Aprendizado de Máquina para Geração de Código PowerShell
Usando IA pra simplificar a criação de código PowerShell pra cibersegurança.
― 7 min ler
Índice
Nos últimos anos, o foco em cibersegurança aumentou por causa do crescimento das ameaças cibernéticas. Uma das ferramentas mais populares usadas nas práticas de segurança é o PowerShell, uma linguagem de script que permite aos usuários realizar uma ampla gama de tarefas em sistemas operacionais Windows. Infelizmente, essa mesma linguagem é frequentemente explorada por atores maliciosos. Nossa pesquisa investiga como o Aprendizado de Máquina, especificamente a Tradução Automática Neural (NMT), pode ser usada para gerar automaticamente código PowerShell a partir de descrições em linguagem simples. O objetivo é tornar o código ofensivo mais acessível para usuários que talvez não tenham as habilidades técnicas para escrever isso sozinhos.
Contexto
PowerShell é uma linguagem essencial tanto para profissionais de cibersegurança quanto para atacantes. Ela permite tarefas complexas, como acessar serviços do sistema sem precisar instalar software adicional. Isso torna mais difícil para as ferramentas de segurança detectarem atividades maliciosas. No entanto, escrever scripts PowerShell requer um certo nível de expertise, o que pode ser uma barreira para muitas pessoas que querem praticar segurança ofensiva.
A geração automática de código, especialmente código ofensivo, representa um avanço significativo para tornar a cibersegurança mais acessível. Usando modelos de IA, podemos simplificar esse processo, permitindo que usuários com diferentes níveis de habilidade realizem testes de penetração e outras avaliações de segurança sem precisar de muito conhecimento de programação.
Criação do Conjunto de Dados
Para nosso projeto, precisávamos criar dois tipos de conjuntos de dados: um que inclui código PowerShell com descrições em linguagem natural e outro que foca apenas no código. O primeiro conjunto de dados é elaborado para garantir alta qualidade e relevância para aplicações de segurança, enquanto o segundo permite que treinem modelos em PowerShell geral sem uma intenção específica.
Nosso conjunto de dados curado inclui exemplos de várias fontes confiáveis, garantindo que abranja uma ampla gama de técnicas ofensivas. O conjunto de dados só com código foi gerado coletando scripts PowerShell disponíveis publicamente de repositórios online, o que ajuda a melhorar a compreensão do modelo sobre a linguagem em si.
Modelos de Aprendizado de Máquina
Para avaliar nossa abordagem, utilizamos três modelos NMT bem conhecidos: CodeT5+, CodeGPT e CodeGen. Esses modelos foram escolhidos por causa de suas arquiteturas variadas e desempenho em tarefas de geração de código. Cada modelo foi avaliado com base na sua capacidade de gerar código PowerShell com precisão a partir de descrições em linguagem natural.
Treinamos esses modelos em duas fases: pré-treinamento e ajuste fino. A fase de pré-treinamento envolveu permitir que o modelo aprendesse representações gerais de linguagem a partir de um grande conjunto de código PowerShell não rotulado. A fase de ajuste fino utilizou nosso conjunto de dados curado para treinar os modelos mais especificamente na tarefa de gerar código PowerShell ofensivo.
Métricas de Avaliação
Para avaliar a eficácia do código PowerShell gerado, usamos várias métricas:
Similaridade Textual: Essa métrica mede quão próximo o código gerado está do resultado esperado. Usamos métodos de avaliação comuns, como as pontuações BLEU, METEOR e ROUGE-L para avaliar isso.
Análise Estática: Fizemos uma análise estática para verificar se o código gerado seguiu as convenções do PowerShell e está livre de erros de sintaxe. Uma ferramenta especializada foi usada para esse propósito.
Análise Dinâmica: Nessa fase, executamos o código gerado em um ambiente controlado para monitorar seu comportamento. O objetivo era ver se conseguia executar as ações pretendidas sem problemas.
Configuração Experimental
Os experimentos foram conduzidos em um ambiente controlado usando um ambiente Windows virtualizado. Configuramos as máquinas para permitir a execução segura de scripts PowerShell e monitoramos suas atividades usando várias ferramentas. Esse ambiente ajudou a garantir que nossas avaliações fornecessem insights válidos sobre o desempenho dos modelos.
Resultados
Desempenho do Modelo
A avaliação mostrou graus variados de sucesso entre os diferentes modelos. O CodeGen demonstrou capacidades particularmente fortes em gerar código PowerShell preciso, enquanto o CodeT5+ e o CodeGPT também se saíram bem, mas com uma precisão ligeiramente menor.
Similaridade Textual
Ao medir a similaridade textual, descobrimos que os modelos com melhor desempenho alcançaram altas pontuações em todas as métricas de avaliação. A saída desses modelos estava próxima dos trechos de código esperados, indicando que os modelos aprenderam efetivamente a traduzir linguagem natural em comandos PowerShell.
