⏶2
LLMalMorph:使用大型语言模型生成变种恶意软件的可行性研究
发表
由 
Md Ajwad Akil 提交
Md Ajwad Akil 提交作者: Md Ajwad Akil, Adrian Shuai Li, Imtiaz Karim, Arun Iyengar, Ashish Kundu, Vinny Parla, Elisa Bertino
Md Ajwad Akil, Adrian Shuai Li, Imtiaz Karim, Arun Iyengar, Ashish Kundu, Vinny Parla, Elisa Bertino摘要
大型语言模型(LLM)已经改变了软件开发和自动化代码生成。受这些进展的启发,本文探讨了LLM修改恶意软件源代码以生成变体的可行性。我们引入了LLMalMorph,这是一个半自动化框架,它利用LLM的语义和语法代码理解能力来生成新的恶意软件变体。LLMalMorph从恶意软件源代码中提取函数级信息,并结合定制设计的提示和策略性定义的代码转换,以指导LLM生成变体,而无需资源密集型的微调。为了评估LLMalMorph,我们收集了10个不同类型、复杂性和功能的Windows恶意软件样本,并生成了618个变体。我们全面的实验表明,在保留恶意软件功能的同时,可以一定程度上降低这些恶意软件变体的杀毒引擎检测率。此外,尽管未针对任何基于机器学习(ML)的恶意软件检测器进行优化,但一些变体也成功实现了对基于ML的恶意软件分类器的显著攻击成功率。我们还讨论了当前LLM从源代码生成恶意软件变体的能力局限性,并评估了这项新兴技术在更广泛的恶意软件变体生成背景下的地位。
🔍 重要性: 现代静态检测器可以通过微小的语义保留更改绕过。我们想知道:LLM能否自动生成源代码级别的恶意软件变体?
🛠️ 我们的方法: 我们提出了 LLMalMorph,一个半自动化流程:
从Windows恶意软件中提取函数级代码
使用提示工程LLM(无需微调)进行转换
验证编译和功能等效性
📊 关键结果: 我们针对10多个恶意软件家族生成了618个变体。商业杀毒软件的检测率显示下降——在某些情况下,基于ML的检测器也被规避。
🚀 我们的贡献:
第一个基于LLM的源代码级恶意软件变异流程
完全功能保留,无需模型微调
分析LLM在语义/恶意代码生成方面的局限性
❓ 讨论:
LLM驱动的变异是否应成为检测器鲁棒性基准的一部分?
防御者如何预测这种新兴威胁?
LLM在哪些方面遇到了困难(控制流、混淆)?欢迎提出建议!