ChatGPT ve Zararlı Yazılım Analizi

ChatGPT : Kasım 2022’de OpenAI tarafından kullanıma sunulan yapay zeka destekli bir sohbet robotudur. ChatGPT, GPT (Generative Pre-training Transformer) dil modelinin, karşılıklı yanıt oluşturma görevi için ince ayarı yapılmış bir çeşididir. Diğer GPT modellerinde olduğu gibi, ChatGPT de metni işlemek ve oluşturmak için bir dönüştürücü mimarisi kullanır. Bununla birlikte, doğal dil değiş tokuşunun nüanslarını ve bağlamını daha iyi anlamak için insan-insan konuşmalarından oluşan geniş bir veri kümesi üzerinde eğitilmiştir. Bu, daha insan benzeri ve belirli bir konuşma için uygun yanıtlar üretmesini sağlar. Genel olarak ChatGPT, konuşma bağlamında insan benzeri yanıtları anlama ve üretme yeteneğine sahip güçlü bir dil modelidir ve bu da onu çeşitli uygulamalar için değerli bir araç haline getirir.

MALWARE ANALİZİ İÇİN CHATGPT NASIL KULLANILIR?

Q.How can we use ChatGPT for our Malware Analysis and Reverse Engineering purposes?

ChatGPT daha önce bahsedilenlere ek olarak şunları da yapabilir:

  1. Basit statik analizlerden elde edilen verileri analiz edip ChatGPT ‘ye bu veriler verildiğinde; kod yapısı ve fonksiyonlar gibi statik analiz yoluyla toplanan verileri alabilir ve bu bilgileri, kodun amacına ve davranışına ilişkin içgörü sağlayan yorumlar oluşturmak için kullanabilir.
  2. ChatGPT, Office belgelerine gömülebilen ve belge açıldığında çalıştırılabilen bir kod türü olan makro kodunu inceleyebilir ve kötü niyetli olup olmadığını belirleyebilir.
  3. Kod karıştırma tekniklerinin kullanılması gibi yöntemlerle kasten anlaşılması güç hale getirilen kodu alıp bizim için daha okunabilir ve anlaşılır hale getirebilir. Yani Obfuscate edilmiş kodu Deobfuscate edebilir.
  4. ChatGPT, kodu alabilir ve analiz yoluyla amaçlanan davranışını belirleyebilir ve kodun neyi başarmaya çalıştığına dair bir açıklama sağlayabilir.
  5. ChatGPT, zararlı analizi sırasında keşfettiği güvenlik açıklarının veya olası saldırı vektörlerinin nasıl ele alınacağına ilişkin öneriler sunarak potansiyel güvenlik tehditlerine karşı korunmaya yardımcı olabilecek önerilerde bulunabilir.

Elimizde şüpheli bir yürütülebilir dosya var ama yeteneklerini bilmiyoruz. İlginç diziler (string ler yani metinsel değerler) var:

İçe Aktarma Tablosunda şüpheli API Çağrıları var:

Elimizdeki bu verileri ChatGPT’ye soralım.

Ve bize bu API Çağrılarının ne için kullanıldığını söyleyebilir:

Makro etkinleştirilmiş şüpheli bir Office Belgesinde şüpheli makro kodunu dosyadan dosyadan çıkartarak ChatGPT’ye soracağız.

#oledump -s -3 –vbadecompresscorrupt “şüpheli dosya” > macrocode.txt

Şimdi elde edilen makro kodu ChatGPT ye soralım.

Teşekkürler