Microsoft anunció el martes un agente autónomo de inteligencia sintético (IA) que puede analizar y clasificar el software sin ayuda en un esfuerzo por avanzar en los esfuerzos de detección de malware.
El sistema de clasificación de malware autónomo de Maniquí de verbo amplio (LLM), actualmente es un prototipo, ha recibido un nombre en código Tesina ira por el coloso tecnológico.
El sistema «automatiza lo que se considera el típico de oro en la clasificación de malware: revertir completamente la ingeniería de un archivo de software sin ninguna pista sobre su origen o propósito», dijo Microsoft. «Utiliza descompiladores y otras herramientas, revisa su salida y determina si el software es bellaco o clemente».
Project IRE, según el fabricante de Windows, es un esfuerzo para permitir la clasificación de malware a escalera, acelerar la respuesta de amenaza y achicar los esfuerzos manuales que los analistas deben emprender para examinar las muestras y determinar si son maliciosos o benignos.
Específicamente, utiliza herramientas especializadas para revertir el software de ingeniería, realizando descomposición en varios niveles, que van desde descomposición binario de bajo nivel hasta la reconstrucción del flujo y la interpretación de detención nivel del comportamiento del código.
«Su API de uso de herramientas permite al sistema modernizar su comprensión de un archivo que utiliza una amplia escala de herramientas de ingeniería inversa, incluidas las cajas de arena de descomposición de memoria de Microsoft basados en el plan FRETA (se abre en la nueva pestaña), herramientas personalizadas y de código amplio, búsqueda de documentación y múltiples descompiladores», dijo Microsoft.
Project FRETA es una iniciativa de investigación de Microsoft que permite «barridos de descubrimiento para malware no detectado», como RootKits y Malware reformista, en las instantáneas de memoria de los sistemas Linux en vivo durante las auditorías de memoria.
La evaluación es un proceso de varios pasos –
- Las herramientas de ingeniería inversa automatizadas identifican el tipo de archivo, su estructura y las áreas potenciales de interés
- El sistema reconstruye el claro de flujo de control del software utilizando marcos como Angr y Ghidra
- El LLM invoca herramientas especializadas a través de una API para identificar y resumir las funciones esencia
- El sistema claridad a una útil de validador para realizar sus hallazgos contra la evidencia utilizada para obtener al veredicto y clasificar el artefacto
El recapitulación deja un registro detallado de «cautiverio de evidencia» que detalla cómo el sistema llegó a su conclusión, lo que permite a los equipos de seguridad revisar y refinar el proceso en caso de una clasificación errónea.
En las pruebas realizadas por el equipo del plan IRE en un conjunto de datos de los controladores de Windows de entrada divulgado, se ha opuesto que el clasificador marca correctamente el 90% de todos los archivos e identifica incorrectamente solo el 2% de los archivos benignos como amenazas. Una segunda evaluación de casi 4,000 archivos de «objetivo duro» clasificó correctamente casi 9 de cada 10 archivos maliciosos como maliciosos, con una tasa falsa positiva del 4%.
«Según estos primeros éxitos, el prototipo del plan IRE se aprovechará interiormente de la estructura de defensores de Microsoft como analizador binario para la detección de amenazas y la clasificación de software», dijo Microsoft.
«Nuestro objetivo es progresar la velocidad y la precisión del sistema para que pueda clasificar correctamente los archivos de cualquier fuente, incluso en el primer entrevista. En última instancia, nuestra visión es detectar malware novedoso directamente en la memoria, a escalera».
El exposición se produce cuando Microsoft dijo que otorgó un récord de $ 17 millones en premios Bounty a 344 investigadores de seguridad de 59 países a través de su software de informes de vulnerabilidad en 2024.
Se presentaron un total de 1,469 informes de vulnerabilidad elegibles entre julio de 2024 y junio de 2025, y la retribución individual más adhesión alcanza los $ 200,000. El año pasado, la compañía pagó $ 16.6 millones en premios Bounty a 343 investigadores de seguridad de 55 países.
