Thử nghiệm Sử Dụng ChatGPT để ứng phó sự cố An Toàn Thông Tin Khẩn Cấp — CHFI 2023 (CHFI 10 / CEH VIETNAM)

Hôm nay, khi training trực tuyến trong một buổi live về CHFI v10, tôi có trình bày thử dùng ChatGPT trong Digital Forensic và tìm thấy một vài bài hay, đây là một bài viết của CadoSecurity về sử dụng ChatGPT để phân tích log truy tìm chứng cứ số

“ChatGPT là một ứng dụng đối thoại lặp được xây dựng dựa trên mô hình chuyển văn bản thành văn bản GPT-3, có nghĩa là khi cung cấp một đầu vào văn bản, nó sẽ tạo ra một đầu ra văn bản. Đương nhiên, chúng tôi tự hỏi: “Điều gì trong quy trình ứng phó sự cố lại yêu cầu một thao tác như vậy?”.

Tại Cado, chúng tôi đã xây dựng một công cụ tự động thu thập, xử lý và phân tích dữ liệu pháp y để đẩy nhanh phản ứng sự cố trong môi trường đám mây, vùng chứa và không có máy chủ. Mặc dù nền tảng Cado tự động hiển thị các chi tiết chính liên quan đến sự cố bao gồm nguyên nhân gốc rễ, hệ thống và vai trò bị xâm nhập, v.v., chúng tôi muốn xem những kết luận bổ sung mà ChatGPT có thể đưa ra.

Thiết lập thử nghiệm Điều tra số với ChatGPT

Đầu tiên, chúng tôi đã xử lý một hệ thống EC2 bị xâm nhập đang chạy trong AWS bằng Nền tảng Cado:

Chuyển đến tab Điều tra tự động, Cado hiển thị các sự kiện quan trọng nhất liên quan đến vụ việc. Những sự kiện quan trọng này giúp các nhà phân tích bắt đầu và tiến hành cuộc điều tra của họ một cách liền mạch.

Để xem ChatGPT có thể đưa ra loại kết luận điều tra nào mà không cần sự can thiệp của con người, chúng tôi đã xuất các sự kiện quan trọng này sang định dạng JSON:

Nhận báo cáo từ ChatGPT

Cùng với việc gửi dữ liệu JSON ở trên, chúng tôi đã viết lời nhắc sau (promt) trong OpenAI ChatGPT :

[
    {
      "alarm_information": [
        {
          "attack": "TA0004",
          "description": "Sudo",
          "severity": 3
        }
      ],
      "evidence_id": 1,
      "evidence_name": "aws_compromise.zip",
      "extra": "",
      "filename": "/var/log/auth.log",
      "first_day": false,
      "format": "syslog",
      "host": "ip-172-31-78-104",
      "id": "Y_4RB4UBwZt3WiNd6xM5",
      "index_id": 1,
      "inode": "-",
      "is_folder": false,
      "macb": "M...",
      "notes": "-",
      "query_suggestions": [],
      "sha256": "7aaf91c92fd6152e30a1805219f07ab5d3df289e97f078a7afa0775ea0d20fe5",
      "short": "[sudo] root : TTY=pts/0 ; PWD=/home/admin ; USER=root ; COMMAND=/usr/bin/systemctl restart apache2",
      "source": "LOG",
      "sourcetype": "Log File",
      "tag": null,
      "timestamp": 1658261666,
      "type": "Content Modification Time",
      "user": null
    },
…
]

You are a cybersecurity analyst. 
You investigated a system and decided it was compromised. You filtered down the system events to the ones that show how the incident occurred. You now need to summarise the raw events in an understandable way. Telling a decisive story of what happened, step by step, like in a list, and including reference to the event IDs

Events:
(JSON Data from Above)

Đáp lại, ChatGPT đã trả lại một báo cáo phân loại khá thuyết phục về vụ việc:

1. An unauthorised user gained access to the system using the "Sudo" attack (ID: TA0004) and executed the command "/usr/bin/systemctl restart apache2" (Event ID: CnjI4YQBfslkQnwL65kB)

2. The user then installed PHP and the Apache2 module for PHP using the command "/usr/bin/apt install php libapache2-mod-php" (Event ID: RHjI4YQBfslkQnwL6Zgv)3. The user then installed PHP7.2, the Apache2 module for PHP7.2, and PHP-MySQL using the command "/usr/bin/apt install php7.2 libapache2-mod-php7.2 php-mysql" (Event ID: QnjI4YQBfslkQnwL6Zgv)4. The user then created a new user named "hacker" using the command "/usr/sbin/useradd -m hacker" (Event ID: OHjI4YQBfslkQnwL6Zgv)5. The user then added the user "hacker" to the sudoers group using the command "/usr/sbin/usermod -aG sudo hacker" (Event ID: hHjI4YQBfslkQnwL6Zgv)6. The user then changed the password for the user "hacker" using the command "/usr/bin/passwd hacker" (Event ID: WnjI4YQBfslkQnwL6Zgv)7. The user then accessed the system as the user "hacker" and executed the command "/usr/bin/nano /etc/ssh/sshd_config" to edit the SSH configuration (Event ID: cHjI4YQBfslkQnwL6Zgv)8. The user then restarted the SSH service using the command "/usr/sbin/service ssh restart" (Event ID: PHjI4YQBfslkQnwL6Zgv)

Mặc dù điều này đưa ra một lời giải thích hợp lý về những gì đã xảy ra và cung cấp cho nhà phân tích một lời giải thích nhanh chóng mà con người có thể đọc được về vụ việc — nhưng nó không chính xác 100%. Vì chúng tôi có sẵn các sự kiện hệ thống thô trong nền tảng Cado nên có thể nhanh chóng xác minh đầu ra từ ChatGPT. Ví dụ: trong nền tảng Cado, chúng ta có thể thấy rằng tên người dùng “hacker” không thực sự liên quan đến vụ việc . Đây là một mối quan tâm chung với ChatGPT mà OpenAI đã tự nêu ra — nó có thể gây ảo giác và khi gây ảo giác, nó sẽ tự tin làm như vậy:

Một mối quan tâm tiềm năng khác là quyền riêng tư. Chắc chắn có thể chạy các mô hình GPT được tinh chỉnh cục bộ nhưng các mô hình mạnh nhất sẽ vẫn được điều khiển bằng API trong một thời gian. Và điều đó có nghĩa là gửi dữ liệu cho bên thứ ba.

Thử điều tra với dữ liệu ngắn hơn

Trước khi tiếp tục, chúng tôi muốn thử một điều nữa. Thay vì gửi tất cả các sự kiện trong tab Điều tra tự động của Cado, chúng tôi chỉ gửi những điểm nổi bật từ mỗi sự kiện quan trọng để xem ChatGPT sẽ diễn giải nó như thế nào:

<SAME PROMPT AS BEFORE>
Events:
*** WebShell Activity ***
Detected: 7
- Webshell File (1)
- Webshell Event (6)

*** Malware Installation ***
Detected: 1
- Suspicious Download from Pastebin (1)*** Persistence ***
Detected: 26
- Linux Cronjob File (5)
- Cron Event (13)
- File hiding in Temporary Directory (6)
- User Added (2)*** Command and Control ***
Detected: 2
- Communication over Tor (2)*** Privilege Escalation ***
Detected: 12
- Sudo access as Root (12)*** Anti-Forensics ***
Detected: 1
- Linux Log Cleaner (1)

Mặc dù kết quả có ít thông tin hơn một chút so với trước đây, nhưng nó chắc chắn vẫn hữu ích (và chính xác hơn):

Based on the events recorded, it appears that the system was compromised in the following manner:
- A webshell file was detected (event ID 1).
- The webshell was used to carry out several events (event IDs 6).
- A suspicious download from Pastebin was detected (event ID 1). This likely contained the malware that was installed on the system.
- The malware attempted to establish persistence on the system by creating a Linux cronjob file (event ID 5), scheduling cron events (event ID 13), hiding files in the temporary directory (event ID 6), and adding a new user (event ID 2).
- The malware communicated with its command and control server over Tor (event ID 2).
- The malware attempted to gain elevated privileges on the system by using sudo access as the root user (event ID 12).
- Finally, the malware attempted to clean the Linux logs to cover its tracks (event ID 1).

Overall, it appears that the system was successfully compromised and the attacker carried out various actions to maintain access and evade detection.

Suy nghĩ cuối cùng

Mặc dù chúng tôi chỉ thử nghiệm một thời gian ngắn với ChatGPT, nhưng chúng tôi có thể thấy rõ những lợi ích tiềm năng mà trí tuệ nhân tạo có thể mang lại khi được tối ưu hóa cho trường hợp sử dụng ứng phó sự cố cụ thể, chẳng hạn như:

• Cải thiện thời gian trung bình để giải quyết (MTTR)
• Giảm yêu cầu kỹ năng cho nhà phân tích; Và
• Tăng cường sự rõ ràng cho các giám đốc điều hành để đưa ra quyết định sáng suốt hơn trong trường hợp xảy ra sự cố.

Tuy nhiên, cho đến khi được tối ưu hóa hơn nữa cho trường hợp sử dụng cụ thể này, nhà phân tích vẫn cần thực hiện nhiều công việc thủ công để xác nhận các phát hiện được báo cáo. Ngoài ra, các vấn đề tiềm ẩn khác cần được xem xét bao gồm các vấn đề về an ninh và pháp lý. Ví dụ: OpenAI tuyên bố rằng chỉ dữ liệu công khai mới được gửi và các API và mô hình riêng tư sẽ khả dụng trong tương lai. Tuy nhiên, khi nói đến dữ liệu sự cố, có rất nhiều thông tin nhạy cảm, chẳng hạn như mã số nhân viên, địa chỉ email, thông tin y tế, hồ sơ học sinh, địa chỉ IP, tên người dùng và mật khẩu.

Nguồn CadoSecurity