【臺灣資安大會直擊】惡意程式樣本分析費時費力？資安研究人員運用LLM打造全天全年無休的資安研究助手

資安團隊每天收到大量攻擊示警，威脅研究人員需要投入大量時間及心力，排除誤報，找出真正的資安威脅，TXOne資安團隊近期分享如何運用LLM模型來打造逆向資安專家，7x24全年無休輔助資安人員，透過威脅分類資料庫及行為鏈，快速判別可疑惡意程式樣本的類型，提高對資安威脅研究的工作效率。

TXOne資安威脅研究員林怡安首先指出，資安人員所面臨的難題，根據牛津大學一篇論文顯示，高達99%的大多數警示是誤報，資安專家通常要花費許多時間排查誤報，才能專注處理真正異常警示，例如過去惡意程式Emotet出現，微軟Defender曾因為設定較嚴格的條件，發出誤報警示，儘管微軟事後澄清為誤報，但是資安人員仍花費不少時間排查誤報。

林怡安表示，即使最後查出的可疑樣本，現代偵測引擎有許多的限制，同一個樣本在不同資安廠商的偵測引擎中的惡意程式分類標籤也不一樣，資安人員需要投入許多時間閱讀許多的資料，研究惡意樣本為何會被歸類為特定類型的惡意程式，並且不容易瞭解哪些程式碼導致惡意行為。

偵測引擎的一些使用限制，例如「特徵碼比對」（Signature Matching）結果，通常使用Yara規則來判斷，但是很難從判別的字符結果，掌握不同行為之間的關聯及它所代表的意義，而使用「動態分析」（Dynamic Analysis）雖然有利用沙盒環境實驗惡意程式，有助資安人員掌握惡意程式不同行為間的關聯，但是執行動態分析耗費不少時間之外，也可能面臨反分析的種種手法，例如要求輸入特定的Key才能執行惡意程式。

另外，如果參考EDR/XDR提供的威脅報告，雖然可以關聯圖呈現事件內不同事件的關係，但是仍缺乏說明解釋，需要研究人員進一步去釐清。

上述種種偵測引擎的隱藏限制，提高資安分析團隊在分秒必爭的資安攻防戰下，快速分析研究惡意程式的難度，因此TXOne團隊研究如何運用LLM，協助提高資安威脅研究工作的效率。

已有研究論文基礎

林怡安表示，TXOne參考微軟曾發表的論文，該研究以ChatGPT/GPT4及其他LLM模型解析Binary code，以比較不同模型的表現，該研究利用LLM的自然語言處理來摘要解析Binary code，發現平均的語意相似度達到程式碼的4成7。

TXOne受到啟發，嘗試讓LLM能夠更加理解程式碼所執行的動作，因此他們再參考其他幾篇論文，其中一篇將程式轉為執行流程圖，再將流程圖輸入神經模型，讓模型以比較連續性方式理解程式；另一篇論文則是根據行為模式來提高對惡意程式判斷的準確性，例如可疑程式創造一個檔案後，再執行一個行為，例如註冊或反安裝程式，從一連串行為鏈來提高對惡意程式的判斷準確性。

參考上述研究論文成果，TXOne團隊探索能不能透過LLM幫助資安人員識別惡意程式。

逆向資安威脅研究專家如何利用行為鏈來判別惡意程式？TXOne舉例，當發現一個可疑的樣本首先執行刪除系統回復檔案的行為，以阻止系統回復，其次該樣本利用呼叫及迴圈蒐集Windowsf上的磁碟及檔案及相關的MetaData資訊，接下來發現使用加密演算法ChaCha20加密資料，最後拆解惡意程式樣本建立執行流程圖，從一連串的行為鏈，判斷該惡意程式樣本為勒索軟體，進一步研究後發現，該樣本是去年全球前10名的勒索軟體Black Basta，英國電信龍頭BT曾經受害。

利用LLM輔助判別惡意樣本

在不執行惡意程式樣本下，利用樣本的行為鏈、執行流程圖，最後識別是哪一種惡意軟體，原本由資安威脅研究人員判別，TXOne團隊嘗試由LLM（採用LLaMA 3.1-8B）協助判別，來輔助資安威脅研究人員判別惡意程式，將以往需要大量人工研究的過程，在AI輔助下提高工作效率。

TXOne資深資安威脅研究員Jair Chen表示，傳統資安威脅研究人員分樣惡意樣本，利用Disassembler將樣本拆解為Code Block，同時也用偵測引擎分析樣本的行為，綜合Code Block及行為來建立執行流程圖，在流程圖中標示特定流程執行的惡意行為，以此建立威脅分類資料庫。威脅分類資料庫依據微軟的定義分為15類惡意程式，如間諜程式、釣魚軟體、勒索軟體、廣告軟體等等，每一類都有各自的惡意行為。

Jair Chen指出，之後可以運用AI輔助判別樣本，先輸入惡意程式樣本，拆解出執行流程圖及Assembly Code，LLM模型就能根據威脅分類資料庫、執行流程圖及惡意行為，判別惡意程式類別，並提供解釋及建議。經過測試，一個惡意程式樣本透過Virus Tatal分類，可能判別為木馬、下載器，但是透過LLM可能將該樣本分類為後門程式、糯蟲，通過LLM可以得到額外的觀點，這些分類都是惡意程式樣本的一部分。

LLM能提供惡意樣本分類的說明，例如LLM將某個樣本分類為後門程式，並提出解釋性的說明，包括標示函數指針位址，在DarkFlow Graph的位置，標示出相關的Assembly Code，並且簡單說明可能造成的影響。資安人員再根據LLM的說明，進一步作其他的研究分析。

Jair Chen表示，SOC團隊每天都會收到大量的資安攻擊報告，威脅專家要花費大量時間分析樣本，而LLM使用也有其限制，它對Assembly Code及pseudo-C code的解釋性不足，因此仿照威脅研究專家的工作流程，利用行為鏈和LLM建立一位7x24、全年無休的逆向專家，輔助資安人員對惡意程式的分析及分類。