HYAS Institute研究员和网络安全专家Jeff Sims开发了一种名为Blackmamba的新型ChatGPT驱动的恶意软件,它可以绕过端点检测和响应(EDR)过滤器。这不足为奇,因为今年1月,CyberArk的网络安全研究人员还报告了如何使用ChatGPT来开发多态恶意软件。在调查期间,研究人员能够使用权威语气绕过ChatGPT中的内容过滤器来创建多态恶意软件。
根据HYAS Institute的报告(PDF),该恶意软件可以收集敏感数据,例如用户名、借记卡/信用卡卡号、密码以及用户在其设备中输入的其他机密数据。
报告称,一旦捕获数据,Blackmamba就会使用MS Teams webhook将其传输到攻击者的Teams频道,在那里“分析、在暗网上出售或用于其他邪恶目的”。
Jeff使用MS Teams是因为它使他能够访问组织的内部资源。由于它与 Slack 等许多其他重要工具相连,因此识别有价值的目标可能更易于管理。
Jeff创建了一个多态键盘记录器,由基于AI的ChatGPT提供支持,它可以通过检查用户的输入随机修改恶意软件,利用聊天机器人的语言功能。
研究人员能够在Python 3中生成键盘记录器,并通过在每次聊天机器人被召唤时运行python exec()函数来创建一个独特的Python脚本。这意味着无论何时调用ChatGPT/text-DaVinci-003,它都会为键盘记录器编写一个独特的Python脚本。
这使得恶意软件具有多态性并且无法被EDR检测到。攻击者可以使用ChatGPT修改代码,使其更加难以捉摸。他们甚至可以开发恶意软件/勒索软件开发人员可以用来发起攻击的程序。
Jeff通过使用免费的开源实用程序auto-py-to-exe使恶意软件可共享和可移植。这可以将Python代码转换为可以在各种设备上运行的.exe文件,例如macOS、Windows和Linux系统。此外,恶意软件可以通过社交工程或电子邮件在目标环境中共享。
很明显,随着ChatGPT机器学习能力的进步,此类威胁将继续出现,并且随着时间的推移可能会变得更加复杂和难以检测。自动化安全控制并非万无一失,因此组织必须积极主动地制定和实施其网络安全战略,以防范此类威胁。
多态恶意软件是一种恶意软件,每次复制或感染新系统时都会更改其代码和外观。这使得传统的基于签名的防病毒软件难以检测和分析,因为恶意软件每次感染系统时都会出现不同,即使它执行相同的恶意功能。
多态恶意软件通常通过使用各种混淆技术(例如加密、代码修改和不同的压缩方法)来实现其目标。恶意软件还可以通过生成新代码和独特签名来逃避安全软件的检测,从而实时变异。
近年来,随着网络犯罪分子寻求新的创新方法来绕过传统安全措施,多态恶意软件的使用变得越来越普遍。变形和更改其代码的能力使安全研究人员难以制定有效的安全措施来防止攻击,从而使其成为对组织和个人的重大威胁。
评论已关闭。