Microsoft ha presentado Project IRE, un agente de IA autónomo capaz de inversa en ingeniería y clasificación de malware a una escala sin precedentes.
El sistema innovador logró una tasa de precisión de 0.98 y un retiro de 0.83 durante las pruebas en los controladores de Windows, marcando un avance significativo en la automatización de la seguridad cibernética.
Project IRE representa el primer sistema de IA para autor un caso de condena lo suficientemente fuerte para el bloqueo automático de malware, identificando con éxito muestras avanzadas de amenaza persistente (APT) que Microsoft Defender ha bloqueado desde su red de miles de millones de dispositivos.
Control de llave
1. Proyecto IRE analiza e identifica automáticamente malware utilizando herramientas de descompilación avanzadas.
2. Logró una precisión del 98% en las pruebas con solo 4% de falsos positivos en muestras desafiantes del mundo real.
3. Implementación de la red de mil millones de dispositivos de Microsoft Defender para automatizar la detección de amenazas.
Análisis de malware automatizado
Project IRE opera a través de un sofisticado conjunto de herramientas de instrumentos de ingeniería inversa, incluidos Angr Framework, Ghidra Decompiler y las cajas de arena de análisis de memoria patentadas de Microsoft basadas en el proyecto FRETA.
El sistema construye gráficos de flujo de control detallados para mapear el comportamiento del software, lo que permite un análisis binario integral sin intervención humana.
A través de su API de uso de herramientas, Project IRE puede invocar funciones especializadas para examinar las estructuras de archivos, reconstruir las rutas de ejecución e identificar patrones de código malicioso.
El agente de IA emplea el análisis de funciones iterativas, examinando sistemáticamente cada componente mientras construye una “cadena de evidencia” para la toma de decisiones auditables.
Este enfoque permite que el sistema maneje muestras complejas como Trojan: win64/rootkit.eh! Mtb (sha256: 86047bb1969d1db4554939555fd450d18c62a3f36294d0a6c3732c88dfbcc4f62), donde se identificó con éxito el roadkktkitklel de readinge. Comportamientos, incluidas las funciones de terminación del proceso y las comunicaciones HTTP de comando y control.
Durante la evaluación contra casi 4,000 archivos de “objetivo duro” que perjudicaron los sistemas automatizados, el proyecto IRE alcanzó 0.89 precisión con solo una tasa de falso positivo del 4%.
El sistema clasificó correctamente muestras como HackTool: Win64/Killav! Mtb (SHA256: B6CB163089F665C05D607A465F1B6272CDD5C949772BAB9CE7227120CF61F971A). ‘Avp.exe’ y ‘360Tray.exe’.
Los resultados de las referencias cruzadas de la herramienta de validador del Proyecto IRE contra el conocimiento de los expertos, asegurando la precisión en escenarios complejos.
Al analizar los mecanismos anti-fondos que involucran interrupciones de software (int 0x29 e int 0x3), el sistema marcó apropiadamente reclamos inciertos para la revisión humana, lo que demuestra el manejo de incertidumbre sofisticado.
Integración en Microsoft Defender
El prototipo se implementará como analizador binario dentro de la organización de defensa de Microsoft, abordando el agotamiento del analista y estandarizando la clasificación de amenazas en las operaciones globales.
Construido en la misma base de agentes que Graphrag y Microsoft Discovery, Project IRE aprovecha modelos de idiomas grandes con experiencia especializada en seguridad.
Microsoft’s colaboración con Emotion Labs contribuyó con innovaciones cruciales en la autonomía cibernética, mientras que el sistema incorpora múltiples herramientas de código abierto, incluidos los descompiladores y los marcos de análisis binarios.
El objetivo final implica detectar un nuevo malware nuevo directamente en la memoria a escala global, transformando cómo las organizaciones se defienden contra la evolución de las amenazas cibernéticas a través del análisis autónomo impulsado por la IA.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
