您当前的位置:首页 > 电脑百科 > 安全防护 > 木马

ChatGPT 创建逃避 EDR 检测的变异恶意软件

时间:2023-06-26 13:16:21  来源:CSO  作者:
网络安全专家已经证明,问题的关键点在于 ChatGPT 和其他大型语言模型(LLM)生成多态或变异代码以规避端点检测和响应(EDR)系统的能力。

ChatGPT 自去年年底发布以来,在全球范围都引起了轰动。但 ChatGPT 在消费者和 IT 专业人士中的受欢迎程度同时也激起了系统漏洞被利用的网络安全噩梦。网络安全专家已经证明,问题的关键点在于 ChatGPT 和其他大型语言模型(LLM)生成多态或变异代码以规避端点检测和响应(EDR)系统的能力。

最近的一系列概念验证攻击展示了如何创建一个看似良性的可执行文件,以便在运行时,它能对 ChatGPT 进行 API 调用。除了复制已经编写的代码片段的示例,ChatGPT 还可以在提示下生成恶意代码的动态、变异版本,从而使网络安全工具难以检测到由此产生的漏洞利用。

“ChatGPT 降低了黑客的标准,使用 AI 模型的恶意行为者可被视为现代的‘脚本小子’。”网络安全公司 GitGuardian 的开发人员 mackenzie Jackson 表示,“ChatGPT 被欺骗生产恶意软件并不算具有开创性,但随着模型变得更好,更多的样本数据被消耗以及不同的产品进入市场,人工智能最终创建出的恶意软件,可能只能被其他用于防御的人工智能系统检测到。谁也不知道这场比赛哪一方会赢。”

提示绕过过滤器以创建恶意代码

ChatGPT 和其他 LLM 具有内容过滤器,可以禁止它们服从一些命令或者提示生成有害内容,例如恶意代码。但是内容过滤器可以被绕过。

几乎所有被报道的通过 ChatGPT 完成的漏洞利用都是通过所谓的“提示工程”实现的,即修改输入提示以绕过工具的内容过滤器并检索所需输出的做法。例如,早期用户发现,他们可以让 ChatGPT 创建它不应该创建的内容——通过“越狱”程序,即在提示框创建假定情景,例如在要求它做某事时,假设它不是人工智能,而是一个意图造成伤害的恶意人员。

“ChatGPT 对系统制定了一些限制,例如过滤器限制了 ChatGPT 通过评估问题上下文提供答案的范围,”专注于 Kube.NETes 的网络安全公司 KSOC 的安全研究主管 Andrew Josephides 说,“如果你要求 ChatGPT 给你写一个恶意代码,它会拒绝这个请求。如果你要求 ChatGPT 编写能够有效执行你打算实现的恶意功能的代码,ChatGPT 可能会为你构建该代码。”

Josephides 认为,每次更新,ChatGPT 都变得更加难以成为恶意软件,但随着不同的模型和产品进入市场,要防止 LLM 被用于恶意目的,我们不能只依靠内容过滤器。

诱使 ChatGPT 利用它被过滤器封闭的能力可能会为一些用户生成有效的恶意代码。并且运用 ChatGPT 修改和微调结果还可以使代码呈现多态性。

例如,一个看起来无害的 Python/ target=_blank class=infotextkey>Python 可执行文件可以生成一个查询发送到 ChatGPT API,以便在每次运行该可执行文件时处理不同版本的恶意代码。这样,恶意操作就会在 exec ()函数之外执行。这项技术如果用来生成一个变异、多态的恶意软件程序,将难以被威胁扫描仪检测到。

多态恶意软件的现有概念证明

今年早些时候,威胁检测公司 HYAS InfoSec 的首席安全工程师Jeff Sims 发表了一份概念验证白皮书,为这种漏洞提供了一个工作模型。他演示了如何在运行时使用提示工程和查询 ChatGPT API 来构建多态键盘记录器有效负载,称之为 BlackMamba。

实际上,BlackMamba 是一个 Python 可执行文件,它提示 ChatGPT 的 API 构建一个恶意的键盘记录器,该键盘记录器在运行时使每个调用进行变异,使其具有多态性,并规避端点和响应(EDR)过滤器。

