LA AMENAZA CIBERNÉTICA
PARA PREVENIR. Los analistas de Kaspersky decidieron poner a prueba a ChatGPT para verificar lo que sabe sobre investigación de amenazas sencillas y conocidas, como Mimikatz o Fast Reverse Proxy, entre otras
Imagen de un contenido generado por inteligencia artificial. efe
ChatGPT por el motor de lenguaje text-davinci-003, basado en redes neuronales y entrenado con datos de texto de Internet.
Se utiliza para obtener respuestas a preguntas, resumir y escribir textos e, incluso, resolver problemas relacionados con la seguridad.
De hecho, se han intentado crear con él archivos maliciosos, como correos de phishing o malware polimórfico.
Los analistas de Kaspersky decidieron poner a prueba a ChatGPT para verificar lo que sabe sobre investigación de amenazas sencillas y conocidas, como Mimikatz o Fast Reverse Proxy, entre otras. ¿Cómo se comportó ChatGPT en cuanto a la detección de indicadores de compromiso? La realidad es que no fue capaz de identificar el hash de WannaCry, un ransomware de los más conocidos -si no el que más- de la historia.
Amenazas persistentes
En el caso de las APT (Amenazas Persistentes Avanzadas), ChatGPT generó una lista con algunos dominios incluidos en esta categoría, además de mostrar una descripción. El chatbot calificó como maliciosos los dominios FIN7 1, y detalló que «el nombre del dominio es probablemente un intento de engañar a los usuarios para que crean que es legítimo».
Durante las pruebas, los expertos de Kaspersky determinaron que ChatGPT consigue mejores resultados para desarrollos basados en host que para indicadores simples como nombres de dominio y hash. Es muy posible que esto se deba a determinados filtros en los datos con los que se ha entrenado o a que las preguntas no fueran construidas de forma correcta.
Metadatos
Otra de las pruebas a las que se sometió a ChatGPT fue pedirle que escribiera código para extraer metadatos de un sistema Windows y, tras ello, consultarle si esos metadatos eran un indicador de compromiso.
Algunos fragmentos de código creado por el chatbot no estaban del todo afinados, así que los expertos de Kaspersky intervinieron manualmente.
Filtraron la salida en los casos en que la respuesta de ChatGPT era ‘sí’ respecto a la presencia de un indicador de compromiso, y se agregaron controladores de excepción e informes en CSV, se corrigieron pequeños bugs y convirtieron algunos fragmentos en cmdlets individuales, lo que generó un sencillo scanner IoC (HuntWithChatGPT.psm1) capaz de analizar un sistema remoto a través de WinRM.