paint-brush
如何使用 ChatGPT 进行恶意软件分析经过@anyrun
849 讀數
849 讀數

如何使用 ChatGPT 进行恶意软件分析

经过 ANY.RUN4m2023/10/11
Read on Terminal Reader

太長; 讀書

人工智能在解决恶意软件攻击方面究竟有何用处?让我们重点讨论在人工智能助手的帮助下可以极大促进的三项任务。
featured image - 如何使用 ChatGPT 进行恶意软件分析
ANY.RUN HackerNoon profile picture
0-item

自数字时代到来以来,恶意软件一直是计算机系统关注的焦点。事实上,每一项技术进步都为威胁行为者提供了额外的工具,使他们的作品变得更加复杂和更具破坏性。然而,进入以生成式人工智能兴起为标志的新时代一年后,这种趋势似乎正在逆转,因为网络安全专业人员现在正成为 ChatGPT 等解决方案的主要受益者。

人工智能在解决恶意软件攻击方面究竟有何用处?

ChatGPT 看似无限的功能使其成为一种高度通用的工具,适用于网络安全的众多场景。为了进行演示,让我们重点关注每个恶意软件分析师实际上都会执行的三项任务,并且在人工智能助手的帮助下可以极大地促进这些任务。

1. YARA规则创建

YARA 规则是根据某些模式检测恶意软件的重要机制。为了确保适当的威胁覆盖,分析师需要编写许多这些内容,而这样做几乎不是在公园里散步,特别是在所需的时间方面。


值得庆幸的是, ChatGPT 可以通过当场打印此类规则来显着加速并很大程度上自动化整个过程。我们所需要的只是向聊天机器人提供正确的指令。当然,在大多数情况下,需要进行一些修饰。


尽管偶尔会出现错误,但 ChatGPT 对 YARA 规则编写很有帮助。


在这里,ChatGPT 未能指定字符串可以采用 2 种编码:ASCII 和宽编码,并且错过了 $str4 字符串中的额外问题。然而,对于基本上在几秒钟内生成的规则来说,它令人印象深刻,并且对于加快工作流程非常有用。


使用提示使用 ChatGPT 创建规则:


GPT,你能帮我写一个YARA规则吗?我正在尝试检测特定的恶意软件
样本具有以下特征:
[用特征代替]。
如何编写 YARA 规则来准确识别此恶意软件?
不要解释 YARA,提供规则,然后概述逻辑。


2.Suricata规则编写

Suricata 规则是有效恶意软件检测和分析的另一个重要组成部分。在这方面,ChatGPT 也被证明是一个很棒的工具,它提供的变体几乎与初级分析师编写的变体一样好。


ChatGPT 可能不符合 Suricata 规则,但它可以帮助您入门。


从示例中可以清楚地看出,聊天机器人仍然有改进的空间,但是通过将其结果视为可以为您提供基础的草稿,您可以再次节省大量时间。


使用此提示生成您的规则:


ChatGPT,请生成检测 [您的情况] 的 Suricata 规则。

使用以下信息(如果提供):

选项:[选项]

行动:[行动]

标题:[标题]

请注意,可能并不总是提供这些元素。如果这些都没有

已给出详细信息,请创建一个仅检测 [您的条件] 的规则。


3. 了解恶意活动

尽管如此,在恶意软件分析方面,ChatGPT 的关键用例是能够详细了解不同威胁所采取的特定操作。例如,在下面的示例中,我们向聊天机器人询问恶意软件如何利用合法实用程序 w32tm.exe,它给出了可靠的答复。


ChatGPT 可以为您提供一个很好的提示,告诉您需要做什么来确保正确检测。


事实上,您可以通过使用免费的任意运行沙箱。该服务旨在通过安全云 Windows VM 中的直接交互来分析文件和链接。


它不仅可以检测恶意网络流量、进程和注册表更改,还可以让您使用其内置的 ChatGPT 功能获得对您感兴趣的对象的更多见解,包括触发的 Suricata 规则。


AI 生成的关于 ANY.RUN 检测到的恶意进程的报告


因此,您可以全面了解恶意软件执行某些活动的方式和原因,以及这对基础设施的安全意味着什么。请观看下面的视频,了解聊天机器人如何分解恶意软件在命令行中输入的命令并突出显示其目的。

结论

就目前而言,生成式人工智能绝不意味着整个恶意软件行业的末日。然而,ChatGPT 等工具显然使专业人员比以往任何时候都更容易完成工作,使他们能够更快地响应攻击并改善组织的安全状况。


将聊天机器人集成到日常工作流程中,尤其是通过 ANY.RUN 等平台,可以带来显着的优势,并有助于显着提高分析师的熟练程度和效率。


探索 ANY.RUN 的全部功能,包括您的私人团队空间、Windows 10/11 虚拟机和 API 集成, 使用 14 天免费试用