top of page

賽門鐵克揭露:攻擊者如何利用AI工具發動高效釣魚攻擊

人工智慧 (AI) 正以驚人的速度發展,為我們的生活帶來革命性的改變。然而,就像許多強大的技術一樣,AI 也可能被濫用於網路犯罪。賽門鐵克觀察到,利用大型語言模型 (Large Language Model ,LLM) 等 AI 工具產生惡意程式碼並發動攻擊的事件正在增加。


LLM 惡意攻擊的運作方式

LLM 是一種生成式 AI,旨在理解和生成類似人類的文字。它有廣泛的應用,從協助寫作到自動化客戶服務。然而,網路犯罪分子也開始利用 LLM 來產生惡意程式碼,用於散佈各種惡意軟體。


賽門鐵克觀察到的近期惡意軟體活動中,攻擊者會發送包含惡意程式碼的網路釣魚電子郵件,這些程式碼會下載各種惡意軟體,包括 Rhadamanthys、NetSupport、CleanUpLoader、ModiLoader、LokiBot 和 Dunihi ( H-Worm))。經分析,攻擊中用於傳播惡意軟體的程式碼是使用 LLM 生成的。


LLM 攻擊鏈範例

以下範例詳細介紹了針對廣泛行業的活動。這些攻擊涉及網路釣魚電子郵件,其中附加了包含惡意 .lnk 檔案的 .zip 存檔,這些檔案一旦執行,就會觸發 LLM 產生的 PowerShell 腳本,從而導致惡意軟體的部署。 


這些電子郵件聲稱與緊急融資問題有關,並包含受密碼保護的 ZIP 文件,該文件的密碼也包含在電子郵件中。 

附加受密碼保護的 ZIP 檔案的網路釣魚電子郵件
圖 1. 附加受密碼保護的 ZIP 檔案的網路釣魚電子郵件

ZIP文件中包含一個LNK文件,執行後會運行一個PowerShell腳本(圖2),這個腳本可能是由LLM生成的。腳本中的函數和變量格式整齊,並附有準確的單行註釋來解釋其用法 


LLM生成的PowerShell腳本
圖 2. LLM生成的PowerShell腳本

這些腳本可以輕易地通過LLM自動生成。我們在研究過程中使用ChatGPT和一些簡單的提示,得到了類似的結果(圖3)。

使用 ChatGPT 產生的 PowerShell 腳本
圖 3. 使用 ChatGPT 產生的 PowerShell 腳本

此活動中部署的最終有效負載包括 Rhadamanthys 資訊竊取惡意軟體和 CleanUpLoader 後門(又稱 Broomstick、Oyster)。 


另一個攻擊鏈範例

以下範例說明了 LLM 產生的程式碼如何被用於網路釣魚和惡意軟體傳遞階段。

  • 初步接觸 使用者收到一封偽裝成人力資源部門通知的網路釣魚電子郵件,其中包含惡意附件。

模仿 HR 通知的網路釣魚電子郵件
圖 4. 模仿 HR 通知的網路釣魚電子郵件
  • 執行LLM生成的腳本 打開惡意附件會執行一個嵌入JavaScript的HTML文件,這些JavaScript很可能是由LLM生成的。這些腳本旨在下載和執行額外的有效載荷,儘管此案中的網頁相對簡單,且HTML背後的代碼量少且加載迅速。


攻擊時顯示的網頁
圖5. 攻擊時顯示的網頁

對 HTML 檔案的分析有助於攻擊鏈的關鍵環節,揭露 LLM 產生的檔案的特徵(圖 6)。

LLM 產生的 HTML 文件
圖 6. LLM 產生的 HTML 文件

該文件可以輕鬆地通過LLM自動生成,幾乎不需要人工操作。


  • 最終惡意軟體下載:在使用者看到網頁時,如果瀏覽器沒有設定下載許可權,則下一階段的惡意軟體(Dunihi 惡意軟體的載入器)很可能已經被下載。


Symantec還觀察到其他攻擊活動,部署了ModiLoader (DBatLoader)惡意軟件加載器、LokiBot信息竊取木馬和NetSupport遠程訪問木馬。這些攻擊中使用的HTML代碼也是由LLM生成的。


AI人工智慧正徹底改變網路犯罪

AI 的潛力不容忽視,但它也為網路犯罪帶來了革命性的改變。LLM 等 AI 工具降低了許多網路犯罪分子的入門門檻,同時也提高了其他攻擊的複雜程度。


網路犯罪分子不僅可以利用 AI 工具快速製作出以假亂真的目標式網路釣魚電子郵件,還可以產生原本需要相當多的專業知識、時間和資源才能完成的惡意程式碼。


值得注意的是,AI 技術只會越來越進步。雖然它為社會帶來了巨大的好處,但惡意攻擊者也會利用它來發動更複雜、更有效的攻擊,而且速度更快、規模更大。


防護措施

賽門鐵克站在網路安全的前線,提供強大的防護,以抵禦層出不窮的新威脅,包括近期觀察到的、很可能是由 LLM 產生的威脅。賽門鐵克的安全解決方案配備了先進的偵測功能,可以阻擋基於 AI 的 LLM 產生的威脅。與此同時,賽門鐵克的威脅追蹤專家會持續監控威脅態勢、收集新興威脅、進行詳細分析、更新自動化模型,並確保客戶始終受到保護。


