{"id":288866,"date":"2023-12-03T00:06:00","date_gmt":"2023-12-02T23:06:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=288866"},"modified":"2024-02-19T07:53:00","modified_gmt":"2024-02-19T06:53:00","slug":"malware-analysen-mit-chatgpt-wissen-aber-kein-verstndnis","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/03\/malware-analysen-mit-chatgpt-wissen-aber-kein-verstndnis\/","title":{"rendered":"Malware-Analysen mit ChatGPT: Wissen, aber kein Verständnis"},"content":{"rendered":"

\"SicherheitMan h\u00f6rt ja immer wieder, dass KI den \"Durchbruch\" bei der \u00dcberwachung auf Sicherheitsvorf\u00e4lle bringen soll. Aber wie schaut es bei der Analyse von Malware durch AI-Modelle aus? Sicherheitsforscher von Check Point Research wollten es genauer wissen. Um herauszufinden, wie gut ChatGPT zwischen rohem Wissen und dem tiefergreifenden Verst\u00e4ndnis von Inhalten und Bedeutungen unterscheiden kann, haben die Sicherheitsforscher von Check Point den KI-Chatbot einem Test unterzogen: Sie haben ChatGPT Malware-Analysen durchf\u00fchren lassen. Die Ergebnisse sind ern\u00fcchternd.<\/p>\n

<\/p>\n

ChatGPT hat sich als transformative Kraft herauskristallisiert und wird oft als Wunderwerkzeug im aktuellen Technologiezyklus angesehen. Skeptiker dagegen stellen die Intelligenz von ChatGPT in Frage und bescheinigen dem Chatbot von OpenAI lediglich einen kurzen Ritt auf der Begeisterungswelle, wie es schon NFTs und der Blockchain prophezeit wurde. Wer K\u00fcnstliche Intelligenz (KI) jedoch schon einmal genutzt hat, sei es zur Erstellung von Texten oder zur Forschung, wei\u00df, dass KI-basierte Tools wochenlange Projekte in eine Angelegenheit von Stunden verwandeln k\u00f6nnen. Soweit so gut.<\/p>\n

Hinter der Begeisterung, der Skepsis und dem Potential verbirgt sich jedoch die unweigerliche Tatsache, dass KI auch f\u00fcr b\u00f6sartige Zwecke, wie der Generierung von schadhaftem Code<\/a> oder Phishing-Mails,<\/a> missbraucht wird. Doch ChatGPT kann nicht nur Malware erzeugen, sondern diese auch dekonstruieren.<\/p>\n

Analyse von Malware als Test<\/h2>\n

In praktischen Tests hat Check Point Research dann ChatGPT mit der komplizierten Aufgabe der Malware-Analyse konfrontiert. Dabei zeigt sich: Trotz der pr\u00e4zisen Zusammensetzung von Sprache und Inhalten offenbart der KI-basierte Chatbot, dass Wissen nicht mit Verst\u00e4ndnis gleichzusetzen ist.<\/p>\n

Die St\u00e4rken von ChatGPT: Sprache und Wissen<\/h3>\n

Die St\u00e4rke von ChatGPT liegt in seiner verbalen Sch\u00e4rfe, der pr\u00e4zisen Auswahl der am passenden W\u00f6rter und deren Platzierung in der Texterzeugung. Daran zeigt sich jedoch auch: ChatGPT arbeitet rein verbal. Seine gesamte Leistung beruht auf der F\u00e4higkeit, zu entscheiden, welches Wort an welcher Stelle in der Antwort am besten geeignet ist. Dies ist einer der wichtigsten Aspekte, die es \u00fcber ChatGPT zu verstehen gilt: Viele seiner Verhaltensweisen sind in gewisser Weise dieser einen Eigenschaft nachgelagert.<\/p>\n

Eine der unmittelbaren Auswirkungen davon ist, dass ChatGPT den Zugang zu einem riesigen Wissensfundus hat. Wenn jemand zu irgendeinem Zeitpunkt in der Geschichte die Frage beantwortet hat und die Antwort in die Trainingsdaten von GPT eingespeist wurde, kann ChatGPT diese Antwort reproduzieren.<\/p>\n

