LLMalMorph: Over de haalbaarheid van het genereren van malwarevarianten met behulp van grote taalmodellen
LLMalMorph: On The Feasibility of Generating Variant Malware using Large-Language-Models
July 12, 2025
Auteurs: Md Ajwad Akil, Adrian Shuai Li, Imtiaz Karim, Arun Iyengar, Ashish Kundu, Vinny Parla, Elisa Bertino
cs.AI
Samenvatting
Grote Taalmodellen (LLMs) hebben softwareontwikkeling en geautomatiseerde codegeneratie getransformeerd. Gemotiveerd door deze vooruitgang onderzoekt dit artikel de haalbaarheid van LLMs bij het aanpassen van malwarebroncode om varianten te genereren. We introduceren LLMalMorph, een semi-geautomatiseerd framework dat gebruikmaakt van semantisch en syntactisch codebegrip door LLMs om nieuwe malwarevarianten te genereren. LLMalMorph extraheert functieniveau-informatie uit de malwarebroncode en maakt gebruik van speciaal ontworpen prompts in combinatie met strategisch gedefinieerde codetransformaties om het LLM te begeleiden bij het genereren van varianten zonder resource-intensieve fine-tuning. Om LLMalMorph te evalueren, verzamelden we 10 diverse Windows-malwaremonsters van verschillende typen, complexiteit en functionaliteit en genereerden we 618 varianten. Onze grondige experimenten tonen aan dat het mogelijk is om de detectiepercentages van antivirusengines van deze malwarevarianten tot op zekere hoogte te verlagen terwijl de functionaliteit van de malware behouden blijft. Daarnaast behaalden, ondanks het niet optimaliseren tegen op Machine Learning (ML) gebaseerde malware-detectoren, verschillende varianten ook opmerkelijke aanvalssuccespercentages tegen een op ML gebaseerde malwareclassificator. We bespreken ook de beperkingen van de huidige LLM-mogelijkheden bij het genereren van malwarevarianten uit broncode en beoordelen waar deze opkomende technologie staat in de bredere context van malwarevariantgeneratie.
English
Large Language Models (LLMs) have transformed software development and
automated code generation. Motivated by these advancements, this paper explores
the feasibility of LLMs in modifying malware source code to generate variants.
We introduce LLMalMorph, a semi-automated framework that leverages semantical
and syntactical code comprehension by LLMs to generate new malware variants.
LLMalMorph extracts function-level information from the malware source code and
employs custom-engineered prompts coupled with strategically defined code
transformations to guide the LLM in generating variants without
resource-intensive fine-tuning. To evaluate LLMalMorph, we collected 10 diverse
Windows malware samples of varying types, complexity and functionality and
generated 618 variants. Our thorough experiments demonstrate that it is
possible to reduce the detection rates of antivirus engines of these malware
variants to some extent while preserving malware functionalities. In addition,
despite not optimizing against any Machine Learning (ML)-based malware
detectors, several variants also achieved notable attack success rates against
an ML-based malware classifier. We also discuss the limitations of current LLM
capabilities in generating malware variants from source code and assess where
this emerging technology stands in the broader context of malware variant
generation.