ChatGPTでマルウェアを分析する方法

翻訳者 |陳俊

レビュー | Chonglou

デジタル時代に入って以来、マルウェアはコンピュータアプリケーションにとって大きな懸念事項となっています。実際、技術の進歩により悪意のある行為者に提供されるツールが増え、攻撃の破壊力は増しています。しかし、生成型人工知能の台頭により、この傾向は逆転したようです。現在、サイバーセキュリティの専門家は、マルウェアの分析と対策にChatGPTなどの AI ツールを活用しています。

ChatGPT は広く使用されているツールであり、ネットワークセキュリティなどの多くのアプリケーションシナリオに適しています。以下では、マルウェアアナリストの実行を支援できる 3 つの典型的な AI タスクを紹介します。これらのタスクにより、マルウェアに対抗する能力が大幅に簡素化され、向上することがあります。

1. YARAルールを作成する

YARAルールは、特定のパターンに基づいてマルウェアを検出するための重要なメカニズムです。適切な脅威検出範囲を確保するために、アナリストは多くの異なるルールを記述する必要があります。しかし、特に時間が重要な場合には、そのようなルールを書くのは簡単な作業ではありません。

ありがたいことに、 ChatGPT はこのようなルールをすばやく生成できるため、プロセス全体が大幅に高速化され、大幅に自動化されます。チャットボットに適切な指示を与えるだけです。もちろん、ほとんどの場合、表現をもう少し磨く必要があります。下の図に示すように、 ChatGPT は時々間違いを犯しますが、全体的にはYARAルールの作成に非常に役立ちます。

スクリーンショットでは、 ChatGPT は文字列をASCIIまたはワイドでエンコードできるかどうかを指定しておらず、 $str4文字列に追加の問題がありません。それでも、数秒で生成できるルールとしてはこれは印象的であり、その後の作業をスピードアップします。

次の質問形式を使用して、 ChatGPT に対応するルールを作成するように依頼できます。

GPT さん、 YARAルールの作成を手伝ってもらえますか?次の特性を持つ特定のマルウェアサンプルを検出したい: [特定の特性に置き換えてください] 。
特定のマルウェアを正確に識別できるYARAルールを作成するにはどうすればよいでしょうか?
YARAを説明するのではなく、ルールを示し、そのロジックを概説します。

2.スリカタ属のルールの記述

Suricataルールは、マルウェアを効果的に検出して分析するためのもう 1 つの重要な方法です。 ChatGPT は、ジュニアアナリストが作成したルールとほぼ同等の優れたルールを提供できる優れたツールです。もちろん、 ChatGPTによって生成されたSuricataルールは完璧ではないかもしれませんが、使い始めるには十分です。

上記の例から、GhatGPT にはまだ改善の余地があるものの、その出力をラフドラフトとして使用してその後の作業の基礎を築き、多くの時間を節約できることがわかります。

次の質問形式を使用して、 ChatGPT に対応するルールを作成するように依頼できます。

ChatGPT さん、以下の情報を使用して、 [特定の条件]を検出できるSuricataルールを生成してください。

オプション: [オプションを指定]
動作: [動作を指定]
ヘッド: [ヘッドを指定]

上記の条件が満たされない場合は、 [条件]を検出するためのルールが 1 つだけ作成されることに注意してください。

3.悪意のある活動を理解する

そうは言っても、マルウェア分析におけるChatGPTのより一般的な使用例は、さまざまな脅威と実行できる具体的なアクションについてさらに詳しく知ることができることです。たとえば、以下の例では、マルウェアが正規のユーティリティw32tm.exeを悪用する方法について ChatGPT に質問したところ、チャットボットは図に示すような信頼性の高い回答を返しました。

上記のChatGPTの回答からわかるように、正しい検出を確実にするために何を行う必要があるかについての良いヒントが提供されています。

さらに、誰でも無料で利用できるサンドボックスも構築しました。上記の情報は、リンクhttps://any.run/?utm_source=hackernoon&utm_medium=article&utm_campaign=chatgptanalysis&utm_cnotallow=landing&ref=hackernoon.comから簡単に入手できます。このサービスは、クラウド内の安全なWindows VM (仮想マシン)と直接やり取りすることで、さまざまな疑わしいファイルやリンクを分析できるように設計されています。

悪意のあるネットワークトラフィック、プロセス、レジストリの変更を検出するだけでなく、組み込みのChatGPT機能を使用して、トリガーされたSuricataルールなどの対象オブジェクトに関する詳細な分析情報も提供します。

上記の画像は、 ANY.RUNによって検出された悪意のあるプロセスに関する AI 生成レポートを示しています。マルウェアがアクティビティを実行する方法と理由、およびそれがインフラストラクチャのセキュリティに与える影響について包括的に理解できます。

まとめ

要約すると、ChatGPT に代表されるチャットボットが日常のワークフローに統合されると、セキュリティアナリストの能力と効率が大幅に向上するはずです。生成 AI によってマルウェア業界全体がすぐに消滅するというわけではありませんが、 ChatGPTのような製品によって、専門家がセキュリティレビューを実施することがこれまで以上に容易になり、攻撃に迅速に対応して組織のセキュリティ体制を改善できるようになっていることは明らかです。