Virustotal vừa công bố một bước tiến đáng kể trong bộ công cụ Code Insight của mình: một điểm cuối API chuyên dụng được thiết kế để tiếp nhận các đoạn mã — đã được dịch ngược hoặc phân tách — và trả về các bản tóm tắt súc tích cùng mô tả chi tiết, đặc biệt tối ưu cho công tác phân tích mã độc. Sự bổ sung này ra mắt hơn hai năm sau khi Code Insight lần đầu tiên được giới thiệu tại RSA 2023.

Điểm cuối API mới thể hiện một bước tiến quan trọng trong việc tự động hóa quy trình kỹ thuật đảo ngược (reverse engineering) và tích hợp phân tích dựa trên AI trực tiếp vào các công cụ phân tách phổ biến. Điều này giúp giảm đáng kể gánh nặng cho các nhà phân tích bảo mật.

Tự Động Hóa Quy Trình Phân Tích Mã Độc và Kỹ Thuật Đảo Ngược

API Code Insight Mới: Giảm Gánh Nặng Phân Tích

Kỹ thuật đảo ngược truyền thống yêu cầu các nhà phân tích phải tự mình theo dõi các đường dẫn mã, suy luận hành vi và ghi lại kết quả. Đây thường là một quá trình tẻ nhạt, đặc biệt khi xử lý các binary phức tạp hoặc bị che giấu.

Điểm cuối mới của Virustotal, api/v3/codeinsights/analyse-binary, giảm đáng kể gánh nặng này bằng cách:

• **Cung cấp bản tóm tắt ngắn gọn**: Phác thảo chức năng chính của đoạn mã.
• **Diễn giải mã nhị phân**: Chuyển đổi opcodes cấp thấp thành các mô tả dễ hiểu.
• **Phát hiện các mẫu mã độc**: Nhanh chóng xác định các cấu trúc mã hoặc hành vi đáng ngờ.
• **Đề xuất các điểm quan tâm**: Gợi ý các khu vực cần điều tra sâu hơn.

Bằng cách chuỗi các yêu cầu liên tiếp—với mỗi yêu cầu bao gồm các chỉnh sửa đã được nhà phân tích chấp thuận—Code Insight “học” từ quá trình điều tra, cung cấp các phân tích ngày càng chính xác hơn. Điều này giúp khám phá các hành vi ẩn hiệu quả hơn, nâng cao chất lượng phân tích mã độc.

Tích Hợp Sâu Rộng với VT-IDA Plugin và Nâng Cao An Ninh Mạng

Để minh họa lợi ích của plugin mới, hãy tưởng tượng một nhà phân tích cần phân tích một tập tin binary độc hại để hiểu chức năng của nó. Virustotal đã cập nhật VT-IDA plugin của mình cho IDA Pro, nhúng trực tiếp điểm cuối mới vào giao diện phân tách.

Các phân tích được chấp nhận sẽ điền vào một “CodeInsight Notebook”, nơi các bản tóm tắt và mô tả có thể được tinh chỉnh và sử dụng làm ngữ cảnh cho các truy vấn tiếp theo. Một nhà phân tích khám phá một binary đáng ngờ có thể:

• **Chọn một hàm**: Đơn giản là đánh dấu một hàm.
• **Gọi plugin**: Kích hoạt plugin để nhận phản hồi từ AI.
• **Nhận kết quả tức thì**: Có được cái nhìn sâu sắc mà không cần rời khỏi môi trường IDA Pro.

Khi Notebook phát triển, trợ lý AI sẽ tinh chỉnh đầu ra của nó—làm nổi bật các hành vi phức tạp như dịch chuỗi hoặc tham chiếu bản đồ bộ nhớ mà nếu không sẽ yêu cầu đối chiếu thủ công. Điều này đóng góp đáng kể vào việc cải thiện an ninh mạng.

Nâng Cao Hiệu Quả và Khả Năng Hiểu Biết Sâu Sắc

Trong các thử nghiệm, các nhà phân tích đã báo cáo giảm tới **40 phần trăm** thời gian dành cho việc phân loại mã ban đầu. Điểm cuối nhanh chóng gắn cờ các hàm thú vị để điều tra sâu hơn, giúp tập trung nguồn lực hiệu quả hơn.

VT-IDA plugin còn làm nổi bật các chuỗi không phải tiếng Anh trong assembly, dịch chúng và chỉ ra các offset bộ nhớ của chúng. Điều này là cực kỳ quan trọng để hiểu các chỉ thị bản địa hóa hoặc chỉ thị điều khiển và chỉ huy (command-and-control) được nhúng trong mã độc.

Chuyển sang chế độ xem đã được dịch ngược (decompiled views) làm phong phú thêm phân tích. Trong khi phân tách phơi bày các opcodes thô và dữ liệu gốc, mã đã dịch ngược cung cấp các cấu trúc luồng điều khiển rõ ràng hơn. Điểm cuối tận dụng cả hai cách biểu diễn: các hàm phân tách đã được phân tích trước đó cung cấp thông tin cho các phân tích dịch ngược, dẫn đến các giải thích ngắn gọn kết hợp tốt nhất của mỗi chế độ xem.

Hướng Phát Triển và Kêu Gọi Cộng Đồng

Hiện tại, cả điểm cuối API và VT-IDA plugin đều đang trong chế độ thử nghiệm. Virustotal mời cộng đồng gửi phản hồi để tinh chỉnh độ chính xác và mở rộng phạm vi bao phủ. Virustotal cũng cảnh báo rằng các mô tả do AI tạo ra đôi khi có thể bỏ sót các hành vi biên (edge-case behaviors) hoặc chứa lỗi nhỏ, nhấn mạnh tầm quan trọng của việc xem xét lại từ nhà phân tích.

Khi nhiều nhà phân tích đóng góp chỉnh sửa và đề xuất, khả năng thành thạo của hệ thống dự kiến sẽ tăng lên. Trong tương lai, Virustotal có kế hoạch mở rộng Code Insight sang các định dạng tệp và nền tảng kỹ thuật đảo ngược bổ sung, củng cố vai trò của nó như một trợ lý không thể thiếu cho các nhà nghiên cứu mã độc.

Các nhà phân tích được khuyến khích thử nghiệm với điểm cuối, chia sẻ phản hồi qua kho lưu trữ GitHub công khai và theo dõi các cải tiến sắp tới. Những cải tiến này sẽ tiếp tục tích hợp AI vào vòng đời kỹ thuật đảo ngược, giúp công cụ bảo mật này ngày càng mạnh mẽ hơn.

Điểm cuối phân tích mã mới của Virustotal đánh dấu một bước tiến đáng chú ý trong việc kết hợp các mô hình ngôn ngữ lớn (LLM) với các công cụ phân tách truyền thống—trao quyền cho các nhà phân tích mã độc làm việc thông minh hơn, không vất vả hơn, khi họ giải mã các mối đe dọa ngày càng tinh vi.