譯者 | 陳峻
審校 | 重樓
自從我們進入數字化時代以來,惡意軟件就一直是計算機應用系統的“心腹大患”。事實上,每一次技術進步都會為惡意行為者提供更多的工具,使得他們的攻擊行為更具破壞性。不過,如今生成式人工智能的崛起,似乎讓一直以來的趨勢發生了逆轉。目前,網絡安全專業人員正在利用ChatGPT等人工智能工具,分析和對抗惡意軟件。
作為具有廣泛用途的工具,ChatGPT適用于網絡安全等的眾多應用場景。下面,我將向您介紹,它可以協助惡意軟件分析師執行的三項典型AI任務。這些任務往往可以極大地簡化和提高應對惡意軟件的能力。
1.創建YARA規則
YARA規則是根據特定模式來檢測惡意軟件的重要機制。為確保達到適當的威脅檢測覆蓋率,分析人員往往需要編寫出許多不同的規則。不過,編寫此類規則并非輕而易舉之事,尤其是在時間緊迫之時。
值得慶幸的是,ChatGPT可以快速生成此類規則,從而大幅加快整個流程,并在很大程度上實現了自動化。我們只需向其聊天機器人提供適當的指令即可。當然,大多數情況下,我們仍需要對自己的表述稍加潤色。如下圖所示,雖然ChatGPT偶爾也會出錯,但是總體而言,它對于YARA規則的編寫,還是能夠起到不小的幫助。
在截圖中,ChatGPT并未指定字符串可以使用ASCII和wide兩種編碼中的具體哪一種,并且在$str4字符串中遺漏了一個額外的問題。不過,這些對于一個能夠在幾秒鐘之內生成的規則而言,足以令人印象深刻,且加快后續工作進程了。
您可以使用如下的提問方式,要求ChatGPT創建對應的規則:
- GPT,你能幫我寫一條YARA規則嗎?我希望檢測一個特定的惡意軟件樣本,該樣本具有這樣的特征:[可替換為具體特征內容]。
- 如何編寫一條能準確識別某惡意軟件的YARA規則?
- 不要解釋YARA,請提供一條規則,并概述其邏輯。
2. 編寫Suricata規則
Suricata規則是有效地檢測和分析惡意軟件的另一個重要方式。作為一款出色的工具,ChatGPT在此方面能夠提供幾乎不亞于初級分析師所編寫出的規則。當然,由ChatGPT生成的Suricata規則可能算不上盡善盡美,但是它足以幫助您入門和上手。
從上圖的例子中我們可以看出,雖然GhatGPT仍有改進的空間,但是其輸出的結果可以被當作一個粗略的草稿,為我們的后續工作打下基礎,并節省大量的時間。
您可以使用如下的提問方式,要求ChatGPT創建對應的規則:
- ChatGPT,請使用如下信息,生成一條能檢測[某個條件]的Suricata 規則:
- 選項:[指定選項]
- 行為:[指定行為]
- 頭部:[指定頭部]
- 請注意,如果無法滿足上述條件,就只創建一條檢測[某個條件]的規則。
3.了解惡意活動
話說回來,ChatGPT在惡意軟件分析方面的更常見用例在于,能夠更多地了解不同的威脅,并采取的具體行動。例如,在下面的示例中,我們向ChatGPT詢問了惡意軟件利用合法實用程序w32tm.exe的方式,該聊天機器人給出了如圖所示的可靠回答。
從ChatGPT的上述回答可以看出,它給出了需要怎么做,才能確保正確檢測的良好提示。
此外,我為大家構建了一個免費的沙盒。您可以通過鏈接--https://any.run/?utm_source=hackernoon&utm_medium=article&utm_campaign=chatgptanalysis&utm_cnotallow=landing&ref=hackernoon.com,方便地獲取上述信息。該服務旨在讓您通過與云端安全的windows VM(虛擬機)的直接交互,來分析各種可疑文件和鏈接。
它不僅能夠檢測到惡意網絡流量、進程和注冊表的更改,而且可以利用其內置的ChatGPT功能,讓你深入了解你所感興趣的對象,例如:被觸發的Suricata規則等。
上圖展示的是由ANY.RUN檢測到的、借助人工智能生成的針對惡意進程的報告。憑借它,您可以全面地了解惡意軟件執行某項活動的方式和原因,以及它對于基礎架構安全性的影響。
小結
綜上所述,以ChatGPT為代表的聊天機器人一旦被集成到我們日常的工作流程中,勢必會大幅提高安全分析師的能力和效率。雖然生成式人工智能目前暫無法給整個惡意軟件行業帶來滅頂之災,但是諸如ChatGPT之類的產品,顯然已比以往任何時候都更加便于專業人員開展安全審查工作,也使得他們能夠更快地應對攻擊,進而改善組織的安全態勢。
譯者介紹
陳峻(Julian Chen),51CTO社區編輯,具有十多年的IT項目實施經驗,善于對內外部資源與風險實施管控,專注傳播網絡與信息安全知識與經驗。
原文標題:How to Use ChatGPT for Malware Analysis,作者:ANY.RUN
