Cách sử dụng ChatGPT để phân tích phần mềm độc hại

Kể từ buổi bình minh của thời đại kỹ thuật số, phần mềm độc hại luôn là mối lo ngại đối với các hệ thống máy tính. Trên thực tế, mọi tiến bộ công nghệ đều cung cấp cho những kẻ đe dọa những công cụ bổ sung để khiến những sáng tạo của chúng trở nên phức tạp và có sức tàn phá hơn. Tuy nhiên, một năm bước sang kỷ nguyên mới được đánh dấu bằng sự trỗi dậy của AI , có vẻ như xu hướng này đang đảo ngược, vì các chuyên gia an ninh mạng hiện đang trở thành đối tượng hưởng lợi chính từ các giải pháp như ChatGPT.

Chính xác thì AI hữu ích như thế nào trong việc giải quyết các cuộc tấn công phần mềm độc hại?

Khả năng dường như vô hạn của ChatGPT khiến nó trở thành một công cụ rất linh hoạt, phù hợp với nhiều tình huống trong an ninh mạng. Để chứng minh, hãy tập trung vào ba nhiệm vụ được thực hiện bởi mọi nhà phân tích phần mềm độc hại trên thực tế và nhiệm vụ đó có thể được hỗ trợ rất nhiều nhờ sự trợ giúp của trợ lý AI.

1. Tạo quy tắc YARA

Quy tắc YARA là cơ chế thiết yếu để phát hiện phần mềm độc hại dựa trên các mẫu nhất định. Để đảm bảo đưa ra mức độ bao quát thích hợp về các mối đe dọa, các nhà phân tích cần phải viết nhiều trong số này và việc thực hiện việc này khó có thể dễ dàng, đặc biệt là về mặt thời gian cần thiết.

Rất may, ChatGPT có thể tăng tốc đáng kể và tự động hóa phần lớn toàn bộ quy trình bằng cách in các quy tắc đó ngay tại chỗ. Tất cả những gì người ta cần là cung cấp cho chatbot những hướng dẫn thích hợp. Tất nhiên, trong hầu hết các trường hợp, sẽ cần phải chỉnh sửa một chút.

Ở đây, ChatGPT không chỉ định được rằng chuỗi có thể ở 2 dạng mã hóa, ASCII và mã rộng, đồng thời bỏ sót một câu hỏi bổ sung trong chuỗi $str4. Tuy nhiên, đối với một quy tắc được tạo ra về cơ bản tính bằng giây, nó rất ấn tượng và cực kỳ hữu ích để tăng tốc quy trình làm việc.

Sử dụng lời nhắc để tạo quy tắc của bạn với ChatGPT:

GPT, bạn có thể giúp tôi viết quy tắc YARA không? Tôi đang cố gắng phát hiện một phần mềm độc hại cụ thể
mẫu có đặc điểm sau:
[THAY THẾ BẰNG ĐẶC ĐIỂM].
Làm cách nào tôi có thể viết quy tắc YARA để xác định chính xác phần mềm độc hại này?
Không giải thích về YARA, hãy đưa ra quy tắc, sau đó là tổng quan về logic.

2. Viết quy tắc Suricata

Các quy tắc Suricata là một phần khác của việc phát hiện và phân tích phần mềm độc hại hiệu quả. Về mặt này, ChatGPT cũng chứng tỏ mình là một công cụ tiện lợi, cung cấp các biến thể gần như tốt như những biến thể được viết bởi một nhà phân tích cấp dưới.

Như đã thấy rõ trong ví dụ, chatbot vẫn còn chỗ cần cải thiện, nhưng bằng cách coi kết quả của nó như một bản phác thảo thô có thể cung cấp cho bạn nền tảng để xây dựng, bạn có thể một lần nữa tiết kiệm được rất nhiều thời gian.

Sử dụng lời nhắc này để tạo quy tắc của bạn:

ChatGPT, vui lòng tạo quy tắc Suricata để phát hiện [ĐIỀU KIỆN CỦA BẠN].

Sử dụng thông tin sau nếu được cung cấp:

Tùy chọn: [tùy chọn]

Hành động: [hành động]

Tiêu đề: [tiêu đề]

Xin lưu ý rằng những yếu tố này có thể không phải lúc nào cũng được cung cấp. Nếu không có cái nào trong số này

thông tin chi tiết đã được cung cấp, vui lòng tạo quy tắc chỉ phát hiện [ĐIỀU KIỆN CỦA BẠN].

3. Tìm hiểu các hoạt động độc hại

Tuy nhiên, trường hợp sử dụng chính của ChatGPT khi phân tích phần mềm độc hại là khả năng tìm hiểu thêm về các hành động cụ thể được thực hiện bởi các mối đe dọa khác nhau. Ví dụ: trong ví dụ bên dưới, chúng tôi đã hỏi chatbot về cách phần mềm độc hại có thể khai thác tiện ích hợp pháp w32tm.exe và nó đã đưa ra phản hồi chắc chắn.

Trên thực tế, bạn có thể truy cập những thông tin đó một cách thuận tiện hơn bằng cách sử dụng dịch vụ miễn phí. BẤT KỲ.RUN hộp cát. Dịch vụ này nhằm mục đích phân tích các tệp và liên kết thông qua tương tác trực tiếp trong máy ảo Windows trên nền tảng đám mây an toàn.

Nó không chỉ phát hiện lưu lượng truy cập, quy trình và thay đổi đăng ký độc hại mà còn cho phép bạn hiểu rõ hơn về các đối tượng mà bạn quan tâm, bao gồm cả các quy tắc Suricata được kích hoạt, sử dụng tính năng ChatGPT tích hợp sẵn.

Nhờ đó, bạn có thể hiểu toàn diện về cách thức và lý do phần mềm độc hại thực hiện các hoạt động nhất định cũng như ý nghĩa của điều đó đối với tính bảo mật của cơ sở hạ tầng của bạn. Hãy xem video bên dưới để biết cách chatbot chia nhỏ các lệnh do phần mềm độc hại nhập vào dòng lệnh và nêu rõ mục đích của chúng.

Phần kết luận

Hiện tại, AI tổng quát không có nghĩa là sẽ hủy diệt toàn bộ ngành công nghiệp phần mềm độc hại. Tuy nhiên, ChatGPT rõ ràng đang giúp các chuyên gia thực hiện công việc của họ dễ dàng hơn bao giờ hết, cho phép họ phản ứng với các cuộc tấn công nhanh hơn và cải thiện tình trạng bảo mật của tổ chức.

Việc tích hợp chatbot vào quy trình công việc thường ngày, đặc biệt là thông qua các nền tảng như ANY.RUN có thể mang lại lợi ích đáng kể và giúp nâng cao đáng kể trình độ cũng như hiệu quả của bạn với tư cách là nhà phân tích.