Zum Test haben die Sicherheitsforscher ChatGPT einen Bericht \u00fcber den Verschl\u00fcsselungstrojaner GandCrab<\/a> vorgelegt. GandCrab ist eine ehemalige RaaS (Ransomware-as-a-Service), die von 2018 bis 2019 eine der meistgefragten Ransomware-Familien war und auf Privatpersonen und Unternehmen zielte, die Microsoft Windows nutzten. Legt man ChatGPT einen Bericht \u00fcber die GandCrab-Ransomware vor, ruft es m\u00fchelos Informationen ab und war dabei sogar in der Lage, diese aus einer Suche per Google Scholar zu ziehen.<\/p>\n

Komplexe in kompakte Informationen verwandeln<\/h3>\n

Durch sein Netz von Wortassoziationen hat der Chatbot zudem ein feines Gesp\u00fcr f\u00fcr Grammatik und den Unterschied zwischen wesentlichen und nebens\u00e4chlichen Informationen. Eine der Aufgaben, bei denen ChatGPT am zuverl\u00e4ssigsten arbeitet, ist die Erstellung einer Zusammenfassung bei Eingaben, die f\u00fcr das menschliche Gehirn zu umfangreich zu prozessieren sind. Wenn man ChatGPT zum Beispiel einen Teil eines sehr langen API-Aufrufprotokolls, das von einer Malware erzeugt wurde, vorlegt und bittet, das Protokoll zusammenzufassen, liefert es die folgende n\u00fctzliche Ausgabe:<\/p>\n

Die Malware scheint stark mit der Windows-API zu interagieren und verschiedene Operationen durchzuf\u00fchren, wie z. B. Dateioperationen, Speicherverwaltung, Privilegien-Erweiterung, Laden von Bibliotheken und vor allem kryptografische Operationen.<\/i><\/b><\/p><\/blockquote>\n

Kluft zwischen Wissen und Handeln<\/h3>\n

ChatGPT weist jedoch gleichzeitig eine bemerkenswerte L\u00fccke zwischen Wissen und Handeln auf, die an die Lernstrategie erinnert, Wissen stur auswendig zu lernen, ohne es zu verstehen. Dies offenbarte sich, als wir ChatGPT mit Aufgaben zur Malware-Analyse konfrontierten und offenkundig wurde, dass die Ursache des Problems f\u00fcr den Chatbot darin lag, das Wesen der Informationen zu verstehen.<\/p>\n

Diese Zweiteilung, bestehend aus dem Zugang zu Informationen und dem Verst\u00e4ndnis ihrer Bedeutung, stellt eine Herausforderung dar, die ein tieferes Verst\u00e4ndnis von Zusammenh\u00e4ngen erfordern. Auch bei der Triage – der Identifizierung gutartiger oder b\u00f6sartiger Bin\u00e4rdateien – stie\u00df die KI an ihre Grenzen. <\/i><\/p>\n

Zudem: Obwohl ChatGPT ein k\u00fcnstliches Konstrukt ist, erscheinen viele der Herausforderungen, denen sich die Anwendungen bei der Malware-Analyse gegen\u00fcbersieht, seltsam menschlich. Die Sicherheitsforscher haben dabei diverse Bereiche identifiziert, in denen ChatGPT Defizite aufweist: eine L\u00fccke zwischen Wissen und Handeln, eine Obergrenze des logischen Denkens, Losgel\u00f6stheit vom Fachwissen und mangelhafte F\u00e4higkeit, zielgerichtet zu arbeiten.<\/p>\n

\u00dcberwindung von Herausforderungen<\/h3>\n

Angesichts dieser Herausforderungen hat Check Point Research nach Abhilfema\u00dfnahmen gesucht, um die F\u00e4higkeiten von ChatGPT bei der Malware-Analyse zu verbessern. Ein Proof-of-Concept mit einer stark manipulierten Eingabeaufforderung zeigte die Verbesserungen der F\u00e4higkeit von ChatGPT, einen Analysten w\u00e4hrend der Triage zu unterst\u00fctzen. In dieser Demo wurde ersichtlich, wie der KI-basierte Chatbot bei den Triage-Aufgaben abschneidet:<\/p>\n