【天穹】TQ-GPT沙箱智能助理,样本分析新体验!

一、概述

近日,天穹沙箱创新推出TQ-GPT沙箱智能分析助理,通过深度学习和理解沙箱分析报告中的关键信息与安全术语,快速准确地解读报告内容,对用户提出的问题做出详细的智能解答。通过整合安全知识数据集构建、运用SFT微调技术增强模型的专业适应性,结合文本向量化和语义表示技术,确保对报告中涵盖的静态规则识别、恶意流量分析、威胁配置评估、威胁情报洞察、动态行为建模以及漏洞利用检测等诸多要素,提供明晰而全面的解读服务。

图1 TQ-GPT主要功能

当前网络威胁态势日趋严峻,数量激增的恶意样本已超出人工分析的能力范围,广大用户和安全专业人士越来越依赖于沙箱自动化分析工具来评判样本的安全性质。然而,传统沙箱分析报告存在诸多痛点问题,如报告内容晦涩难懂、关键信息提取困难、缺乏交互式查询机制,以及跨语言分析能力有限等等,严重制约了分析效率和准确性。

在这种背景下,天穹沙箱推出了搭载大模型自然语言技术的TQ-GPT沙箱智能分析助理。这一创新产品聚焦难点并在以下方面作出改善和提升:

扫除理解障碍: 对于不具备深厚安全背景知识的普通用户,TQ-GPT能够将复杂专业的沙箱报告转化为通俗易懂的语言表述,帮助用户理解为何样本被判定为恶意,消除报告理解方面的障碍。

提高分析效率: 安全从业人员可以利用TQ-GPT快速定位到关注的关键信息点,如C2服务器信息、样本所属家族、高风险行为特征以及恶意网络流量模式等,大幅提升样本分析的速度和精准度。

减轻工作负担: TQ-GPT实现了基于自然语言的问答和查询功能,使研究人员无需耗费大量时间精力逐份阅读和解析报告,显著减轻工作负担。

及时发现威胁: 在跨语言问题上,TQ-GPT具备强大的多语言理解能力,即使是包含非母语信息(比如俄语勒索信件)的样本也能准确解读,确保研究人员能够及时发现并应对各种潜在威胁。

总之,通过集成智能研判威胁理解行为解读等多项功能,并运用提示词融合技术提升模型精度,TQ-GPT沙箱智能分析助理在网络安全防护领域实现了重大突破,显著提升分析工作的智能化水平,全面覆盖不同用户理解沙箱报告的各种需求。

二、如何使用TQ-GPT

初步了解TQ-GPT后,是不是想要立即体验沙箱智能分析助理的服务质量呢?只需按照以下步骤操作,即可快速体验智能问答。

1、进入天穹沙箱登录页面(天穹动态分析沙箱 | 登录页面),投递目标样本,等待分析完成。

图2 投递样本

2、样本分析完成后,点击查看报告按钮进入分析报告页面,在页面的右下角出现TQ-GPT的机器人按钮。

图3 TQ-GPT入口

3、点击TQ-GPT按钮,智能问答即刻启动。智能分析助理迅速整合提炼沙箱的原始报告内容,输出一段表述准确、重点突出的报告总结,帮助用户快速掌握核心结论,并前瞻性地列出您可能想继续提问的问题。“猜您想问”功能基于对样本分析数据的深度学习和理解,智能预测并生成一系列与样本相关的核心问题,涵盖了可能的关注点和待解答疑惑。

用户可直接向TQ-GPT提出系统预设的问题,也可以依据自身需求将悬浮窗拖动至感兴趣的报告部分,即时自定义提问。这种交互设计极大增强了用户体验,使得用户可以根据实际场景轻松获取定制化的分析见解,高效完成对恶意样本的深度剖析及快速决策。

图4 TQ-GPT对话窗口

三、TQ-GPT功能初探

“没有登录账户?”
“没有分析样本?”
没关系,下面我们以不同类型的恶意软件为例,展示TQ-GPT的智能分析能力。

1、勒索病毒

近年来,以Lockbit为代表的勒索病毒如洪水猛兽般一路狂飙,给许多政企带来了不可估量的损失。这里我们以Lockbit 4.0样本为例展开询问。

样本链接Lockbit 4.0 分析报告(内网访问)

问题一:对该样本的行为做一个总结。

图5 行为总结

问题二:将勒索信翻译为中文。

图6 翻译勒索信

问题三:如果我已经被这个样本勒索,有没有办法解密?

