après le début d’une nouvelle ère marquée par l’essor de l’IA générative , il semble que cette tendance s’inverse, puisque les professionnels de la cybersécurité deviennent désormais les principaux bénéficiaires de solutions comme ChatGPT.

En quoi l’IA est-elle exactement utile pour lutter contre les attaques de logiciels malveillants ?

Les capacités apparemment illimitées de ChatGPT en font un instrument très polyvalent, adapté à de nombreux scénarios de cybersécurité. Pour le démontrer, concentrons-nous sur trois tâches qui sont effectuées pratiquement par tous les analystes de logiciels malveillants et qui peuvent être grandement facilitées avec l'aide d'un assistant IA.

1. Création de règles YARA

Les règles YARA constituent un mécanisme essentiel pour détecter les logiciels malveillants en fonction de certains modèles. Pour garantir une couverture adéquate des menaces, les analystes doivent en rédiger un grand nombre, et cela n’est pas une promenade de santé, surtout en termes de temps nécessaire.

Heureusement, ChatGPT peut considérablement accélérer et automatiser largement l'ensemble du processus en imprimant ces règles sur place. Il suffit de fournir au chatbot les instructions appropriées. Bien entendu, dans la plupart des cas, une petite retouche sera nécessaire.

Ici, ChatGPT n'a pas réussi à spécifier que les chaînes peuvent être dans 2 encodages, ASCII et large et a manqué une question supplémentaire dans la chaîne $str4. Pourtant, pour une règle produite en quelques secondes, elle est impressionnante et extrêmement utile pour accélérer le flux de travail.

Utilisez l'invite pour créer vos règles avec ChatGPT :

GPT, pourriez-vous m'aider à rédiger une règle YARA ? J'essaie de détecter un malware spécifique
échantillon qui présente les caractéristiques suivantes :
[REMPLACER PAR CARACTÉRISTIQUES].
Comment puis-je écrire une règle YARA qui identifie avec précision ce malware ?
N'expliquez pas YARA, fournissez une règle, suivie d'un aperçu de la logique.

2. Rédaction des règles de Suricata

Les règles Suricata constituent un autre élément essentiel d’une détection et d’une analyse efficaces des logiciels malveillants. À cet égard, ChatGPT s’avère également être un outil astucieux, proposant des variantes presque aussi bonnes que celles écrites par un analyste junior.

Comme le montre l’exemple, le chatbot peut encore être amélioré, mais en traitant ses résultats comme une ébauche qui peut vous donner une base sur laquelle construire, vous pouvez encore une fois gagner beaucoup de temps.

Utilisez cette invite pour générer vos règles :

ChatGPT, veuillez générer une règle Suricata qui détecte [VOTRE CONDITION].

Utilisez les informations suivantes si elles sont fournies :

Options : [options]

Actions : [actions]

En-têtes : [en-têtes]

Attention, ces éléments ne sont pas toujours fournis. Si aucun de ces éléments

les détails sont donnés, veuillez créer une règle qui détecte simplement [VOTRE CONDITION].

3. Comprendre les activités malveillantes

Néanmoins, le principal cas d’utilisation de ChatGPT en matière d’analyse des logiciels malveillants est la possibilité d’en savoir plus sur les actions spécifiques entreprises par différentes menaces. Par exemple, dans l’exemple ci-dessous, nous avons interrogé le chatbot sur la manière dont les logiciels malveillants peuvent exploiter l’utilitaire légitime w32tm.exe, et il a donné une réponse solide.

En fait, vous pouvez accéder à ces informations de manière plus pratique en utilisant le service gratuit TOUT.RUN bac à sable. Le service est destiné à analyser les fichiers et les liens via une interaction directe dans une VM Windows cloud sécurisée.

Il détecte non seulement le trafic réseau malveillant, les processus et les modifications du registre, mais vous permet également d'obtenir des informations supplémentaires sur les objets qui vous intéressent, y compris les règles Suricata déclenchées, à l'aide de sa fonctionnalité ChatGPT intégrée.

Grâce à cela, vous pouvez comprendre de manière globale comment et pourquoi les logiciels malveillants effectuent certaines activités et ce que cela signifie pour la sécurité de votre infrastructure. Regardez la vidéo ci-dessous pour voir comment le chatbot décompose les commandes saisies par le malware dans la ligne de commande et met en évidence leur objectif.

Conclusion

Pour l’instant, l’IA générative ne signifie en aucun cas la mort de l’ensemble du secteur des logiciels malveillants. Cependant, des solutions comme ChatGPT facilitent plus que jamais le travail des professionnels, leur permettant de répondre plus rapidement aux attaques et d'améliorer la sécurité des organisations.

L'intégration de chatbots dans les flux de travail de routine, en particulier via des plateformes comme ANY.RUN, peut être remarquablement avantageuse et servir à améliorer considérablement vos compétences et votre efficacité en tant qu'analyste.