VirusTotal Code Insight: обнаружение скрытых угроз и генеративный ИИ

10 мая 2024

В условиях постоянно меняющихся инструментов кибербезопасности генеративный искусственный интеллект приобретает все большую значимость. Компания VirusTotal представила новую функцию Code Insight на базе ИИ. Суть этой фичи в обнаружении даже тех угроз, которые ускользают от традиционных механизмов детекции.

Уже давно искусственный интеллект (ИИ) и машинное обучение играют решающую роль в защите от вредоносных программ. Однако недавние достижения в области больших языковых моделей (LLM) расширили их возможности, включив в них генерацию и обобщение текста.

Впечатляет то, что когда эти модели обучаются на языках программирования, они могут умело преобразовывать код в объяснения на естественном языке. Это нововведение не только ускоряет анализ вредоносного ПО, но и поддерживает различные приложения кибербезопасности. Осознавая потенциал этой передовой технологии, VirusTotal включил ее в свою VT платформу.

VirusTotal Code Insight — это новая функция, основанная на Sec-PaLM, одной из генеративных моделей искусственного интеллекта, размещенной в Google Cloud AI. Что отличает эту функциональность, так это ее способность генерировать сводные данные на естественном языке с точки зрения эксперта по вредоносному ПО. Это предоставляет аналитикам мощный инструмент, который позволяет выяснить содержание кода.

Где используется функция VirusTotal Code Insight

• исправление прошивки дронов DJI, которые отключают красные полетные огни;
• скрытая кража файлов cookie сеанса WhatsApp;
• фишинговые сообщения для клиентов Tesla;
• при попытках автоматического входа в сеть Medtronic CareLink;
• атаки на биткойн-кошельки;
• боты для увеличения просмотров Tik-Tok;
• несанкционированный доступ к учетной записи Netflix;
• читеры на платформе Roblox;
• автоматизация поиска партнеров в Tinder.

С момента появления Code Insight проанализировал миллионы файлов. Созданные отчеты легко доступны для ознакомления и могут быть использованы через службу VirusTotal Enterprise для масштабного агрегирования, применения результатов. Эта функциональность позволяет командам безопасности быстро и эффективно проверять огромные объемы кода, выявлять потенциальные угрозы и повышать общий уровень безопасности.

Рассмотрим некоторые примеры, которые демонстрируют способ обнаружения угроз с помощью отчетов, созданных Code Insight.

Ситуации показывают не только аналитические возможности инструмента, но и обозначают практическое применение его результатов в реальных сценариях кибербезопасности.

Представьте себе, что вы работаете в команде по кибербезопасности в Roblox и хотите изучить то, что обнаружил Code Insight.

Простой запрос в VT Enterprise, например codeinsight:Roblox, даст более 2000 связанных файлов.

Продолжая предыдущее исследование с помощью Code Insight, давайте сосредоточимся еще более внимательно. Предположим, вы инженер-античит-программист в Roblox и интересуетесь игрой «Murder Mystery 2». Если уточнить поиск в VT Enterprise до codeinsight:Roblox И codeinsight:"Murder Mystery 2" И codeinsight:cheat, результаты будут гораздо более конкретными. Этот уточненный запрос приводит к захватывающей находке — единственному файлу.

Изначально полученный VirusTotal в виде текстового файла, Code Insight правильно классифицирует его как скрипт Lua и предоставляет подробный отчет о его функциональности. Этот пример демонстрирует точность Code Insight в идентификации и анализе информации в определенном контексте. Это оказывается неоценимым преимуществом для целевых расследований кибербезопасности.

Или предположим, что сейчас мы исследуем метод, используемый для модификации прошивки дронов DJI, которая отключает светодиодные фонари во время полета. Чтобы узнать, обнаружил ли Code Insight такие изменения, можно было бы использовать целевой поиск VT Enterprise: codeinsight:DJI AND codeinsight:firmware И codeinsight:lights . Результаты поиска показывают следующее:

Как показывают предыдущие примеры, найти интересные образцы с помощью оператора «codeinsight:» довольно просто. Во многом это связано с тем, что поиск ведется в отчетах на естественном языке, генерируемых ИИ. Эти отчеты анализируют код и функциональность файлов. Такой подход существенно упрощает задачу поиска актуальных угроз кибербезопасности.
Далее мы представим более интригующие случаи, обнаруженные с помощью Code Insight, что еще раз продемонстрирует его эффективность в сфере кибербезопасности:

Кража криптовалюты путем замены адресов из буфера обмена

Скрипт, автоматизирующий процесс входа в сеть Medtronic CareLink.

