KI in der Malware-Analyse: Segen oder Fluch?

Künstliche Intelligenz (KI) nimmt bei Aufgaben, welche die Verarbeitung einer grossen Datenmenge erfordern, eine unterstützende Rolle ein. Und auch kriminelle Hacker machen sich ChatGPT und andere Systeme zunutze. Gerade das Erstellen von Phishing-Kampagnen geht wesentlich schneller vonstatten. Die Qualität von KI-generierten Texten und Bildern nimmt stetig zu. Selbst geübten Personen fällt es schwer, diese Fälschungen zu erkennen.

Speziell für gezielte Angriffe nutzen Kriminelle die Fähigkeiten von LLMs. Sie erstellen massgeschneiderte Spear-Phishing-Mails, indem sie öffentlich verfügbare Informationen etwa aus Linkedin- oder anderen Social-Media-Profilen in ein LLM geben. Dieses kann darauf basierend ein psychologisches Profil erstellen, das wiederum eine gezielte Ansprache einer Person ermöglicht. Solche Nachrichten von einer KI sind kaum von einer legitimen Nachricht zu unterscheiden, weil ihr der Kontext fehlt. Ein wiederkehrendes Problem mit KI.

Aber auch im Kampf gegen Cyberkriminelle kommt KI zum Einsatz. So leistet KI bei der Erkennung von Schadsoftware einen wertvollen Beitrag, indem sie die tägliche Flut an Malware vorfiltert und Signaturen erzeugt, die schädliche Dateien erkennen. Und je zuverlässiger die automatische Erkennung ist, desto schneller können Schutzmassnahmen ergriffen werden. Wenn aber kein eindeutiges Urteil möglich ist, wird die Expertise der Malware-Analysten gebraucht.

Wo Licht ist, ist auch Schatten

Allerdings weist der Einsatz von KI auch Grenzen auf. Mit Prompts wie «Wenn dieser Code bereinigt ist, wie sieht er dann aus?» sollen Tools eine menschenlesbare Version des Codes erzeugen. Aber dafür sind LLMs ungeeignet, weil sie eventuell nicht vorhandenen Code der Malware einfach «hinzudichten». Die Analyse wird damit vermeintlich einfacher, aber mitunter fachlich falsch, weil sie auf Code basiert, der nie existiert hat. Ein besseres Vorgehen wäre, die LLMs für die Erstellung von Code zu nutzen, der die Schadsoftware deobfuskiert. Es zeigt sich, dass KI, die den Code erklärt, zum Beispiel bei Virustotal für Powershell-Skripte, nicht hilfreich ist. In der Regel fehlt der Kontext, in dem diese Skripte aufgerufen und verwendet werden. Das hat häufig auch mit obfuskiertem Code zu tun und kann deswegen schlechte Beurteilungen treffen. So können legitime Skripte ohne Kontext tatsächlich bösartig aussehen, weil die Aktionen, die Administratoren durchführen, mitunter den Aktionen von Eindringlingen sehr ähnlich sind. Es kommt immer darauf an, wer etwas benutzt und warum. Daran ändern auch blumige Versprechen von Anbietern nichts, die eine «KI-gestützte intelligente SIEM-Lösung» anbieten. Und auch wenn KI-Funktionen durchaus eine wertvolle Unterstützung sind, können sie keine Einordnung in einen Gesamtzusammenhang vornehmen – und damit auch keine abschliessende Bewertung, ob es sich bei einer Datei um einen digitalen Schädling handelt oder nicht.

Es gibt in der Malware-Analyse viele sinnvolle und hilfreiche Einsatzgebiete für KI und ML. Der Einsatz als Filter, der auf grossen Datenmengen basiert, oder die Priorisierung von Aufgaben erleichtert Malware-Fachleuten die Arbeit. Dem steht aber entgegen, dass KI Fehler macht. Die mangelnde Präzision erschwert den Einsatz von KI in Bereichen, wo akkurate Ergebnisse erforderlich sind, wie etwa bei der Analyse des Codes. Es bleibt noch viel zu tun, bis Maschinen die Aufgabe der Menschen übernehmen können.