El aprendizaje profundo y los nuevos avances en inteligencia artificial pueden ahorrar mucho tiempo a los programadores a la hora de analizar y descomponer el malware. Uno de los trabajos más complicados que tienen los programadores de seguridad es analizar el malware para saber cómo funciona, y evidentemente, protegerse contra el mismo dentro de su organización, en una tarea que se hace manual y larga en el tiempo.
Y es que analizar el malware es una tarea manual muy larga que requiere una gran comprensión del código, de la programación, de las técnicas y las vulnerabilidades utilizadas por los ciberdelincuentes. Pero gracias al aprendizaje profundo y a otras investigaciones de inteligencia artificial, los ingenieros de Infosec están investigando formas en que se puede usar el aprendizaje automático para contar con mayor velocidad, eficiencia y automatización a este proceso.
Y es que estos sistemas automatizados deben primero hacer frente al código malicioso, a veces realmente escondido, y que requiere de un preciado tiempo al que el programador a veces no puede dedicarse. Así que este tipo de avances tienen el objetivo de que se libere a los ingenieros para que se concentren en tareas más importantes dentro de la organización.
Y Mandiant es una de las empresas que se amparan en las redes neuronales y la tecnología relacionada para cambiar la forma en las que se descompone y analiza el malware. No obstante en el evento GTC 2022 de Nvvidia, Sunil Vasisht, uno de los científicos de la firma Infosec, presentó un modelo de traducción automática neuronal que puede anotar funciones.
Este modelo de previsión puede tomar código descompilado y usarlo para sugerir nombres descriptivos apropiados para cada uno de los bloques de funciones. Esto sirve para cuando los nombres de funciones o los símbolos se han eliminado de un binario.
En concreto este modelo funciona mediante la aparición de palabras clave de nombre de función a partir de tokens de sintaxis abstracta de archivos ejecutables descompilados.
No obstante el ingeniero describió los métodos típicos que se usan para aplicar ingeniería inversa al malware, incluidas las técnicas que los creadores de malware usan para construir su código para que así sea más difícil de cazar por los programadores de seguridad. Y es que señala que al automatizar las anotaciones de funciones tienen como objetivo abordar los amplios desafíos que la mayoría de los ingenieros inversos encuentran al analizar el malware moderno.
“Esperamos abordar los casos fáciles para que los analistas puedan dedicar su precioso tiempo a casos más importantes», señala Vasisht. «En Mandiant, estos son los desafíos que nos propusimos abordar con un enfoque de aprendizaje automático unificado».