“Python 的 exec()函数是一个内置功能,允许你在运行时动态执行Python 代码,”Sims 说,“它获取一个字符串,其中包含要作为输入执行的代码,然后执行该代码。Exec ()函数通常用于动态修改程序,这意味着可以通过在程序运行时执行新代码来改变运行程序的行为。”

在BlackMamba 的背景下,“在产生生成响应时,多态性的上限受到提示工程师的创造力(输入的创造力)和模型训练数据的质量的限制。”Sims 说。

在BlackMamba 概念验证中,在收集击键后,数据通过 web hook(一种基于 HTTP 的回调函数,允许 API 之间进行事件驱动的通信)提取到微软团队的一个频道。据西姆斯说,BlackMamba 多次回避了一个“行业领先”的 EDR 应用程序。

网络安全公司 CyberArk 的 Eran Shimony 和 Omer Tsarfati 创建了一个单独的概念验证程序,在恶意软件中使用了 ChatGPT。该恶意软件包括“一个 Python 解释器,它定期查询 ChatGPT,寻找执行恶意行为的新模块,”Shimony 和 Tsarfati 在一篇解释概念验证的博客中写道。“通过从 ChatGPT 请求特定功能,如代码注入、文件加密或持久性,我们可以很容易地获得新代码或修改现有代码。”

与黑曼巴不同,ChattyCat 并不是针对特定类型的恶意软件,但它提供了一个模板来构建各种各样的恶意软件,包括勒索软件和信息窃取程序。

“我们的POC,ChattyCaty,是一个开源项目,演示了使用 GPT 模型创建多态程序的基础设施,”Tsarfati 说,“多态性可用于逃避防病毒/恶意软件程序的检测。”

Shimony 和 Tsarfati 还发现,与最初的在线版本相比,ChatGPT API 中的内容过滤器似乎更弱了。

“有趣的是,在使用API 时,ChatGPT系统似乎没有利用其内容过滤器。目前还不清楚为什么会这样,但它使我们的任务变得更加容易,因为网络版本往往会陷入更复杂的请求。”Shimony 和 Tsarfati 在他们的博客中写道。

监管 AI 以提高安全性

尽管世界各国政府都在努力解决如何监管人工智能以防止伤害的问题,但中国是迄今为止唯一颁布新规定的大国。专家们提出了不同的方法来控制生成性人工智能的潜在危害。

“目前控制人工智能问题的解决方案似乎是‘增加更多人工智能’,我认为这可能不现实,”Forrester 分析师Jeff Pollard说。“为了真正为这些解决方案添加正确的控制层,我们需要更好地解释和观察系统中的上下文。这些应该与 API 相结合,用于提供有意义的细节,并提供目前似乎不存在的管理能力。”

然而,监管生成人工智能将是困难的,因为技术行业仍处于了解其能力的初级阶段,分析师和咨询公司 Enterprise Management Associate 的研究总监 Chris Steffen 认为。

“监管的前景并不乐观。原因是 ChatGPT 是拥有无穷无尽可能性的事物,想要为 GPT 实例可能涵盖的所有情况做好准备将是非常困难的,”Steffen 说。“特别是在以下领域将会更加困难:如何监管,使用的流程以及责任的归属。”

