研究人员警告说,使用ChatGPT和其他llm创建的多态恶意软件将迫使安全自动化的重新发明。
概念验证、人工智能(AI)驱动的网络攻击可以通过最新的自动安全检测技术来改变其代码,这证明了创建无法检测的恶意软件的潜力。
来自HYAS实验室的研究人员演示了概念验证攻击,他们称之为BlackMamba,它利用了一个大型语言模型(LLM),ChatGPT所基于的技术,动态合成一个多形键盘记录器功能。研究人员写道,这种攻击是真正多形态的,因为每次BlackMamba执行时,它都会重新合成它的键盘记录能力。
一篇博客文章概述了BlackMamba攻击,展示了人工智能如何允许恶意软件在运行时动态修改良性代码,而不需要任何命令和控制(C2)基础设施,使其能够越过当前的自动安全系统,这些系统被调整为寻找这种类型的行为来检测攻击。
HYAS实验室的研究人员写道:“端点检测和响应(EDR)等传统安全解决方案利用多层数据情报系统来对抗当今一些最复杂的威胁,大多数自动化控制都声称可以防止新奇或不规则的行为模式。但在实践中,这种情况很少发生。”
他们测试了针对EDR系统的攻击,该系统没有被明确识别,但被描述为行业领先,通常导致零警报或检测。
研究人员称,BlackMamba利用其内置的键盘记录功能,可以从设备中收集敏感信息,包括用户名、密码和信用卡号。一旦这些数据被捕获,恶意软件就会使用通用且可信的协作平台(Microsoft Teams)将收集到的数据发送到恶意Teams通道。HYAS实验室的研究人员说,从那里,攻击者可以以各种邪恶的方式利用数据,在暗网上出售数据或将其用于进一步的攻击。
他们写道:“MS Teams是一个合法的沟通和协作工具,被组织广泛使用,因此恶意软件作者可以利用它来绕过传统的安全防御,比如防火墙和入侵检测系统。此外,由于数据是通过加密通道发送的,因此很难检测到该通道正在被用于泄露。”
此外,因为BlackMamba的交付系统是基于一个开源的Python包,它允许开发人员将Python脚本转换为独立的可执行文件,可以在各种平台上运行,包括Windows、macOS和Linux。
HYAS实验室的研究人员表示,随着威胁行为者创建多态恶意软件,利用ChatGPT和其他基于LLM的复杂数据情报系统,这种由人工智能驱动的攻击现在将变得更加普遍。反过来,这将迫使自动化安全技术不断发展,以管理和对抗这些威胁。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
