VirusTotal Code Insight: Análisis De Amenazas Mediante IA
El pasado 24 de abril VirusTotal informaba a sus usuarios de la incorporación de Code Insight a su catálogo de funcionalidades. Basada en Sec-PaLM, Code Insight es capaz de generar resúmenes comprensibles para los usuarios desde el punto de vista de una IA especializada en ciberseguridad y malware.
Actualmente, esta nueva funcionalidad permite analizar conjuntos de ficheros de PowerShell que han sido subidos a VirusTotal (excluyendo aquellos archivos que son considerablemente similares a los que fueron procesados previamente, así como los que presenten un tamaño excesivo). No obstante, VirusTotal informaba en la publicación en su blog de que, poco a poco, se irán añadiendo formatos de ficheros adicionales a la lista de aquellos para los que actualmente existe soporte.
El análisis de amenazas mediante IA que proporciona Code Insight tiene el siguiente aspecto:
Además de para obtener información preliminar y fácilmente interpretable por los usuarios antes de realizar un análisis en mayor profundidad, Code Insight es particularmente útil a la hora de detectar posibles falsos positivos y falsos negativos.
El análisis de Code Insight es independiente de los motores antivirus incorporados a VirusTotal. En el siguiente ejemplo es posible observar cómo esta nueva funcionalidad cataloga como malware un fichero de PowerShell que intenta robar las credenciales de Gmail de las víctimas del ataque y que, sin embargo, no ha sido detectado por ningún motor antivirus:
También existen ejemplos para el caso de los falsos positivos. La siguiente muestra es actualmente detectada como maliciosa por dos motores antivirus, mientras que Code Insight la identifica como un script que instala Postman CLI e indica que no es maliciosa. De hecho, es posible observar en el histórico de detecciones que el número de motores antivirus que identifican este fichero de PowerShell como malicioso ha ido disminuyendo progresivamente:
No obstante, VirusTotal señala que aunque los ejemplos expuestos son bastante preciosos, el rendimiento del modelo LLM puede variar dependiendo del caso, pudiendo incluir errores. Existe la posibilidad de que los atacantes desarrollen nuevas estrategias de evasión, esperándose una «competición» entre las campañas de malware y esta nueva aproximación a su análisis. Aunque se recomienda tener en cuenta esta nueva información, sigue siendo necesario interpretarla en combinación con otros datos contextualizados así como de acuerdo a correlaciones relevantes en cada caso.
Lo último a destacar sobre esta nueva funcionalidad es su incorporación a VirusTotal Intelligence; los filtros de búsqueda de VirusTotal incluyen ahora «codeinsight:«, siendo posibles realizar búsquedas en base a si los ficheros son maliciosos y/o si tienen funcionalidad de keylogger:
Si tienes alguna duda sobre los servicios de VirusTotal y las ventajas de su versión Enterprise, puedes ponerte en contacto con nosotros ya que en Hispasec, como reseller oficial del servicio, contamos con un equipo especializado que podrá ayudarte en lo que necesites.
Más información:
Via: unaaldia.hispasec.com