作者:Shweta Sharma

原文链接:ChatGPT creates mutating malware that evades detection by EDR | CSO Online



Tags:恶意软件   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
手机安全防范指南,帮助你避免手机病毒、恶意软件、诈骗信息的侵害
以下是一些手机安全防范指南,可以帮助你避免手机病毒、恶意软件、诈骗信息的侵害: 谨慎下载未知来源的应用程序:不要随意下载未知来源的应用程序,因为这些应用程序可能包含恶意...【详细内容】
2024-02-01  Search: 恶意软件  点击:(64)  评论:(0)  加入收藏
新型恶意软件曝光:可绕过微软SmartScreen,窃取用户敏感信息
IT之家 1 月 17 日消息,趋势科技近日发布安全公告,发现了名为 Phemedrone Stealer 的高危恶意软件,可以绕过微软 Windows 10 和 Windows 11 系统中的 Defender SmartScreen,窃取...【详细内容】
2024-01-17  Search: 恶意软件  点击:(89)  评论:(0)  加入收藏
苹果 iPhone 最复杂攻击链细节披露:iOS 16.2 此前版本受影响,可植入恶意软件、收集敏感数据
IT之家 12 月 29 日消息,网络安全公司卡巴斯基今年 6 月发布报告,称发现了一个非常复杂、高端的 iMessage 漏洞,将其命名为“Operation Triangulation”,可以植入恶意程序,收集麦...【详细内容】
2023-12-29  Search: 恶意软件  点击:(109)  评论:(0)  加入收藏
如何用ChatGPT分析恶意软件
译者 | 陈峻审校 | 重楼自从我们进入数字化时代以来,恶意软件就一直是计算机应用系统的“心腹大患”。事实上,每一次技术进步都会为恶意行为者提供更多的工具,使得他们的攻击行...【详细内容】
2023-12-12  Search: 恶意软件  点击:(200)  评论:(0)  加入收藏
12种常见的恶意软件类型与防范建议
自从计算机技术被广泛使用以来,恶意软件就一直以某种形式存在,但其存在的类型在不断发展演变。如今,随着人类社会数字化程度的不断提升,恶意软件已经成为现代企业组织面临的最...【详细内容】
2023-10-26  Search: 恶意软件  点击:(177)  评论:(0)  加入收藏
DarkGate恶意软件通过消息服务传播
导语近日,一种名为DarkGate的恶意软件通过消息服务平台如Skype和Microsoft Teams进行传播。它冒充PDF文件,利用用户的好奇心诱使其打开,进而下载并执行恶意代码。这种攻击手段...【详细内容】
2023-10-15  Search: 恶意软件  点击:(241)  评论:(0)  加入收藏
恶意软件 AMOS 威胁升级:在谷歌搜索投放广告、钓鱼诱骗 Mac 用户安装
IT之家 9 月 7 日消息,网络安全公司 Cyble Research 今年 4 月发布报告,发现有黑客正在兜售针对 macOS 的恶意软件--Atomic macOS Stealer(AMOS)。网络安全公司 Malwarebytes 今...【详细内容】
2023-09-07  Search: 恶意软件  点击:(295)  评论:(0)  加入收藏
XLoader 恶意软件卷土重来,可窃取 Mac 用户敏感信息
IT之家 8 月 22 日消息,在 2021 年曾被称为“第四大恶意攻击”的 XLoader 正卷土重来,不仅破坏力升级,而且伪装能力进一步增强,macOS 用户更容易中招。根据网络安全公司 Sentine...【详细内容】
2023-08-22  Search: 恶意软件  点击:(264)  评论:(0)  加入收藏
报告称黑客滥用LOLBAS,通过微软Office安装包分发恶意软件
IT之家 8 月 4 日消息,根据国外科技媒体 bleepingcomputer 报道,有黑客滥用微软合法的 LOLBAS 文件格式,利用 Microsoft Outlook 电子邮件客户端和 Access 数据库管理安装包,分...【详细内容】
2023-08-04  Search: 恶意软件  点击:(273)  评论:(0)  加入收藏
ChatGPT 创建逃避 EDR 检测的变异恶意软件
网络安全专家已经证明,问题的关键点在于 ChatGPT 和其他大型语言模型(LLM)生成多态或变异代码以规避端点检测和响应(EDR)系统的能力。ChatGPT 自去年年底发布以来,在全球范围都...【详细内容】
