Taugt Google Gemini zur Malware-­Analyse?

Die Begeisterung rund um generative KI (GenAI) wächst insbesondere in Branchen wie dem Gesundheitswesen oder der Finanzwirtschaft. Doch was kann GenAI in der Cybersicherheit leisten? Kann sie tatsächlich dabei helfen, unsere digitalen Infrastrukturen zu schützen? Oder birgt sie womöglich neue Risiken? Diese Fragen beschäftigen auch IT-Verantwortliche in der Schweiz. 

Um die Antworten darauf zu finden, haben Sicherheitsexpertinnen und -experten Google Gemini, ein GenAI-Tool, das ursprünglich unter dem Namen «Bard» bekannt war, genauer unter die Lupe genommen. Im Test in der Malware-Analyse kam die kostenpflichtige Version «Gemini Advanced» zum Einsatz, um die Analyse von ausführbaren Dateien (Executable Files) zu untersuchen.

Gemini für die Malware-Analyse: Das Vorgehen

Sicherheitsanalystinnen und -analysten suchen ständig nach Möglichkeiten, um die Effizienz zu steigern und Malware besser zu erkennen. Also stand die Frage im Fokus, ob Gemini bei der Analyse von Schadsoftware helfen kann. Daher wurde das Tool mit verschiedenen Eingabeaufforderungen getestet, um die Auswertung von ausführbaren Dateien zu optimieren.

Folgende Prompts kamen beim Test zum Einsatz

1. Fasse die Hauptverhaltensweisen dieses Codes zusammen.
2. Analysiere und liste API-Aufrufe auf, die häufig mit Malware assoziiert werden.
3. Welche Indicators of Compromise (IOCs) enthält diese Datei?
4. Wie lassen sich die Verhaltensweisen dieser Datei in das «MITRE ATT&CK»-Framework einordnen?
5. Extrahiere eingebettete Strings, die auf böswillige Absichten hinweisen könnten.
6. Vergleiche diese Datei mit bekannten Malware-­Samples und schlage mögliche Klassifikationen vor.
7. Bewerte die potenziellen Auswirkungen dieser Datei, falls sie ausgeführt wird.

Mit diesen gezielten Fragen versuchten die Expertinnen und Experten, Gemini bei der Analyse zu steuern und tiefere Einblicke in das Verhalten von Malware zu gewinnen.

Der Testfall: Ein bekannter Malware-Stealer

Für den Test nutzten sie eine als «Risepro Stealer» bekannte Malware. Diese ausführbare Datei wurde in Microsoft Visual C/C++ kompiliert und hatte eine Ausgangsgrösse von 1300 KB. Nach der Dekompilierung ergab sich ein Codeumfang von 5588 KB.

Zunächst luden die Sicherheitsprofis die Malware in Ghidra und IDA Pro, zwei leistungsstarke Reverse-Engineering-Tools. Ghidra, ein Open-Source-Tool der NSA, ist besonders nützlich zur Dekompilierung ausführbarer Dateien. Es wandelt Binärcode in ein besser lesbares Format um, wodurch sich die Struktur und das Verhalten der Datei leichter analysieren lassen. IDA Pro hingegen ist ein Disassembler, der Maschinencode in Assemblercode umwandelt. Mit dem «Hex-Rays»-Decompiler-Add-on lässt sich dieser Assemblercode wieder in eine Hochsprache wie «C» rekonstruieren, was die Lesbarkeit erheblich verbessert.

Analyse mit Gemini: Verbesserung durch gezielte KI-Prompts

Nach der Dekompilierung kam Gemini zum Einsatz, um die Datei auf auffällige Verhaltensweisen, API-Aufrufe und mögliche Indikatoren für Kompromittierungen zu untersuchen. Diese Analyse brachte einige aufschlussreiche Erkenntnisse in Bezug auf die eingesetzten Prompts:

• API-Aufrufe: Gemini identifizierte API-Aufrufe, die häufig mit schädlicher Software in Verbindung stehen, sodass die Fachleute potenziell gefährliche Teile des Codes priorisieren konnten.
• Verhalten im «MITRE ATT&CK»-Framework: Mithilfe dieses Frameworks liessen sich die Angriffsvektoren und Taktiken der Malware besser verstehen. Die Datei zeigte typische Verhaltensweisen, die auf Systemmodifikationen und externe Kommunikation hindeuteten.
• Indikatoren für Kompromittierungen: IP-Adressen, Domainnamen und Dateihashes, die Gemini extrahierte, gaben wertvolle Hinweise für mögliche Detektionsmassnahmen.

Grenzen von Gemini in der Malware-Analyse

Auch wenn Gemini bei der Analyse unterstützen konnte, gab es einige Herausforderungen:

• Grosse Codebasis: Bei einer grossen Codebasis stiess Gemini an seine Grenzen. Die KI konnte den gesamten Code nicht immer vollständig analysieren, was zu ungenauen Ergebnissen führen kann. Zudem rekonstruiert die Dekompilierung nie den ursprünglichen Quellcode, was das Risiko fehlerhafter Analysen erhöht.
• Obfuskierter Code und gepackte Samples: Malware-Autoren verschleiern ihren Code oft, um eine Analyse zu erschweren. Bei gepackten oder geschützten Dateien kann Gemini diese nicht direkt analysieren. Hier müssen zusätzliche Schritte wie das Entpacken oder Deobfuskieren erfolgen.

Fazit: Ein vielversprechendes Werkzeug mit Potenzial

Die Experimente mit Gemini zeigen, dass generative KI in der Malware-Analyse viel Potenzial hat. In Kombination mit traditionellen Tools wie Ghidra und IDA Pro kann sie den Arbeitsablauf von Analystinnen und Analysten verbessern und wertvolle Einblicke in das Verhalten von Malware liefern.

Doch eins ist klar: KI kann zwar unterstützen, die endgültige Entscheidung liegt jedoch weiterhin bei den menschlichen Sicherheitsprofis. In Zukunft können KI-Werkzeuge wie Gemini zur ersten Anlaufstelle werden, bevor weitere traditionelle Analysen durchgeführt werden.

Obwohl die Debatte über den Einsatz von KI in der Cybersicherheit weitergeht, zeigt der Versuch, dass sie bei richtiger Anwendung ein hilfreicher Assistent für IT-Sicherheitsfachleute sein kann. Es bleibt spannend, zu sehen, wie sich Gemini weiterentwickeln wird – vielleicht als Schlüsselwerkzeug für die Analyse von Android-Malware oder skript­basierten Bedrohungen.