Mandiant: KI hilft beim Reverse Engineering von Malware

Dekompilierte Programme zu untersuchen, ist mühsam. Eine neues KI-Modell schlägt Namen für Funktionen vor, was die Analyse vereinfachen soll.

Artikel veröffentlicht am ,
Mandiant macht Malware-Analyse auch mit KI.
Mandiant macht Malware-Analyse auch mit KI. (Bild: REUTERS/Dado Ruvic/Illustration)

Für die Analyse von Schadsoftware oder auch anderen Binärdateien, deren Quellcode nicht verfügbar ist, wird die Anwendung oft dekompiliert, um deren Funktionen besser zu verstehen. Doch auch dieses Umwandeln des Assembler-Codes in vertrautere Programmiersprachen macht eine Übersicht nur bedingt leichter. Die IT-Sicherheitsfirma Mandiant hat nun ein KI-Werkzeug erstellt, dass diese Arbeit vereinfachen soll, wie das Magazin The Register berichtet.

Stellenmarkt
  1. Tender Manager (w/m/d)
    Bechtle GmbH, Hamburg
  2. Embedded Linux Software Engineer (m/w/d)
    QEST Quantenelektronische Systeme GmbH, Holzgerlingen
Detailsuche

Vorgestellt hat die Arbeiten Sunil Vasisht, Staff Data Scientist bei Mandiant, auf der GTC 2022. Zu dem Grundproblem heißt es: "Disassembler können Malware-Funktionen automatisch erkennen und mit Anmerkungen versehen, aber ihre signaturbasierten Methoden sind anfällig und erzeugen keine semantisch aussagekräftigen Namen." Vasisht und sein Team haben versucht, dies durch den Einsatz eines Machine-Learning-Modells zu verbessern.

Zum Training des Modells hat das Team einerseits auf 360.000 Disassembler-Funktionen gesetzt sowie andererseits auf Annotierungen für Funktionsnamen des Werkzeugs IDA und im Laufe eines Jahrzehnts beim Reverse Engineering selbsterstellte Annotierungen für bestimmten Funktionen. Das fertige Modell nutzt diese, um beim Dekompilieren passende Namen für Funktionen vorzuschlagen.

Durch die so mögliche Wiedererkennung bestimmter einfacher Funktionen wie etwa printf() können diese schnell zum besseren Gesamtverständnis beitragen und es bleibt mehr Zeit zur Analyse von eventuell schwieriger zu untersuchenden Teilen des Codes. Das vorgestellte Modell basiert dabei auf einem abstrakten Syntaxbaum (AST) und kann darüber zum Beispiel häufig genutzte Verschlüsselungsfunktionen erkennen. Ein weiteres Modell der Forscher nutzt den Kontrollfluss des Programms sowie erkannte API-Aufrufe, um Funktionsnamen vorzuschlagen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Die große Umfrage
Das sind Deutschlands beste IT-Arbeitgeber 2023

Golem.de und Statista haben 23.000 Fachkräfte nach ihrer Arbeit gefragt. Das Ergebnis ist eine Liste der 175 besten Unternehmen für IT-Profis.

Die große Umfrage: Das sind Deutschlands beste IT-Arbeitgeber 2023
Artikel
  1. USB-C: Europaparlament macht Weg für einheitliche Ladekabel frei
    USB-C
    Europaparlament macht Weg für einheitliche Ladekabel frei

    In der EU gibt es künftig eine Standard-Ladebuchse für Smartphones und weitere Elektrogeräte. Die IT-Wirtschaft sieht die Einigung kritisch.

  2. Monitoring von Container-Landschaften: Prometheus ist nicht alles
    Monitoring von Container-Landschaften
    Prometheus ist nicht alles

    Betreuer von Kubernetes und Co., die sich nicht ausreichend mit der Thematik beschäftigen, nehmen beim metrikbasierte Monitoring unwissentlich einige Nachteile in Kauf. Eventuell ist es notwendig, den üblichen Tool-Stack zu ergänzen.
    Von Valentin Höbel

  3. Philips Hue mit über 100 Euro Rabatt bei Amazon
     
    Philips Hue mit über 100 Euro Rabatt bei Amazon

    Viele verschiedene Produkte von Philips Hue sind bei Amazon im Angebot. Darunter Deckenleuchten, Leuchtmittel und Bewegungssensoren.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 3 Spiele für 49€ • Saturn Gutscheinheft • Günstig wie nie: LG OLED 48" 799€, Xbox Elite Controller 2 114,99€, AOC 28" 4K UHD 144 Hz 600,89€, Corsair RGB Midi-Tower 269,90€, Sandisk microSDXC 512GB 39€ • Bis zu 15% im eBay Restore • MindStar (PowerColor RX 6700 XT 489€) [Werbung]
    •  /