.webp "Gemini 1.5 Flash modeliyle 12.72 saniyede Malware Diseksiyonu")
Kötü amaçlı yazılımları hızlı ve doğru bir şekilde analiz etme yeteneği çok önemlidir. Geleneksel tersine mühendislik ve kod analizi yöntemleri genellikle yeni tehditlerin muazzam hacmiyle başa çıkmak için çok yavaştır.
Google’ın son hafif ve uygun maliyetli modeli olan Gemini 1.5 Flash, kötü amaçlı yazılım analizinde olağanüstü hız ve verimlilikle devrim yaratacak şekilde tasarlandı.
Bu yazımızda Gemini 1.5 Flash’ın yeteneklerini, gerçek dünyadaki performansını ve dağıtımını destekleyen altyapıyı inceliyoruz.
Gemini 1.5 Flash: Kötü Amaçlı Yazılım Analizinde Bir Oyun Değiştirici
Google Cloud raporuna göre Gemini 1.5 Flash, Gemini 1.5 Pro’nun güçlü yeteneklerini temel alıyor ve hızlı çıkarım ve uygun maliyetli dağıtım için tasarlandı.
Her iki model de aynı çok modlu yetenekleri paylaşıyor ve 1 milyondan fazla token’lık bir bağlam penceresini işleyebiliyor.
Ancak Gemini 1.5 Flash, dikkat ve ileri beslemeli bileşenlerin paralel hesaplanması ve çevrimiçi damıtma teknikleriyle elde edilen optimize edilmiş verimlilik ve hızıyla öne çıkıyor.
Bu mimari optimizasyonlar, Gemini 1.5 Flash’ın dakikada 1.000’e kadar isteği ve dakikada 4 milyon token’ı işleyebilmesini sağlıyor.
Bu yetenek, VirusTotal gibi platformlar tarafından günlük olarak analiz edilen çok sayıda yeni dosyanın ele alınması açısından kritik önem taşıyor. VirusTotal’da her gün ortalama 1,2 milyon yeni benzersiz dosya görülüyor.
Gerçek Dünya Performansı: Hız ve Doğruluk
Gemini 1.5 Flash’ın gerçek dünyadaki performansını değerlendirmek için VirusTotal’ın gelen akışından rastgele seçilen 1.000 Windows yürütülebilir dosyasını ve DLL’yi analiz ettik.
Bu çeşitli seçki hem meşru yazılımları hem de çeşitli kötü amaçlı yazılım türlerini içeriyordu. Sonuçlar etkileyiciydi, Gemini 1.5 Flash her dosyayı ortalama 12,72 saniyede işledi, açma ve derlemeyi kaldırma aşamaları hariç.
Örnek 1: Yanlış Pozitifi 1,51 Saniyede Giderme
Bir örnekte, Gemini 1.5 Flash goopdate.dll (103.52 KB) dosyasını sadece 1.51 saniyede analiz etti. Bu dosya, zaman alıcı manuel inceleme gerektiren yaygın bir olay olan VirusTotal’da tek bir anti-virüs algılamasını tetikledi.
Gemini 1.5 Flash, dosyanın BraveUpdate.exe uygulaması için basit bir yürütülebilir başlatıcı olduğunu kısa sürede tespit etti ve analistlerin uyarıyı yanlış pozitif olarak güvenle reddetmelerine olanak tanıdı.
Örnek 2: Başka Bir Yanlış Pozitifi Çözme
Başka bir örnek ise VirusTotal’da iki anti-virüs motoru tarafından işaretlenen BootstrapPackagedGame-Win64-Shipping.exe (302.50 KB) dosyasıydı.
Gemini 1.5 Flash, derlenmiş kodu yalnızca 4,01 saniyede analiz ederek dosyanın bir oyun başlatıcısı olduğunu ortaya çıkardı. Bu içgörü, analistlerin dosyayı meşru olarak kategorize etmelerine olanak tanıdı ve olası bir yanlış pozitif için gereksiz zaman ve emek harcanmasını önledi.
Örnek 3: Karmaşık Kodla En Uzun İşleme
svrwsc.exe dosyası (5.91 MB) en uzun işlem süresini gerektirdi: 59.60 saniye. XOR şifrelemesi gibi karartma tekniklerine rağmen, Gemini 1.5 Flash analizini bir dakikadan kısa sürede tamamladı.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Örnekte kötü amaçlı bir saldırı tespit edildi ve verileri sızdırmak ve komuta ve kontrol (C2) sunucularına bağlanmak için tasarlanmış arka kapı işlevi tespit edildi.
Örnek 4: Cryptominer Analizi
Gemini 1.5 Flash, colto.exe adlı bir kripto madencisinin derlenmiş kodunu analiz eder. Model, VirusTotal’dan ek meta veri veya bağlam olmadan yalnızca derlenmiş kodu girdi olarak alır.
Gemini 1.5 Flash, yalnızca 12,95 saniyede kapsamlı bir analiz sunarak kötü amaçlı yazılımın bir kripto madencisi olduğunu tespit ediyor.