Скрипт, который крадет файлы cookie сеанса WhatsApp

Как работает VirusTotal Code Insight?

Обнаружение ложноотрицательных результатов

Code Insight анализирует независимо, полагаясь исключительно на содержимое обрабатываемого файла, без доступа к результатам работы антивируса или каким-либо другим связанным метаданным. Хороший пример можно наблюдать в случае ложноотрицательного результата. Объяснение Code Insight помогает нам обнаружить вредоносное ПО, которое не было идентифицировано ни одной антивирусной программой в VirusTotal.

Удаление ложных срабатываний

В другом примере у нас есть файл, который 9 антивирусными системами помечен как троян и вредоносное ПО, но на самом деле это ложное срабатывание. Здесь мы еще раз видим, как Code Insight может быть ценным помощником при управлении инцидентами и анализе потенциального вредоносного ПО. В данном случае объясняется, что это просто скрипт, устанавливающий Postman CLI:

Анализ кода в VirusTotal Intelligence

Этот вид анализа может выполняться с помощью различных моделей искусственного интеллекта, каждая из которых предлагает разный уровень точности и глубины. Однако истинная ценность Code Insight от VirusTotal заключается в его способности масштабировать этот анализ с помощью своей платформы. Это позволяет не только проверять отдельные образцы кода, но также агрегировать, использовать результаты в больших масштабах с помощью службы VirusTotal Intelligence. В результате группы безопасности могут быстро и эффективно проверять огромные объемы кода и выявлять потенциальные угрозы. Таким образом, повышается их эффективность и укрепляется позиция в области безопасности.

Вот пример поиска «codeinsight:keylogger»:

VirusTotal Intelligence находит несколько файлов, которые, согласно отчету Code Insight, фиксируют нажатия клавиш и записывают их в файл журнала. Давайте расширим отчет первого и сможем прочитать подробный анализ, объясняющий поведение этого конкретного кейлоггера:

Часто задаваемые вопросы о VirusTotal Code Insight

Заменяет ли Code Insight существующие технологии обнаружения?

Нет, Code Insight не заменяет существующие методы обнаружения. Скорее, это дополнительный уровень поддержки, призванный повысить производительность аналитиков безопасности. Он предлагает другой взгляд на технические детали и помогает индустрии кибербезопасности улучшить свои технологии.

Заменяет ли Code Insight аналитиков в сфере кибербезопасности?

Нет, функция Code Insight не предназначена для замены людей-аналитиков в сфере кибербезопасности. Вместо этого она служит мощным помощником в повышении производительности и эффективности. Основное преимущество Code Insight - его масштабируемость. Инструмент может выступать в роли продуктивного младшего аналитика, который работает 24/7 и анализирует огромное количество файлов. Специалисты-аналитики получают предварительные анализы, могут сосредоточиться на наиболее интересных или сложных образцах. В конечном счете, цель Code Insight — расширить человеческий опыт, а не заменить его.

Могут ли злоумышленники разработать стратегии, которые запутают Code Insight и спровоцируют ошибки в его суждениях?

Да, это было ожидаемо, и действительно, это происходит с самого момента анонса Code Insight. Хакеры могут разрабатывать стратегии, которые намеренно запутывают LLM при анализе кода и заставляют их совершать ошибки в оценках. Это похоже на то, как они постоянно совершенствуют свою тактику, чтобы обойти или ввести в заблуждение традиционные технологии обнаружения, такие как антивирус, EDR, песочница, IDS/IPS и т. д.

Какие еще ограничения Code Insight и улучшения запланированы в плане развития?

Code Insight постоянно совершенствуется и улучшает свою точность на основе опыта и отзывов пользователей. Одним из текущих ограничений является то, что он использует только код в качестве уникального входного сигнала без какого-либо дополнительного контекста анализируемых случаев. Иногда бывает сложно определить, является ли что-то законным или вредоносным, основываясь исключительно на коде. Например, фрагмент кода, который загружает удаленный файл и выполняет его, может быть либо законным установщиком, либо загрузчиком вредоносного ПО. Отсутствие контекста иногда может привести к отклонениям модели, когда модель делает неверные предположения о назначении кода.

Чтобы устранить это ограничение, VirusTotal планирует предоставить больше контекста Code Insight, что в конечном итоге улучшит его критерии и возможности подробного анализа.