人工智慧 (AI) 正以驚人的速度發展,為我們的生活帶來革命性的改變。然而,就像許多強大的技術一樣,AI 也可能被濫用於網路犯罪。賽門鐵克觀察到,利用大型語言模型 (Large Language Model ,LLM) 等 AI 工具產生惡意程式碼並發動攻擊的事件正在增加。
LLM 惡意攻擊的運作方式
LLM 是一種生成式 AI,旨在理解和生成類似人類的文字。它有廣泛的應用,從協助寫作到自動化客戶服務。然而,網路犯罪分子也開始利用 LLM 來產生惡意程式碼,用於散佈各種惡意軟體。
賽門鐵克觀察到的近期惡意軟體活動中,攻擊者會發送包含惡意程式碼的網路釣魚電子郵件,這些程式碼會下載各種惡意軟體,包括 Rhadamanthys、NetSupport、CleanUpLoader、ModiLoader、LokiBot 和 Dunihi ( H-Worm))。經分析,攻擊中用於傳播惡意軟體的程式碼是使用 LLM 生成的。
LLM 攻擊鏈範例
以下範例詳細介紹了針對廣泛行業的活動。這些攻擊涉及網路釣魚電子郵件,其中附加了包含惡意 .lnk 檔案的 .zip 存檔,這些檔案一旦執行,就會觸發 LLM 產生的 PowerShell 腳本,從而導致惡意軟體的部署。
這些電子郵件聲稱與緊急融資問題有關,並包含受密碼保護的 ZIP 文件,該文件的密碼也包含在電子郵件中。
ZIP文件中包含一個LNK文件,執行後會運行一個PowerShell腳本(圖2),這個腳本可能是由LLM生成的。腳本中的函數和變量格式整齊,並附有準確的單行註釋來解釋其用法
這些腳本可以輕易地通過LLM自動生成。我們在研究過程中使用ChatGPT和一些簡單的提示,得到了類似的結果(圖3)。
此活動中部署的最終有效負載包括 Rhadamanthys 資訊竊取惡意軟體和 CleanUpLoader 後門(又稱 Broomstick、Oyster)。
另一個攻擊鏈範例
以下範例說明了 LLM 產生的程式碼如何被用於網路釣魚和惡意軟體傳遞階段。
初步接觸 使用者收到一封偽裝成人力資源部門通知的網路釣魚電子郵件,其中包含惡意附件。
執行LLM生成的腳本 打開惡意附件會執行一個嵌入JavaScript的HTML文件,這些JavaScript很可能是由LLM生成的。這些腳本旨在下載和執行額外的有效載荷,儘管此案中的網頁相對簡單,且HTML背後的代碼量少且加載迅速。
對 HTML 檔案的分析有助於攻擊鏈的關鍵環節,揭露 LLM 產生的檔案的特徵(圖 6)。
該文件可以輕鬆地通過LLM自動生成,幾乎不需要人工操作。
最終惡意軟體下載:在使用者看到網頁時,如果瀏覽器沒有設定下載許可權,則下一階段的惡意軟體(Dunihi 惡意軟體的載入器)很可能已經被下載。
Symantec還觀察到其他攻擊活動,部署了ModiLoader (DBatLoader)惡意軟件加載器、LokiBot信息竊取木馬和NetSupport遠程訪問木馬。這些攻擊中使用的HTML代碼也是由LLM生成的。
AI人工智慧正徹底改變網路犯罪
AI 的潛力不容忽視,但它也為網路犯罪帶來了革命性的改變。LLM 等 AI 工具降低了許多網路犯罪分子的入門門檻,同時也提高了其他攻擊的複雜程度。
網路犯罪分子不僅可以利用 AI 工具快速製作出以假亂真的目標式網路釣魚電子郵件,還可以產生原本需要相當多的專業知識、時間和資源才能完成的惡意程式碼。
值得注意的是,AI 技術只會越來越進步。雖然它為社會帶來了巨大的好處,但惡意攻擊者也會利用它來發動更複雜、更有效的攻擊,而且速度更快、規模更大。
防護措施
賽門鐵克站在網路安全的前線,提供強大的防護,以抵禦層出不窮的新威脅,包括近期觀察到的、很可能是由 LLM 產生的威脅。賽門鐵克的安全解決方案配備了先進的偵測功能,可以阻擋基於 AI 的 LLM 產生的威脅。與此同時,賽門鐵克的威脅追蹤專家會持續監控威脅態勢、收集新興威脅、進行詳細分析、更新自動化模型,並確保客戶始終受到保護。
保護/緩解
欲了解最新的保護更新,請訪問Symantec保護公告。
威脅指標 (IOC)
如果某個IOC是惡意的,且我們可以獲取該文件,Symantec端點產品將會檢測並阻止該文件。
IOC | Description |
0A90FADE657A0C0AC73D4E085E168AA8515994700A12612D1C20CB00ED15A0CA | PowerShell script |
F5FC667D818A26FBB5C04657B131D86AF1746A349CEB9D6E441D24C8673393B2 | PowerShell script |
