为了加快恶意软件逆向工程的进程,Mandiant FLARE 发布了 XRefer,这是一个在Google Gemini上运行的 IDA Pro 开源插件。
XRefer 解决了浏览复杂恶意软件的挑战,特别是用 Rust 等现代语言编写的恶意软件,它作为 IDA Pro 中的持久伴随视图运行,提供两种主要功能。
首先,XRefer 采用 Gemini 驱动的聚类分析将二进制文件自动分解为功能单元,并利用大型语言模型 (LLM)来识别这些单元之间的目的和相互关系。
通过了解恶意软件的高级结构,分析师可以快速识别关键部分,如命令和控制通信、持久机制和其他关键功能。
分析人员通过这种方法可以快速掌握恶意软件的整体结构,就像使用地图了解城市的布局一样。
其次,XRefer 结合了传统的交叉引用功能,允许分析师根据数据和函数调用在相关代码段之间高效跳转。
借助此功能可以验证 LLM 生成的聚类分析的准确性,这也使得手动分析更容易执行。
XRefer 将自动分析与传统手动技术相结合,使分析师能够更有效地浏览大型复杂的恶意软件样本,从而大大减少了事件响应和恶意软件分类所需的时间。
为了使用 XRefer,必须安装 Python 依赖项,可以在Mandiant 维护的 GitHub 存储库中找到。
它利用 Gemini 的强大功能来增强恶意软件分析工作流程,使分析师能够更深入地了解恶意软件并更有效地应对威胁。
XRefer 的初始版本优先考虑系统代码分析,而不是黑盒 LLM 摘要,后者目前分析代码集群,提供高级见解并支持详细的分析师调查。
未来的发展将扩展聚类分析,包括代码提交,提高可扩展性并实现有针对性的逆向工程。对路径独立聚类方法的研究将通过潜在地消除对路径分析的需求来加速分析。
基于 LLM 的集群合并将通过对相似的集群(例如库相关的集群)进行分组来简化分析,这些集群目前支持Windows文件格式,未来计划扩展对其他文件格式和 Golang 等语言的支持。
项目地址:
https://github.com/mandiant/xrefer
工具介绍:
https://cloud.google.com/blog/topics/threat-intelligence/xrefer-gemini-assisted-binary-navigator?linkId=12133880
原文始发于微信公众号(独眼情报):Google 的 XRefer:复杂恶意软件分析的终极工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论