譯者 | 陳峻

審校 | 重樓

自從我們進(jìn)入數(shù)字化時(shí)代以來，惡意軟件就一直是計(jì)算機(jī)應(yīng)用系統(tǒng)的“心腹大患”。事實(shí)上，每一次技術(shù)進(jìn)步都會(huì)為惡意行為者提供更多的工具，使得他們的攻擊行為更具破壞性。不過，如今生成式人工智能的崛起，似乎讓一直以來的趨勢發(fā)生了逆轉(zhuǎn)。目前，網(wǎng)絡(luò)安全專業(yè)人員正在利用ChatGPT等人工智能工具，分析和對抗惡意軟件。

作為具有廣泛用途的工具，ChatGPT適用于網(wǎng)絡(luò)安全等的眾多應(yīng)用場景。下面，我將向您介紹，它可以協(xié)助惡意軟件分析師執(zhí)行的三項(xiàng)典型AI任務(wù)。這些任務(wù)往往可以極大地簡化和提高應(yīng)對惡意軟件的能力。

1.創(chuàng)建YARA規(guī)則

YARA規(guī)則是根據(jù)特定模式來檢測惡意軟件的重要機(jī)制。為確保達(dá)到適當(dāng)?shù)耐{檢測覆蓋率，分析人員往往需要編寫出許多不同的規(guī)則。不過，編寫此類規(guī)則并非輕而易舉之事，尤其是在時(shí)間緊迫之時(shí)。

值得慶幸的是，ChatGPT可以快速生成此類規(guī)則，從而大幅加快整個(gè)流程，并在很大程度上實(shí)現(xiàn)了自動(dòng)化。我們只需向其聊天機(jī)器人提供適當(dāng)?shù)闹噶罴纯?。?dāng)然，大多數(shù)情況下，我們?nèi)孕枰獙ψ约旱谋硎錾约訚櫳?。如下圖所示，雖然ChatGPT偶爾也會(huì)出錯(cuò)，但是總體而言，它對于YARA規(guī)則的編寫，還是能夠起到不小的幫助。

在截圖中，ChatGPT并未指定字符串可以使用ASCII和wide兩種編碼中的具體哪一種，并且在$str4字符串中遺漏了一個(gè)額外的問題。不過，這些對于一個(gè)能夠在幾秒鐘之內(nèi)生成的規(guī)則而言，足以令人印象深刻，且加快后續(xù)工作進(jìn)程了。

您可以使用如下的提問方式，要求ChatGPT創(chuàng)建對應(yīng)的規(guī)則：

1. GPT，你能幫我寫一條YARA規(guī)則嗎？我希望檢測一個(gè)特定的惡意軟件樣本，該樣本具有這樣的特征：[可替換為具體特征內(nèi)容]。
2. 如何編寫一條能準(zhǔn)確識(shí)別某惡意軟件的YARA規(guī)則？
3. 不要解釋YARA，請?zhí)峁┮粭l規(guī)則，并概述其邏輯。

2. 編寫Suricata規(guī)則

Suricata規(guī)則是有效地檢測和分析惡意軟件的另一個(gè)重要方式。作為一款出色的工具，ChatGPT在此方面能夠提供幾乎不亞于初級分析師所編寫出的規(guī)則。當(dāng)然，由ChatGPT生成的Suricata規(guī)則可能算不上盡善盡美，但是它足以幫助您入門和上手。

從上圖的例子中我們可以看出，雖然GhatGPT仍有改進(jìn)的空間，但是其輸出的結(jié)果可以被當(dāng)作一個(gè)粗略的草稿，為我們的后續(xù)工作打下基礎(chǔ)，并節(jié)省大量的時(shí)間。

您可以使用如下的提問方式，要求ChatGPT創(chuàng)建對應(yīng)的規(guī)則：

1. ChatGPT，請使用如下信息，生成一條能檢測[某個(gè)條件]的Suricata 規(guī)則：

• 選項(xiàng)：[指定選項(xiàng)]
• 行為：[指定行為]
• 頭部：[指定頭部]

2. 請注意，如果無法滿足上述條件，就只創(chuàng)建一條檢測[某個(gè)條件]的規(guī)則。

3.了解惡意活動(dòng)

話說回來，ChatGPT在惡意軟件分析方面的更常見用例在于，能夠更多地了解不同的威脅，并采取的具體行動(dòng)。例如，在下面的示例中，我們向ChatGPT詢問了惡意軟件利用合法實(shí)用程序w32tm.exe的方式，該聊天機(jī)器人給出了如圖所示的可靠回答。

從ChatGPT的上述回答可以看出，它給出了需要怎么做，才能確保正確檢測的良好提示。

此外，我為大家構(gòu)建了一個(gè)免費(fèi)的沙盒。您可以通過鏈接--https://any.run/?utm_source=hackernoon&utm_medium=article&utm_campaign=chatgptanalysis&utm_cnotallow=landing&ref=hackernoon.com，方便地獲取上述信息。該服務(wù)旨在讓您通過與云端安全的Windows VM（虛擬機(jī)）的直接交互，來分析各種可疑文件和鏈接。

它不僅能夠檢測到惡意網(wǎng)絡(luò)流量、進(jìn)程和注冊表的更改，而且可以利用其內(nèi)置的ChatGPT功能，讓你深入了解你所感興趣的對象，例如：被觸發(fā)的Suricata規(guī)則等。

上圖展示的是由ANY.RUN檢測到的、借助人工智能生成的針對惡意進(jìn)程的報(bào)告。憑借它，您可以全面地了解惡意軟件執(zhí)行某項(xiàng)活動(dòng)的方式和原因，以及它對于基礎(chǔ)架構(gòu)安全性的影響。

小結(jié)

綜上所述，以ChatGPT為代表的聊天機(jī)器人一旦被集成到我們?nèi)粘５墓ぷ髁鞒讨?，勢必?huì)大幅提高安全分析師的能力和效率。雖然生成式人工智能目前暫無法給整個(gè)惡意軟件行業(yè)帶來滅頂之災(zāi)，但是諸如ChatGPT之類的產(chǎn)品，顯然已比以往任何時(shí)候都更加便于專業(yè)人員開展安全審查工作，也使得他們能夠更快地應(yīng)對攻擊，進(jìn)而改善組織的安全態(tài)勢。

譯者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)。

原文標(biāo)題：How to Use ChatGPT for Malware Analysis，作者：ANY.RUN