Comment utiliser l'IA quand on est malware analyst ?
Prompts et workflows 2026

En tant que malware analyst, tu vas analyser un rapport de comportement malware issu d un sandbox. Voici les donnees extraites du rapport [RAPPORT_SANDBOX]. Identifie et documente: 1) La chaine d infection complete (vecteur initial, droppers, payload final) en secuencia precise. 2) Les mecanismes de persistence utilises (registry keys, scheduled tasks, services). 3) Les communications C2 detectees (IP, domaine, protocole, intervalle). 4) Les techniques de defense evasion identifiees (anti-VM, anti-sandbox, obfuscation). 5) Les actions destructrices potentielles (wiper, ransomware, exfiltration donnees). Pour chaque observation, cite le malware name et le numero de ligne du rapport source. Structure ta reponse avec des sous-titres claires et des tableaux pour les IOC. Recommande ensuite les etapes de remediation prioritaires classeees par impact et faisabilite. Signale explicitement les zones ou le rapport est ambigu ou incomplet.

Tu es malware analyst specialises en threat intelligence. Tu dois creer une synthese de menaces a partir des sources suivantes: [SOURCE_1: titre et resume court], [SOURCE_2: titre et resume court], [SOURCE_3: titre et resume court]. Ta mission: 1) Identifie les themes communs entre ces sources (TAPIS commun, outils partages, infrastructure C2 similaire). 2) Construit une timeline des campagnes detectees avec dates de premier et dernier acces. 3) Propose des hypotheses sur le regroupement ou la separation des campagnes justifiees par les preuves. 4) Identifie les gaps dinformation (elements non couverts, contradictions entre sources). 5) Evalue le niveau de confiance de chaque regroupement propose sur une echelle 1-5 avec justification. Pour les hypotheses de regroupement, documente les indicateurs techniques qui les soutiennent (hash partages, similarites code, infrastructure commune). Si les sources sont insuffisantes pour un regroupement, indique le clairement. Termine par les implications operationnelles pour les defenses de notre organisation.

En tant que malware analyst, tu dois rediger un rapport technique d incident malware. Voici le resume des faits: [DESCRIPTION_INCIDENT: date detection, systemes impactes, actions immediateprises]. Contexte additionnel: [INDICES_INITIAUX: premiers IOC, comportements anormaux, logs pertinents]. Le rapport doit contenir: 1) Un resume ejecutivo de 3-4 phrases destine aux decisionnaires non techniques. 2) La chronologie detaillee de l incident avec timestamps en format ISO 8601. 3) Lanalyse technique incluant la famille malware identifiee, les vecteurs d acces initiaux, les mouvements lateraux, et les objectifs de lattaquant. 4) La liste complete des IOC en format STIX/TAXII si possible. 5) Le impact assessment quantifie (nombre de systemes, donnees exposees, duree de presence). 6) Les mesures correctives deja mises en place et celles recommandees. 7) Les indicateurs de compromission (IOC) pour detection future. Le ton doit etre factuel et objectif. Ne specule pas sur les motivations de lattaquant sans base factuelle. Inclut un glossary des termes techniques pour les lecteurs non specialises. Le rapport doit pouvoir etre partage avec les partenaires SIEM et les equipes SOC sans modification.

Tu es malware analyst expert en detection. A partir des caracteristiques suivantes du malware [MALWARE_NAME], genere des regles YARA pour detection. Caracteristiques techniques disponibles: [PE_STRUCTURES: sections, imports clefs, entropy], [STRINGS: chaines interessantes trouves dans le binaire], [BEHAVIORS: patterns comportementaux du sandbox], [CRYPTO: algorithmes de chiffrement, cles hardcodees]. Ta reponse doit inclure: 1) Une regle primaire tresspecifique utilisant des chaines uniques ou structures PE rares pour minimiser les faux positifs. 2) Une regle alternative moins stricte pour capture des variants similaires via les comportements. 3) Pour chaque regle: les conditions (strings, modules, hex patterns), les meta (author, date, description, tlp), et les commentaires expliquant la logique de detection. 4) Des conseils de deployment (scope fichiers vs memory, environments cibles). 5) Une liste de faux positifs potentiels identifies et comment les filter. Explicite les limites de detection (evasion possible, versions non couvertes). Ensure que les regles sont compiles sans erreur syntaxique. Les chaines hex doivent utiliser des wildcard si necessaire pour les parties variables. Ne genere jamais de regles qui pourraient correspondre a des binaires legitimes couramment presents dans les environnements cibles.