2023-06-26  Search: 恶意软件  点击:(279)  评论:(0)  加入收藏
▌简易百科推荐
苹果“安全”神话破灭?!iOS首次出现木马病毒
一直以来,iOS系统都以“安全性极高”闻名手机圈。在封闭软硬件生态加持下,iOS确实要比安卓系统更安全点。但是,小雷要说但是了嚯,最近iOS却首次出现了木马病毒。图源:苹果近日,在...【详细内容】
2024-02-19    雷科技  Tags:木马   点击:(66)  评论:(0)  加入收藏
新型恶意软件曝光:可绕过微软SmartScreen,窃取用户敏感信息
IT之家 1 月 17 日消息,趋势科技近日发布安全公告,发现了名为 Phemedrone Stealer 的高危恶意软件,可以绕过微软 Windows 10 和 Windows 11 系统中的 Defender SmartScreen,窃取...【详细内容】
2024-01-17  IT之家    Tags:恶意软件   点击:(89)  评论:(0)  加入收藏
Chameleon 恶意木马曝光,伪装成谷歌 Chrome 浏览器等应用
IT之家 12 月 26 日消息,安全公司 Threat Fabric 日前曝光了一款名为“Chameleon”的恶意木马,该木马通常伪装成谷歌 Chrome 浏览器及部分银行应用,安装后便会在后台持续录制受...【详细内容】
2023-12-26    IT之家  Tags:恶意木马   点击:(90)  评论:(0)  加入收藏
手机中了木马病毒怎么办?
网络安全问题也日益突出。其中,手机中了木马病毒是一种常见的安全威胁。木马病毒是一种恶意软件,通常通过下载不明应用、点击恶意链接等方式传播,对手机和个人信息安全造成严重...【详细内容】
2023-12-22  小笣子的二两生活    Tags:木马病毒   点击:(129)  评论:(0)  加入收藏
揭开勒索软件LostTrust的神秘面纱
勒索软件LostTrust一直被安全社区认为是MetaEncryptor勒索软件的“换壳”产品,因为它们几乎使用了相同的数据泄露网站和加密程序。LostTrust勒索软件于2023年3月开始积极活动...【详细内容】
2023-11-02  FreddyLu666  微信公众号  Tags:勒索软件   点击:(186)  评论:(0)  加入收藏
12种常见的恶意软件类型与防范建议
自从计算机技术被广泛使用以来,恶意软件就一直以某种形式存在,但其存在的类型在不断发展演变。如今,随着人类社会数字化程度的不断提升,恶意软件已经成为现代企业组织面临的最...【详细内容】
2023-10-26  安全牛  微信公众号  Tags:恶意软件   点击:(177)  评论:(0)  加入收藏
防不胜防!黑客使用转码域名在谷歌上投放钓鱼网站 看不出任何差别
谷歌搜索上的各种恶意软件和钓鱼网站广告屡见不鲜,这种操作手法已经相当成熟,都是先做一个看似合规的网站去投放广告,等谷歌审核通过了再把落地页修改为恶意内容。之前蓝点网已...【详细内容】
2023-10-23  区块软件开发    Tags:钓鱼网站   点击:(66)  评论:(0)  加入收藏
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?
0x01 事件简介近期,在进行macOS终端威胁狩猎时,发现了一例macOS终端窃密木马,经过深入分析发现该木马专门针对macOS,会从受害者的机器上窃取大量敏感信息,包括浏览器自动填充...【详细内容】
2023-09-27  M_Altman  FreeBuf.COM  Tags:木马   点击:(275)  评论:(0)  加入收藏
什么是Spyware?加密货币中的Spyware有多危险?
作者:BTC_Chopsticks什么是 spyware?Spyware 是一种在后台运行的恶意软件,经过编程后可以跟踪和记录受感染设备上的活动并收集有关用户的个人信息。 然后,这些信息会被发送给攻...【详细内容】
2023-08-07    新浪网  Tags:Spyware   点击:(281)  评论:(0)  加入收藏
勒索软件伪装成Windows更新,可加密文件、删除备份
IT之家 7 月 10 日消息,近日一种名为“Big Head”的勒索软件正在伪装成 Windows 更新来感染用户的电脑,不仅能加密文件,还能删除备份,这种恶意软件的两个变种已经被安全研究机构...【详细内容】
2023-07-11    IT之家  Tags:勒索软件   点击:(280)  评论:(0)  加入收藏
站内最新
站内热门
站内头条