Virustotal bugün Kod Insight Suite’e güçlü bir katkı açıkladı: kod snippet’lerini kabul eden – sökülmüş veya ayrıştırılmış – ve kötü amaçlı yazılım analistleri için uyarlanmış özlü özetleri ve ayrıntılı açıklamaları döndüren özel bir API uç noktası.
RSA 2023’te Kod Insight’ın çıkışından iki yıl sonra başlatılan bu son nokta, ters mühendislik iş akışlarını otomatikleştirmek ve AI güdümlü analizi doğrudan popüler sökme araçlarına entegre etmek için önemli bir adımdır.
Geleneksel ters mühendislik, analistlerin kod yollarını manuel olarak izlemelerini, davranışları çıkarmasını ve belge bulgularını gerektirir – genellikle karmaşık veya gizlenmiş ikili işlerle uğraşırken sıkıcı bir süreç.
Virustotal’ın yeni uç noktası, api/v3/codeinsights/analyse-binarybu yükü önemli ölçüde azaltır:
- Base64 kodlu bir kod bloğu ve türü (
disassembledveyadecompiled). - İsteğe bağlı olarak, bağlam sağlamak için önceki sorguların ve analistle düzenlenen yanıtların geçmişini yutma.
- İki alanı döndüren:
- özet: İşlevin amacının üst düzey bir görünümü.
- Tanım: İç işlerinin adım adım açıklaması.
Ardışık istekleri zincirleyerek-analist onaylı düzenlemeler de dahil olmak üzere her biri, araştırmadan “öğrenir”, giderek daha doğru analizler sunar ve gizli davranışların keşfedilmesine yardımcı olur.
Yeni eklentinin faydalarını pratik bir örnekle gösterelim. Bir analistin işlevini anlamak için kötü niyetli bir ikili dosyayı analiz etmesi gerektiğini düşünün.
Kesintisiz evlat edinme göstermek için Virustotal, IDA Pro için VT-IDA eklentisini güncelledi ve yeni uç noktayı doğrudan sökme arayüzüne yerleştirdi.
Kabul edilen analizler, özet ve açıklamaların daha sonraki sorgular için bağlam olarak rafine edilebileceği ve kullanılabilir bir “CodeInsight Notebook” doldurulur.
Şüpheli bir ikili kudreti araştıran bir analist:
- Bir anti-kötü niyetli rutinin uygulanmasından şüphelenilen gizlenmiş bir işlev seçin.
- Sökülen snippet’i uç noktaya gönderin ve gizli bir atlama tekniğini tanımlayan bir özet alın.
- Açıklama Açıklamanın nihai iade adresi hesaplamasını atladığını, ardından bu ayrıntıyı ekleyecek şekilde metni düzenleyin.
- Düzenlenen analizi kabul ederek, gelecekteki sorguların bu zenginleştirilmiş bağlamdan yararlanması için not defterine ekleyin.
Defter büyüdükçe, AI asistanı çıktısını rafine eder-String çevirileri veya aksi takdirde manuel çapraz referans gerektiren bellek haritası referansları gibi nüanslı davranışları ortaya çıkarır.
Pratik faydalar ve görsel yardımlar
Deneme testlerinde, analistler ilk kod triyajında harcanan zamanda yüzde 40’a kadar bir azalma bildirdi ve uç nokta daha derin araştırmalar için ilginç işlevleri hızla işaretledi.
Analistler sadece bir işlevi vurgular, eklentiyi çağırır ve iş akışlarından ayrılmadan AI ile çalışan geri bildirim alırlar.
VT-IDA eklentisi, montajdaki İngilizce olmayan dizeleri de vurgular, bunları çevirir ve bellek ofsetlerini tespit eder-kötü amaçlı yazılımlarda yerleşik yerelleştirme veya komut ve kontrol direktiflerini anlamak için çok önemlidir.
Ayrıştırılmış görünümlere geçiş, analizi daha da zenginleştirir. Sökme ham opcodları ve gerçek verileri ortaya çıkarırken, ayrıştırılmış kod daha net kontrol akışı yapıları sunar.
Son nokta her iki gösterimden de yararlanır: daha önce analiz edilen sökülmüş işlevler, ayrıştırılmış analizleri bilgilendirerek, her görünümün en iyisini birleştiren kısa açıklamalarla sonuçlanır.
Topluluk odaklı deneme
Şu anda deneme modunda mevcuttur, hem uç nokta hem de VT-IDA eklentisi, topluluk geri bildirimlerini doğruluğu iyileştirmek ve kapsamı genişletmek için davet etmektedir.
Virustotal, AI tarafından üretilen açıklamaların zaman zaman kenar-durum davranışlarını kaçırabileceğine veya analist incelemesinin öneminin altını çizerek küçük hatalar içerebileceğine dair uyarılar.
Daha fazla analist düzenleme ve önerilere katkıda bulundukça, sistemin yeterliliğinin artması bekleniyor.
İleriye baktığımızda, Virustotal, kod içgörüsünü ek dosya formatlarına ve ters mühendislik platformlarına genişletmeyi ve kötü amaçlı yazılım araştırmacıları için vazgeçilmez bir asistan olarak rolünü sağlamlaştırmayı planlıyor.
Analistler, son nokta ile denemeye, genel GitHub deposu aracılığıyla geri bildirim paylaşmaya ve AI’yı ters mühendislik yaşam döngüsüne daha da entegre edecek yaklaşan geliştirmeler için bizi izlemeye teşvik edilir.
Virustotal’ın yeni kod analizi uç noktası, büyük dil modellerini geleneksel sökme araçlarıyla evlenmede dikkate değer bir ilerlemeyi işaret ediyor – kötü amaçlı yazılım analistlerini, giderek daha karmaşık tehditleri çözdükleri için daha zor değil, daha akıllıca çalışmaya teşvik ediyor.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.