Karartma tekniklerini vurgular ve indirme URL’si, dosya yolu, madencilik havuzu ve cüzdan adresi gibi temel Tehlike Göstergelerini (IOC’ler) çıkarır.
Örnek 5: Zero-Hour Keylogger’ın Maskesini Kaldırma
Bu örnek, özellikle geleneksel güvenlik çözümlerinin gözden kaçırdığı tehditleri tespit etmede, kodun kötü amaçlı davranışlar açısından analiz edilmesinin gücünü göstermektedir.
Yürütülebilir dosya AdvProdTool.exe (87KB) VirusTotal’a gönderildi ve ilk yükleme ve analiz sırasında tüm antivirüs motorlarından, deneme alanlarından ve algılama sistemlerinden kaçındı.
Ancak Gemini 1.5 Flash gerçek doğasını ortaya çıkarır. Model, yalnızca 4.7 saniyede derlenmiş kodu analiz eder, onu bir keylogger olarak tanımlar ve çalınan verileri sızdırdığı IP adresini ve portu ortaya çıkarır.
Analizde, kodun 443 numaralı porttaki IP adresine güvenli bir TLS bağlantısı kurmak için OpenSSL’i kullandığı vurgulanıyor.
Gemini, klavye giriş yakalama fonksiyonlarının (GetAsyncKeyState, GetKeyState) şüpheli kullanımına ve bunların güvenli kanal (SSL_write) üzerinden veri iletimine olan bağlantısına dikkat çekiyor.
Altyapı ve İş Akışı
Gemini 1.5 Flash’ın etkileyici performansı, Google Compute Engine üzerine kurulu sağlam bir altyapı tarafından destekleniyor.
Çok aşamalı iş akışı, Mandiant Backscatter ve Hex-Rays Decompilers’dan yararlanarak ölçeklenebilir paket açma ve derlemeyi çözme aşamalarını içerir.
Mandiant Geri Saçılımı
Dahili bulut tabanlı bir kötü amaçlı yazılım analiz hizmeti olan Mandiant Backscatter, gelen ikili dosyaları dinamik olarak açar. Açılan ikili dosyalar daha sonra Google Compute Engine’de çalışan bir Hex-Rays Decompilers kümesi tarafından işlenir.
Bu kurulum, derlenen kodun öz ve Gemini 1.5 Flash tarafından analiz edilmeye hazır olmasını sağlar.
Hex-Rays Derleyicisi
Hex-Rays IDA Pro Decompilers, bu işlem hattı için gerekli ölçeklenebilir dekompile etme gücünü sağlar. Ortaya çıkan dekompile edilmiş pseudo-C kodu, Gemini 1.5 Flash tarafından analiz edilmeye hazır bir Google Cloud Storage kovasında saklanır.
Gemini 1.5 Flash’ın etkileyici performansı büyük ölçüde öncesindeki açma ve derlemeyi kaldırma aşamalarının kalitesine bağlıdır.
Analiz için en yüksek kalitede çıktıyı sağlamak için bu alanlarda sürekli iyileştirme esastır. Devam eden geliştirme çabaları, Gemini’nin analitik yeteneklerini geliştirmeye ve paketten çıkarma ve derlemeyi çözme aşamalarını iyileştirmeye odaklanmaktadır.
Gemini 1.5 Flash, geleneksel yöntemlerin ulaşamayacağı hız ve verimlilik sunarak kötü amaçlı yazılım analizinde önemli bir ilerlemeyi temsil ediyor.
Gemini 1.5 Flash, yapay zekanın gücünden ve sağlam bir altyapıdan yararlanarak kötü amaçlı yazılım analizlerine yaklaşımımızı değiştirmeye ve dijital dünyayı daha güvenli hale getirmeye hazırlanıyor.
Örnekler Ayrıntılar
Aşağıdaki tabloda bu yazıda ele alınan ikili örneklere ilişkin ayrıntılar yer almaktadır.
| Dosya adı | SHA-256 |
| goopdate.dll | 0d2115d3de900bcd5aeca87b9af0afac 90f99c5a009db7c162101a200fbfeb2c |
| ÖnyüklemePaketlenmişOyun-Win64-Nakliye.exe | 07db922be22e4feedbacea7f92983f51 404578bd0c495abaae3d4d6bf87ae6d0 |
| svrwsc.exe | 0cdb71e81b07247ee9d4ea1e1005c945 4a5d3eb5f1078279a905f0095fd88566 |
| hasat edilmiş.exe | 091e505df4290f1244b3d9a75817bb1e 7524ac346a2f28b0ef3c689c445beb45 |
| 3DViewer2009.exe | 08f20e0a2d30ba259cd3fe2a84ead658 0b84e33abfcec4f151c5b2e454602f81 |
| AdvProdAracı.exe | 04af0519d0dbe20bc8dc8ba4d97a791a e3e3474c6372de83087394d219babd47 |
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo