VirusTotal usa l'intelligenza artificiale per la scansione malware: ecco Code Insight

Tra i servizi online più noti e utilizzati che consentono di effettuare la scansione antimalware di file e indirizzi Internet, c’è VirusTotal.

Nella nostra guida a VirusTotal abbiamo visto che si tratta di un servizio online gratuito (sono però disponibili piani a pagamento che offrono funzionalità più evolute) che permette l’analisi di file e URL per la rilevazione di malware, virus, trojan e altri tipi di minacce informatiche. È stato creato nel 2004 da un’azienda spagnola per poi essere acquisito da Google nel 2012 e oggi mantenuto da una società controllata (Chronicle).

Gli utenti possono caricare file o inserire URL su VirusTotal affinché il servizio effettui una scansione utilizzando decine di motori antivirus e antimalware di terze parti, tra cui noti nomi come Sophos, BitDefender, ESET, TrendMicro, Malwarebytes, F-Secure, AVG, Avast, McAfee, Kaspersky, Dr.Web, Symantec e molti altri. Dopo la scansione, VirusTotal fornisce un report dettagliato che indica quante soluzioni antivirus hanno rilevato la presenza di malware nel file o nell’URL analizzato.

VirusTotal è ampiamente utilizzato da professionisti della sicurezza informatica, ricercatori di malware e utenti comuni interessati a verificare la sicurezza di un file o di un sito web prima di aprirlo o visitarlo. L’obiettivo è quello di fornire un servizio di analisi rapido e accurato, per aiutare a identificare potenziali minacce informatiche e migliorare la sicurezza delle informazioni online e offline.

VirusTotal Code Insight, analisi delle minacce con l’intelligenza artificiale generativa

In occasione della RSA Conference di aprile 2023, VirusTotal ha annunciato di aver abbracciato l’utilizzo di un modello generativo espressamente sviluppato per gestire gli aspetti legati al rilevamento del malware e accertare il comportamento di elementi potenzialmente dannosi.

La nuova caratteristica integrata in VirusTotal si chiama Code Insight ed è a sua volta basata sul Google Cloud Security AI Workbench (viene descritta in questo video YouTube), una piattaforma anch’essa appena svelata che si serve del Large Language Models (LLM) Sec-PaLM appositamente messo a punto per gestire le necessità legate alla sicurezza informatica e “comprendere” le operazioni svolte dai file sottoposti a scansione o in esecuzione sul sistema.

In un primo tempo, Code Insight è stata configurata in maniera tale da analizzare un sottoinsieme di file PowerShell caricati su VirusTotal. Il sistema esclude file molto simili a quelli già elaborati in precedenza oltre agli elementi di dimensioni eccessive. Questo approccio consente un uso efficiente delle risorse di analisi, assicurando che solo i file più rilevanti (come quelli PowerShell in formato PS1) siano sottoposti a controllo.

Code Insight aiuta anche a ottenere informazioni sui falsi positivi e negativi poiché la sua analisi è completamente indipendente dai metadati associati (come i risultati dell’antivirus): viene infatti esaminato solo il contenuto del file.

“L’integrazione di LLM nell’arsenale di strumenti per l’analisi del codice rappresenta un progresso significativo che consente ai professionisti della sicurezza di ottenere preziose informazioni sulla struttura e sul comportamento del codice potenzialmente dannoso, migliorando il rilevamento delle minacce e l’efficienza della risposta“, ha commentato Bernardo Quintero, fondatore di VirusTotal.

I tecnici di VirusTotal avevano dichiarato nei giorni scorsi che avrebbero aggiunto il supporto per altri formati di file, accanto al PS1, alla lista di quelli supportati con il preciso obiettivo di estendere il “raggio d’azione” di questa nuova funzionalità. Detto, fatto.

Da oggi Code Insight è capace di analizzare anche file batch in formato BAT e CMD, Shell (SH) e VBScript (VBS), script che Microsoft vuole presto disattivare in Windows 11. Sebbene non vi sia ancora la conferma ufficiale, la nuova versione di Code Insight appare in grado di lavorare anche i file AutoHotkey (AHK) e Python (PY). Quintero ha anche aggiunto che il sistema può effettuare la scansione di file di dimensioni doppie rispetto a prima.

Come nel caso di qualunque altro modello LLM, va detto che i dati restituiti da Code Insight possono essere soggetti a errori e la loro accuratezza risulta essere variabile: gli analisti della sicurezza dovrebbero quindi interpretare le informazioni generate da Code Insight considerando i dati di contesto relativi a ciascun file oggetto di analisi.