Как использовать ChatGPT для анализа вредоносного ПО

С самого начала цифровой эпохи вредоносное ПО было постоянной проблемой для компьютерных систем. Фактически, каждое технологическое достижение предоставляло злоумышленникам дополнительные инструменты для того, чтобы сделать свои творения более изощренными и разрушительными. Однако год в новую эпоху, отмеченную ростом генеративного искусственного интеллекта , похоже, эта тенденция меняется на противоположную, поскольку специалисты по кибербезопасности теперь становятся основными бенефициарами таких решений, как ChatGPT.

Как именно ИИ полезен в борьбе с атаками вредоносных программ?

Кажущиеся безграничными возможности ChatGPT делают его универсальным инструментом, подходящим для множества сценариев кибербезопасности. Для демонстрации давайте сосредоточимся на трех задачах, которые выполняет практически каждый аналитик вредоносного ПО и которые можно значительно облегчить с помощью помощника ИИ.

1. Создание правил YARA

Правила YARA — это важный механизм обнаружения вредоносного ПО по определенным шаблонам. Чтобы обеспечить надлежащее освещение угроз, аналитикам необходимо написать множество таких документов, и сделать это вряд ли будет легкой прогулкой, особенно с точки зрения необходимого времени.

К счастью, ChatGPT может значительно ускорить и в значительной степени автоматизировать весь процесс, распечатывая такие правила на месте. Все, что нужно, — это предоставить чат-боту правильные инструкции. Конечно, в большинстве случаев потребуется небольшая доработка.

Здесь ChatGPT не смог указать, что строки могут иметь две кодировки: ASCII и широкую, а также пропустил дополнительный вопрос в строке $str4. Тем не менее, для правила, созданного в основном за секунды, оно впечатляет и чрезвычайно полезно для ускорения рабочего процесса.

Используйте подсказку, чтобы создать правила с помощью ChatGPT:

GPT, не могли бы вы помочь мне написать правило YARA? Я пытаюсь обнаружить определенное вредоносное ПО
образец, имеющий следующие характеристики:
[ЗАМЕНИТЬ ХАРАКТЕРИСТИКАМИ].
Как написать правило YARA, которое точно идентифицирует это вредоносное ПО?
Не объясняйте про YARA, приведите правило, а затем обзор логики.

2. Написание правил Суриката

Правила Suricata — еще одна часть эффективного обнаружения и анализа вредоносного ПО. В этом отношении ChatGPT также оказывается отличным инструментом, предлагающим варианты, почти не уступающие тем, которые написаны младшим аналитиком.

Как становится ясно из примера, чат-боту еще есть куда совершенствоваться, но, рассматривая его результаты как черновой вариант, который может дать вам основу для дальнейшего развития, вы снова сможете сэкономить много времени.

Используйте эту подсказку для создания правил:

ChatGPT, создайте правило Suricata, определяющее [ВАШЕ УСЛОВИЕ].

Используйте следующую информацию, если она предоставлена:

Опции: [варианты]

Действия: [действия]

Заголовки: [заголовки]

Обратите внимание, что эти элементы не всегда могут быть предоставлены. Если ни один из этих

подробности указаны, пожалуйста, создайте правило, которое просто определяет [ВАШЕ УСЛОВИЕ].

3. Понимание вредоносной деятельности

Тем не менее, ключевым вариантом использования ChatGPT, когда дело доходит до анализа вредоносного ПО, является возможность узнать больше о конкретных действиях, предпринимаемых различными угрозами. Например, в приведенном ниже примере мы спросили чат-бота о том, как вредоносное ПО может использовать легальную утилиту w32tm.exe, и он дал исчерпывающий ответ.

Фактически, вы можете получить доступ к такой информации более удобным способом, воспользовавшись бесплатным ЛЮБОЙ.RUN песочница. Сервис предназначен для анализа файлов и ссылок посредством прямого взаимодействия в безопасной облачной виртуальной машине Windows.

Он не только обнаруживает вредоносный сетевой трафик, процессы и изменения реестра, но также позволяет вам получить дополнительную информацию об интересующих вас объектах, включая сработавшие правила Suricata, используя встроенную функцию ChatGPT.

Благодаря этому вы можете получить полное представление о том, как и почему вредоносное ПО выполняет определенные действия и что это означает для безопасности вашей инфраструктуры. Посмотрите видео ниже, чтобы увидеть, как чат-бот разбирает команды, вводимые вредоносным ПО в командной строке, и подчеркивает их цель.

Заключение

На данный момент генеративный искусственный интеллект ни в коем случае не означает гибель всей индустрии вредоносного ПО. Однако подобные ChatGPT явно упрощают работу профессионалов, позволяя им быстрее реагировать на атаки и улучшать состояние безопасности организаций.

Интеграция чат-ботов в повседневные рабочие процессы, особенно с помощью таких платформ, как ANY.RUN, может быть чрезвычайно выгодной и значительно повысить вашу квалификацию и эффективность как аналитика.