Microsoft anunció el martes un agente autónomo de inteligencia artificial (IA) que puede analizar y clasificar el software sin ayuda en un esfuerzo por avanzar en los esfuerzos de detección de malware.
El sistema de clasificación de malware autónomo de Modelo de lenguaje grande (LLM), actualmente es un prototipo, ha recibido un nombre en código Proyecto ira por el gigante tecnológico.
El sistema “automatiza lo que se considera el estándar de oro en la clasificación de malware: revertir completamente la ingeniería de un archivo de software sin ninguna pista sobre su origen o propósito”, dijo Microsoft. “Utiliza descompiladores y otras herramientas, revisa su salida y determina si el software es malicioso o benigno”.
Project IRE, según el fabricante de Windows, es un esfuerzo para permitir la clasificación de malware a escala, acelerar la respuesta de amenaza y reducir los esfuerzos manuales que los analistas deben emprender para examinar las muestras y determinar si son maliciosos o benignos.
Específicamente, utiliza herramientas especializadas para revertir el software de ingeniería, realizando análisis en varios niveles, que van desde análisis binario de bajo nivel hasta la reconstrucción del flujo y la interpretación de alto nivel del comportamiento del código.
“Su API de uso de herramientas permite al sistema actualizar su comprensión de un archivo que utiliza una amplia gama de herramientas de ingeniería inversa, incluidas las cajas de arena de análisis de memoria de Microsoft basados en el proyecto FRETA (se abre en la nueva pestaña), herramientas personalizadas y de código abierto, búsqueda de documentación y múltiples descompiladores”, dijo Microsoft.
Project FRETA es una iniciativa de investigación de Microsoft que permite “barridos de descubrimiento para malware no detectado”, como RootKits y Malware avanzado, en las instantáneas de memoria de los sistemas Linux en vivo durante las auditorías de memoria.
La evaluación es un proceso de varios pasos –
- Las herramientas de ingeniería inversa automatizadas identifican el tipo de archivo, su estructura y las áreas potenciales de interés
- El sistema reconstruye el gráfico de flujo de control del software utilizando marcos como Angr y Ghidra
- El LLM invoca herramientas especializadas a través de una API para identificar y resumir las funciones clave
- El sistema llama a una herramienta de validador para verificar sus hallazgos contra la evidencia utilizada para llegar al veredicto y clasificar el artefacto
El resumen deja un registro detallado de “cadena de evidencia” que detalla cómo el sistema llegó a su conclusión, lo que permite a los equipos de seguridad revisar y refinar el proceso en caso de una clasificación errónea.
En las pruebas realizadas por el equipo del proyecto IRE en un conjunto de datos de los controladores de Windows de acceso público, se ha encontrado que el clasificador marca correctamente el 90% de todos los archivos e identifica incorrectamente solo el 2% de los archivos benignos como amenazas. Una segunda evaluación de casi 4,000 archivos de “objetivo duro” clasificó correctamente casi 9 de cada 10 archivos maliciosos como maliciosos, con una tasa falsa positiva del 4%.
“Según estos primeros éxitos, el prototipo del proyecto IRE se aprovechará dentro de la organización de defensores de Microsoft como analizador binario para la detección de amenazas y la clasificación de software”, dijo Microsoft.
“Nuestro objetivo es escalar la velocidad y la precisión del sistema para que pueda clasificar correctamente los archivos de cualquier fuente, incluso en el primer encuentro. En última instancia, nuestra visión es detectar malware novedoso directamente en la memoria, a escala”.
El desarrollo se produce cuando Microsoft dijo que otorgó un récord de $ 17 millones en premios Bounty a 344 investigadores de seguridad de 59 países a través de su programa de informes de vulnerabilidad en 2024.
Se presentaron un total de 1,469 informes de vulnerabilidad elegibles entre julio de 2024 y junio de 2025, y la recompensa individual más alta alcanza los $ 200,000. El año pasado, la compañía pagó $ 16.6 millones en premios Bounty a 343 investigadores de seguridad de 55 países.