Resultados da Análise Estática
A análise estática confirmou que todos os modelos produziram código com um alto grau de correção sintática. A maior parte do código gerado estava livre de erros graves, destacando a capacidade dos modelos de aderir às convenções de codificação do PowerShell.
Resultados da Análise Dinâmica
Durante a análise dinâmica, executamos os scripts gerados para ver como eles se comportavam em cenários em tempo real. Os resultados mostraram que os modelos eram capazes de produzir scripts que executavam as ações desejadas de forma eficaz, com alta precisão e recall em termos de eventos do sistema acionados pelos comandos.
Desafios
Apesar dos resultados promissores, vários desafios foram identificados ao longo do processo. A falta de dados de treinamento abrangentes específicos para segurança ofensiva limita o desempenho do modelo. Além disso, os modelos tiveram dificuldades com descrições em linguagem natural mais complexas, especialmente aquelas que exigiam compreensão de sutilezas ou contexto.
Trabalhos Futuros
Para abordar esses desafios, futuras pesquisas se concentrarão em reunir conjuntos de dados mais diversos que reflitam cenários do mundo real e expandir a gama de técnicas capturadas. Planejamos aumentar a colaboração com especialistas em cibersegurança para validar os scripts gerados e garantir que sejam não apenas funcionais, mas também eficazes em aplicações do mundo real.
Conclusão
Em resumo, nossa pesquisa demonstrou o potencial de usar aprendizado de máquina para gerar código PowerShell ofensivo a partir de descrições em linguagem natural. Os modelos mostraram desempenho eficaz em traduzir intenções em scripts executáveis, mantendo alta precisão tanto em análises estáticas quanto dinâmicas. Ao tornar a codificação ofensiva mais acessível, buscamos capacitar um público mais amplo a se envolver em práticas de cibersegurança de forma responsável e ética.
Agradecimentos
Agradecemos as contribuições de todos os pesquisadores e profissionais da área de cibersegurança, cujo trabalho lançou as bases para o nosso projeto. Seus insights e expertise são inestimáveis enquanto continuamos a explorar as interseções da inteligência artificial e segurança. À medida que avançamos, estamos comprometidos em garantir o uso responsável de nossas descobertas para melhorar as medidas de segurança e defender contra ameaças potenciais.
Referências
Esta seção incluiria uma lista abrangente de todos os trabalhos referenciados ao longo do estudo, cobrindo tanto textos fundamentais em aprendizado de máquina quanto artigos recentes sobre práticas de segurança ofensiva. Cada referência seria formatada de acordo com diretrizes acadêmicas padrão, garantindo clareza e acessibilidade para leitores que buscam mais informações sobre os tópicos discutidos.
Apêndices
Os apêndices conteriam materiais adicionais que apoiam as descobertas da pesquisa, incluindo tabelas detalhadas dos conjuntos de dados de treinamento, sobreposições das arquiteturas dos modelos e análises suplementares que fornecem uma compreensão mais profunda dos métodos utilizados no projeto.
Considerações Finais
À medida que o cenário da cibersegurança continua a evoluir, nossas abordagens para entender e combater ameaças cibernéticas também devem evoluir. Ao aproveitar os avanços em aprendizado de máquina e processamento de linguagem natural, podemos abrir novos caminhos na luta contra atividades maliciosas, contribuindo, em última análise, para um mundo digital mais seguro.
Título: The Power of Words: Generating PowerShell Attacks from Natural Language
Resumo: As the Windows OS stands out as one of the most targeted systems, the PowerShell language has become a key tool for malicious actors and cybersecurity professionals (e.g., for penetration testing). This work explores an uncharted domain in AI code generation by automatically generating offensive PowerShell code from natural language descriptions using Neural Machine Translation (NMT). For training and evaluation purposes, we propose two novel datasets with PowerShell code samples, one with manually curated descriptions in natural language and another code-only dataset for reinforcing the training. We present an extensive evaluation of state-of-the-art NMT models and analyze the generated code both statically and dynamically. Results indicate that tuning NMT using our dataset is effective at generating offensive PowerShell code. Comparative analysis against the most widely used LLM service ChatGPT reveals the specialized strengths of our fine-tuned models.
Autores: Pietro Liguori, Christian Marescalco, Roberto Natella, Vittorio Orbinato, Luciano Pianese
Última atualização: 2024-04-19 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2404.12893
Fonte PDF: https://arxiv.org/pdf/2404.12893
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.
Ligações de referência
- https://flegrea.github.io
- https://arxiv.org/pdf/2004.10964.pdf
- https://huggingface.co/collections/dessertlab/the-power-of-words-generating-powershell-attacks-from-natur-66223c3e6cd34bb31ce38a69
- https://github.com/dessertlab/powershell-offensive-code-generation/
- https://ctan.org/pkg/pifont
- https://pages.cs.wisc.edu/~remzi/OSTEP/
- https://www.usenix.org/legacy/event/osdi02/tech/waldspurger/waldspurger.pdf