Core Concepts
大型語言模型 (LLM) 能夠有效輔助靜態惡意軟體分析,提升分析效率,但仍需解決機密性、混淆程式碼干擾等問題,並整合至現有分析流程及工具中。
Abstract
研究概述
本研究探討利用大型語言模型 (LLM) 輔助靜態惡意軟體分析的可行性。研究者選用 Babuk 勒索軟體作為分析目標,利用 Ghidra 工具進行反組譯和反編譯,並設計多種提示 (prompt) 指令 ChatGPT (GPT-4) 生成對應的程式碼解釋。
主要發現
- LLM 解釋的準確性: 研究發現,使用反編譯結果作為 LLM 輸入時,準確性最高可達 90.9%,顯示 LLM 具備生成有效解釋以輔助靜態分析的潛力。
- 提示的影響: 指示 LLM 模擬惡意軟體分析師並關注可疑部分的提示能提升解釋的準確性。
- 實務應用: 六位參與研究的靜態分析師認為 LLM 輸出有助於理解惡意軟體功能,提升分析效率。
- 未來挑戰: 研究也發現一些需克服的挑戰,例如:
- 機密性問題: 將程式碼傳輸至外部 LLM 存在資訊洩露風險。
- 混淆程式碼干擾: 混淆技術和垃圾程式碼會降低 LLM 解釋的準確性。
- 整合至現有工具: 需將 LLM 整合至現有分析工具以提升使用效率。
研究結論
LLM 有潛力成為靜態惡意軟體分析的輔助工具,但現階段仍無法完全取代現有分析流程。未來研究方向包括:構建本地 LLM 解決機密性問題、開發更精確的 LLM 模型以應對混淆程式碼、設計更友善的使用者介面整合 LLM 至現有分析工具等。
Stats
使用反編譯結果作為 LLM 輸入時,準確性最高可達 90.9%。
共有六位來自四個不同組織的分析師參與使用者研究。
問卷調查顯示,分析師對 LLM 輸出的流暢度、相關性、資訊量和實用性評分均較高。
Quotes
"將敏感資訊發送給 ChatGPT 對我們組織來說很困難,因為這違反了我們的安全規定。"
"我希望分析工具(例如重新命名函數和添加註釋)中的更改可以反映在 LLM 端。"
"首頁(例如儀表板)上應該顯示摘要和可疑區域。"