LLMs para Análise de Malware: Desofuscando e Classificando Código Malicioso
O Desafio da Análise Manual de Malware
Analistas de malware recebem milhares de amostras por dia. A análise estática tradicional exige horas de trabalho manual: reversão de binários, desofuscação de scripts, identificação de técnicas e documentação. LLMs eliminam a maior parte desse trabalho: um script PowerShell ofuscado de 500 linhas é desofuscado e explicado em português em 30 segundos. O analista foca no que a IA não consegue — contexto, atribuição e decisões estratégicas — enquanto a IA cuida do trabalho mecânico.
📊 LLMs em Análise de Malware — 2025
Aplicações de LLMs em Análise de Malware
Desofuscação de scripts: LLMs são excepcionais em desofuscar PowerShell, JavaScript, VBA e Python — identificam variáveis renomeadas, decodificam base64 e strings concatenadas, e explicam o propósito do código em linguagem natural. Análise de shellcode: GPT-4 analisa assembly x86/x64 e explica o que cada bloco faz, identificando técnicas de evasão. Mapeamento para MITRE ATT&CK: o modelo mapeia comportamentos observados para técnicas e subtécnicas específicas, gerando relatório estruturado. Geração de assinaturas YARA: a partir da análise, LLM gera regras YARA otimizadas para detecção.
Desofuscação PowerShell
Cole o script ofuscado; o LLM remove camadas de ofuscação, renomeia variáveis para nomes descritivos e explica a intenção de cada bloco.
Mapeamento ATT&CK
LLM identifica automaticamente técnicas MITRE: T1059 (scripting), T1566 (phishing), T1055 (process injection) e gera relatório estruturado.
Geração de YARA
A partir da análise, LLM propõe regras YARA focadas em strings únicas e padrões comportamentais específicos da amostra.
Análise de Sandbox + LLM
Combine Any.run ou Cuckoo sandbox com LLM: comportamento dinâmico + explicação em linguagem natural = análise completa.
Classificação de Família
CodeBERT fine-tuned em amostras de malware classifica família (Emotet, Cobalt Strike, Ryuk) por representação do código fonte.
Pipeline Automatizado
VirusTotal API → LLM analysis → ATT&CK mapping → YARA generation → MISP report: análise completa automatizada em minutos.
⚠️ Cuidados ao Usar LLMs para Análise de Malware
LLMs analisam código estaticamente. Para análise dinâmica, use sandboxes isoladas. Nunca execute amostras em sistemas conectados.
LLMs podem interpretar erroneamente código ofuscado complexo. Valide conclusões críticas com análise manual ou segunda ferramenta.
Enviar amostras de malware reais para APIs externas pode violar acordos de confidencialidade. Use modelos locais (Ollama + Mistral) para amostras sensíveis.
LLMs podem gerar atribuições a grupos APT sem evidência suficiente. Toda atribuição requer corroboração com threat intel adicional.
Para o analista de malware moderno, o LLM é o copiloto que lê o código na velocidade da luz, traduzindo intenção maliciosa para linguagem humana.
— iSecPlus Malware Analysis Team, 2026
Ferramentas e Workflows para Análise de Malware com IA
Workflow recomendado: submeta amostra ao VirusTotal (análise estática multi-engine) e Any.run (sandbox dinâmica); extraia strings e metadados com FLOSS e PE Studio; cole o código no LLM (Claude ou GPT-4) com prompt: “analise este código, explique o que faz, identifique técnicas MITRE ATT&CK e gere regras YARA”; valide as regras YARA geradas em suas amostras históricas. Para integração em pipeline de SOC, use a API do modelo com LangChain para automatizar análise de samples chegando via email ou SOAR. MalGPT e Dr.Gupta são ferramentas especializadas de LLM para análise de malware com prompts otimizados para o domínio.