图7 勒索解密方案

问题四:请讲解一下该样本使用RPC接口提权的流程。

图8 滥用RPC提权流程

2、黑客工具

CobaltStrike是一款功能强大的框架式渗透工具,在黑客群体和红队中广泛使用。这里我们以一个CobaltStrike样本为例展开询问。

样本链接CobaltStrike 分析报告(内网访问)

问题一:从该样本的威胁配置中可以得到哪些信息?

图9 威胁配置解读

问题二:针对该样本有哪些威胁处置建议?

图10 威胁处置建议

3、APT事件

APT是指高级持续性威胁,是一种隐匿而持久的电脑入侵过程,通常是一个组织针对特定的目标,精心策划的攻击过程。这里我们以Patchwork组织为例展开询问。

样本报告链接APT样本 分析报告(内部访问)

问题一:从报告来看,样本与哪个APT组织存在关联?并对该组织做一个介绍。

图11 APT介绍

问题二:该样本有哪些恶意行为?

图12 样本恶意行为

问题三:该样本有哪些网络告警信息?

图13 网络告警信息

4、僵尸网络

近些年,物联网设备是遭受僵尸网络攻击的重灾区,大量物联网设备因遭受感染变成黑客手中的”肉鸡“。这里我们以Hajime样本为例展开询问。

样本链接Hajime 分析报告(内部访问)

问题一:什么是僵尸网络?Hajime属于僵尸网络吗?

图14 什么是僵尸网络

问题二:从样本的IDS扫描结果中,可以得到哪些结论?

图15 IDS结果分析

5、白加黑样本

白加黑样本常用的一种传播方式是利用压缩包,通过修改图标和伪装文件名等方式诱导用户点击中招。这里我们以一个白加黑样本为例展开询问。

报告链接DLL侧加载样本 分析报告(内部访问)

问题一:该样本压缩包存在哪些风险内容?

图16 压缩包风险行为

问题二:该样本哪个白文件易被利用?并说明详细利用过程。

图17 白加黑利用过程

TQ-GPT还有许多有趣的功能值得探索和发现,欢迎试用体验。在使用中发现任何问题,可随时向我们反馈。

四、总结

TQ-GPT是星图实验室发布的第一款面向安全分析的专用大模型。近年来,团队从未停止对人工智能探索的脚步,积极投身于大语言模型、软件挖掘和流量分析等前沿领域,通过将大模型技术应用于软件安全分析,显著提升对软件漏洞、恶意行为及其他安全隐患的识别和解析能力,为保障网络空间安全提供强有力的技术支撑。

值得一提的是,在中国电子学会主办的第四届ATEC科技精英赛——大模型应用与安全赛事中,星图实验室运用基于大模型微调对Pcap流量包进行识别的方法参与了“赛道四:网络安全大模型”的竞技,并取得了优异的成绩。

尽管如此,目前的TQ-GPT仍存在一些问题,在某些问题的回答上还有些不尽人意,在交互体验上还有优化空间。我们欢迎您随时提出反馈意见,根据您的建议不断改善和优化TQ-GPT,为您提供更优质的服务和体验。

五、技术支持与反馈

TQ-GPT的推出将是沙箱领域的一场重大变革,做地表最强的动态分析沙箱,为每位样本分析人员提供便捷易用的分析工具,始终是我们追求的目标。如果您想了解更多有关TQ-GPT的信息,欢迎随时与我们联系。

技术报告, , ,