Como usar ChatGPT para análise de malware

Desde o início da era digital, o malware tem sido uma preocupação constante nos sistemas informáticos. Na verdade, cada avanço tecnológico forneceu aos agentes de ameaças ferramentas adicionais para tornar as suas criações mais sofisticadas e destrutivas. No entanto, um ano após o início da nova era marcada pela ascensão da IA generativa , parece que esta tendência está a inverter-se, uma vez que os profissionais de segurança cibernética estão agora a tornar-se os principais beneficiários de soluções como o ChatGPT.

Como exatamente a IA é útil para lidar com ataques de malware?

As capacidades aparentemente ilimitadas do ChatGPT tornam-no um instrumento altamente versátil, adequado para vários cenários de segurança cibernética. Para demonstrar, vamos nos concentrar em três tarefas que são executadas praticamente por todo analista de malware e que podem ser bastante facilitadas com a ajuda de um assistente de IA.

1. Criação de regras YARA

As regras YARA são um mecanismo essencial para detectar malware com base em determinados padrões. Para garantir uma cobertura adequada das ameaças, os analistas precisam escrever muitas delas, e fazê-lo dificilmente é um passeio no parque, especialmente em termos do tempo necessário.

Felizmente, o ChatGPT pode acelerar significativamente e automatizar em grande parte todo o processo, imprimindo essas regras no local. Tudo o que é necessário é fornecer instruções adequadas ao chatbot. É claro que, na maioria dos casos, será necessário um pequeno retoque.

Aqui, ChatGPT falhou ao especificar que as strings podem estar em 2 codificações, ASCII e wide e perdeu uma pergunta extra na string $str4. Porém, para uma regra produzida basicamente em segundos, é impressionante e extremamente útil para agilizar o fluxo de trabalho.

Use o prompt para criar suas regras com ChatGPT:

GPT, você poderia me ajudar a escrever uma regra YARA? Estou tentando detectar um malware específico
amostra que possui as seguintes características:
[SUBSTITUIR POR CARACTERÍSTICAS].
Como posso escrever uma regra YARA que identifique com precisão esse malware?
Não explique sobre YARA, forneça uma regra, seguindo com uma visão geral da lógica.

2. Escrita de regras de Suricata

As regras Suricata são outra parte integrante da detecção e análise eficaz de malware. Nesse sentido, o ChatGPT também se mostra uma ferramenta bacana, oferecendo variantes quase tão boas quanto aquelas escritas por um analista júnior.

Como fica claro no exemplo, o chatbot ainda tem espaço para melhorias, mas ao tratar seus resultados como um rascunho que pode lhe dar uma base para construir, você pode mais uma vez economizar muito tempo.

Use este prompt para gerar suas regras:

ChatGPT, gere uma regra Suricata que detecte [SUA CONDIÇÃO].

Use as seguintes informações, se fornecidas:

Opções: [opções]

Ações: [ações]

Cabeçalhos: [cabeçalhos]

Observe que esses elementos nem sempre podem ser fornecidos. Se nada disso

detalhes forem fornecidos, crie uma regra que detecte apenas [SUA CONDIÇÃO].

3. Compreender as atividades maliciosas

Ainda assim, o principal caso de uso do ChatGPT quando se trata de análise de malware é a capacidade de aprender mais sobre ações específicas realizadas por diferentes ameaças. Por exemplo, no exemplo abaixo, perguntamos ao chatbot sobre como o malware pode explorar o utilitário legítimo w32tm.exe, e ele deu uma resposta sólida.

Na verdade, você pode acessar essas informações de uma forma mais conveniente usando o serviço gratuito QUALQUER.EXECUTAR caixa de areia. O serviço destina-se à análise de arquivos e links por meio de interação direta em uma VM Windows segura na nuvem.

Ele não apenas detecta tráfego de rede malicioso, processos e alterações de registro, mas também permite obter insights adicionais sobre os objetos de seu interesse, incluindo regras Suricata acionadas, usando seu recurso ChatGPT integrado.

Graças a isso, você pode obter uma compreensão abrangente de como e por que o malware realiza determinadas atividades e o que isso significa para a segurança da sua infraestrutura. Confira o vídeo abaixo para ver como o chatbot divide os comandos inseridos pelo malware na linha de comando e destaca sua finalidade.

Conclusão

Por enquanto, a IA generativa não significa de forma alguma a ruína para toda a indústria de malware. No entanto, empresas como o ChatGPT estão claramente tornando mais fácil do que nunca o trabalho dos profissionais, permitindo-lhes responder aos ataques com mais rapidez e melhorar a postura de segurança das organizações.

Integrar chatbots em fluxos de trabalho de rotina, especialmente através de plataformas como ANY.RUN, pode ser extremamente vantajoso e servir para aumentar consideravelmente a sua proficiência e eficiência como analista.