Hemos entrado de lleno en la era ChatGPT. La famosa inteligencia artificial de OpenAI está en boca de todos por las respuestas que pueden ofrecer ante distintos retos. En torno a la ciberseguridad, la compañía Kaspersky ha querido poner a prueba a la herramienta para comprobar sus conocimientos y entrenamientos sobre amenazas virtuales básicas y conocidas como Mimikatz o Fast Reverse Proxy. La prueba dejó buenas sensaciones a los expertos, aunque se mostraron muy prudentes ante la solución, ya que ChatGPT no pudo identificar el hash de WannaCry, uno de los ransomware más famosos de la historia.
Los hallazgos de Kaspersky sobre la fiabilidad de ChatGPT y las amenazas
ChatGPT elaboró un listado de dominios que entran en la clasificación de APT (Amenazas Persistentes Avanzadas) y los describió de manera detallada. Entre ellos, se destacaron los dominios FIN7 1, que el chatbot categorizó como dañinos debido a que su nombre posiblemente busca engañar a los usuarios haciéndoles creer que son legítimos.
Los especialistas de Kaspersky han comprobado que ChatGPT arroja resultados superiores en pruebas de proyectos alojados, en comparación con búsquedas básicas de nombres de dominio o hash. Es probable que esto se deba a la implementación de filtros específicos en los datos con que se ha entrenado el algoritmo, o a posibles fallos en la formulación de las preguntas.
ChatGPT tuvo que someterse a otra evaluación en la que se le pidió que codificara para obtener datos secundarios de un sistema operativo Windows y luego se le cuestionó si esos datos eran una señal de compromiso.
La codificación producida por el asistente de conversación no estaba totalmente afinada, entonces los especialistas de Kaspersky intervinieron manualmente. Se filtraron los resultados en aquellos casos en los que ChatGPT respondía con un ‘sí’ en relación a la presencia de una señal de compromiso. Se añadieron mandos de excepción e informes en formato CSV, se solucionaron pequeños errores y algunos fragmentos se transformaron en comandos individuales, generando así un sencillo escáner de IoC (HuntWithChatGPT.psm1) con capacidad para analizar un sistema remoto usando WinRM.
Después de eso, los expertos de Kaspersky contaminaron una máquina con los agentes perjudiciales Meterpreter y PowerShell Empire. A posteriori, se empleó el explorador, el cual generó un reporte enriquecido con los resultados de ChatGPT. La herramienta fue competente al reconocer dos procesos malévolos de un conjunto de 137 procesos analizados. No se encontró ningún error positivo.
GPT Chat proporcionó información sobre la identificación de estos archivos: «La línea de comando intenta descargar un archivo desde un servidor externo», «se utiliza una técnica de evasión que indica a PowerShell que no aplique los controles de seguridad» o «el código se utiliza para desactivar la grabación y otras medidas de seguridad de Windows».
Con respecto a la segunda amenaza, ChatGPT explicó los motivos por los cuales debía ser catalogado como un indicador de compromiso: “El servicio de inicio de Windows y su cadena pueden estar vinculados a alguna forma de software malicioso u otra actividad dañina, lo que significa que deben ser considerados como un indicio de compromiso”.
Las conclusiones de los expertos
Los resultados preliminares del estudio evidencian prudencia necesaria, aunque ChatGPT presenta gran perspectiva a largo plazo. Estas son las conclusiones que destacaron los expertos en ciberseguridad sobre el uso de la herramienta de OpenAI:
- La verificación de los indicadores de compromiso resulta interesante cuando no se dispone de un EDR activo y se necesita investigar un incidente o hacer un análisis forense.
- Se puede detectar y reconocer las violaciones de seguridad, así como la ocultación de código o malware binarios.
- Es esencial hacer las preguntas adecuadas para obtener datos valiosos sobre hashes y nombres de dominio.
- Es importante tener presente que la red neuronal trabaja con estadísticas, y por lo tanto, se pueden presentar resultados inesperados e imprecisos que aparecen como verdaderos o falsos.
