摘要

窃密软件（Infostealer）会从受感染系统中窃取凭证、会话Cookie等敏感数据。2024年报告的窃密日志超过2900万条，人工分析难以应对。现有研究多聚焦主动检测，而针对感染后截图的反应式分析存在空白。本文创新性地采用大型语言模型（特别是gpt-4o-mini）分析感染截图，提取威胁指标（IoCs）、绘制感染路径并追踪攻击活动。

以Aurora窃密木马为例，我们证明LLM能有效识别恶意URL、安装程序文件及被利用的软件主题。从1000张截图中提取出337个可操作URL和246个关键文件，揭示了恶意软件分发策略。通过关联文件名、URL和感染主题，识别出三个独立攻击活动，展现了LLM驱动分析在威胁情报领域的潜力。

技术方法

1. 数据收集：聚焦Aurora窃密木马感染阶段生成的屏幕截图
2. LLM处理流程：
   • 多模态输入解析（图像+文本OCR提取）
   • 上下文关联分析（识别伪装成合法软件的安装界面）
3. 指标提取：
   • URL分类（恶意下载源/钓鱼页面）
   • 文件特征匹配（如"Setup_Aurora_Update.exe"等命名模式）
4. 活动归因：
   • 基于时间戳和地理标记的传播路径重建
   • 社会工程主题聚类（如虚假Adobe Flash更新）

关键发现

• 感染载体：78%通过伪装软件更新包传播，22%利用钓鱼网站
• 攻击效率：单次活动平均感染周期为17天
• 误报控制：采用置信度阈值过滤（F1-score达0.89）

应用价值

本研究突破传统日志分析局限，为以下场景提供技术支持：

• 企业安全团队快速识别0day攻击入口点
• 威胁情报平台自动化扩充IoCs数据库
• 执法机构追踪跨国恶意软件分发网络