保護/緩解

欲了解最新的保護更新,請訪問Symantec保護公告


威脅指標 (IOC)

如果某個IOC是惡意的,且我們可以獲取該文件,Symantec端點產品將會檢測並阻止該文件。

IOC

Description

0A90FADE657A0C0AC73D4E085E168AA8515994700A12612D1C20CB00ED15A0CA

PowerShell script

F5FC667D818A26FBB5C04657B131D86AF1746A349CEB9D6E441D24C8673393B2

PowerShell script

FA0FEE451B2DD9C532189705177457D0982E1F27F11E3E2B0B31B9ECE654FF4C

PowerShell script

9160A5F4DB292A50BAED109BFF1C94738418FB8E6D729D7FC4A7841DB06F8F3E

PowerShell script

C645FD15DDA1AA3D5554B847E1D243493EA22F81FAF3D1F883100A4B51438B27

PowerShell script

121E900D1EFC6D9E537471360848B333BFBBB7E08ECADB1D75897882CE2DCB20

Rhadamanthys

29F8B50F737FEEF9EC7439780DAEAD395BF2BF278A4540DDFFE64CA70AA9F462

Rhadamanthys

4FB58687A364C3F6D6F7E0CA03654F9DEC0F8832A499D61D40B0D424DB1B1B14

Rhadamanthys

2AE6737D691BFF402FC50A29EDDCBE9FD0B0C18250776435F61CE70F3C9481CD

JavaScript

BC824A97E877EF38D5D14E0D51433F3890873B58B710C0E5D41A4638A1A3FAF4

JavaScript

EB8A22036655F0EB19924868031D3CDD273630B167A5FEC72B3C98FE887CA9C6

JavaScript

30DD8CBBA98F2E4CBB8D8D85A7A9AC97B0157A77C83D9B8DEAB50C2225C0CB22

LNK file

948D0D1FABBD858C13C387737EF833BEB982141CFC2E2D0E26024918EB0AF479

LNK file

C7D1DC81BB9CC86DD129AC414E8805DDDBFFF23D347E5F3349D5D59F4172F3BA

LNK file

A1739E001E0720341F14466231A21BD12A74485DAB59B0F4FDE7F931467CB4B2

LNK file

F1CFC6E55777A62A1B269901793550CE8D0126D1035C5BEBF5C8145A83EF842B

LNK file

DC6C5B4ABB65C8E5169F96A65D0A225C91AD2A58E13ECABA5B3FF29D07A4660B

LNK file

3A88FCB26F7A6BE68B65AB18D8358365E9A4FD7D4C0EF8FC581771CCFB746271

Password-protected ZIP file

44B3095A86F2091CCB9B52B9ECF995BC5B9E2294EB9E38D90E9FD743567F5F22

Password-protected ZIP file

BA325F828378C1733044F3022D73D770E2A8E81AEB01605B13866DE7E722075D

Password-protected ZIP file

CAD698049830745BA6685B5D571DEF86FA77D046D2403A7C48ED8D0258314093

Password-protected ZIP file

D38A62A73A9FE1ED0CE7F6902E52D90A056374123D6ECF4D5FF9A01008E922CB

Password-protected ZIP file

BF0B4C933B9EF188A9073D68D955ADD8CBE8398F3EC2E04CE285D45C8183C033

Password-protected ZIP file

4153F2CE9CD956B29A1D1F21669932596FD1564863F65782D1EEA4E06E8623F7

ZIP file

5077EEE9D9933E1DB4B311B893A8F3583CA9F0D9F6DB33938A67BF5054133AA8

ZIP file

BAC7079571FA4FA2E3543FD4EDFB5144EC4FF9046065C7F11CB8C9552117D138

ZIP file

C8032306AB5C5BF09C38BD05A2F41BB4DCE98A56DF0570C6A58F116127E0532D

ZIP file

9BD692BC32E13185232E95FF7693D0039B5C5C563323982BFAB34A5D1E0379AE

HTML

B1D48CA54EFB57B9BD626420391FBBC638C9F4271F009DFB31B28C33B76A4228

HTML

D05032CA22352BA77CE67A2975A33A5A3A7170705817FE4305B162F7E4E7065B

HTML

A2C1B716D20B61BC4C57748E1EC195FBAC2C5B143CF960D0FFEE895160D4B0DB

EXE file

B6AADA8476838CD39EFD5A3681F50ECEB0938BBCDECD3712FDB81394ED2922BB

EXE file

BB932056CAE8940742E50B4F2B994A802E703F7BC235E7DD647D085AE2B2BAF7

CleanUpLoader

C398B3E06EF860670B9597DAED85632834FA961AEA87164B8BA8BB2F094A14EF

CleanUpLoader

BCDB4F1AF705889ACE73E8A0C8626BC6B615393A4C4F28EA00E5A51EB6E541D9

VBS

CD003F5CE0DDE74B9793685C549A6883B405FCA4D533F27FBB050199A2339A28

VBS

F06D83CE130BAE96EBFDE9ADDDD0FF1245FEBF768E6D984B69816B252808BA0C

RAR file

原文出處 Symatnec Enterprise Blogs

Comments

Couldn’t Load Comments
It looks like there was a technical problem. Try reconnecting or refreshing the page.
bottom of page