FA0FEE451B2DD9C532189705177457D0982E1F27F11E3E2B0B31B9ECE654FF4C | PowerShell script |
9160A5F4DB292A50BAED109BFF1C94738418FB8E6D729D7FC4A7841DB06F8F3E | PowerShell script |
C645FD15DDA1AA3D5554B847E1D243493EA22F81FAF3D1F883100A4B51438B27 | PowerShell script |
121E900D1EFC6D9E537471360848B333BFBBB7E08ECADB1D75897882CE2DCB20 | Rhadamanthys |
29F8B50F737FEEF9EC7439780DAEAD395BF2BF278A4540DDFFE64CA70AA9F462 | Rhadamanthys |
4FB58687A364C3F6D6F7E0CA03654F9DEC0F8832A499D61D40B0D424DB1B1B14 | Rhadamanthys |
2AE6737D691BFF402FC50A29EDDCBE9FD0B0C18250776435F61CE70F3C9481CD | JavaScript |
BC824A97E877EF38D5D14E0D51433F3890873B58B710C0E5D41A4638A1A3FAF4 | JavaScript |
EB8A22036655F0EB19924868031D3CDD273630B167A5FEC72B3C98FE887CA9C6 | JavaScript |
30DD8CBBA98F2E4CBB8D8D85A7A9AC97B0157A77C83D9B8DEAB50C2225C0CB22 | LNK file |
948D0D1FABBD858C13C387737EF833BEB982141CFC2E2D0E26024918EB0AF479 | LNK file |
C7D1DC81BB9CC86DD129AC414E8805DDDBFFF23D347E5F3349D5D59F4172F3BA | LNK file |
A1739E001E0720341F14466231A21BD12A74485DAB59B0F4FDE7F931467CB4B2 | LNK file |
F1CFC6E55777A62A1B269901793550CE8D0126D1035C5BEBF5C8145A83EF842B | LNK file |
DC6C5B4ABB65C8E5169F96A65D0A225C91AD2A58E13ECABA5B3FF29D07A4660B | LNK file |
3A88FCB26F7A6BE68B65AB18D8358365E9A4FD7D4C0EF8FC581771CCFB746271 | Password-protected ZIP file |
44B3095A86F2091CCB9B52B9ECF995BC5B9E2294EB9E38D90E9FD743567F5F22 | Password-protected ZIP file |
BA325F828378C1733044F3022D73D770E2A8E81AEB01605B13866DE7E722075D | Password-protected ZIP file |
CAD698049830745BA6685B5D571DEF86FA77D046D2403A7C48ED8D0258314093 | Password-protected ZIP file |
D38A62A73A9FE1ED0CE7F6902E52D90A056374123D6ECF4D5FF9A01008E922CB | Password-protected ZIP file |
BF0B4C933B9EF188A9073D68D955ADD8CBE8398F3EC2E04CE285D45C8183C033 | Password-protected ZIP file |
4153F2CE9CD956B29A1D1F21669932596FD1564863F65782D1EEA4E06E8623F7 | ZIP file |
5077EEE9D9933E1DB4B311B893A8F3583CA9F0D9F6DB33938A67BF5054133AA8 | ZIP file |
BAC7079571FA4FA2E3543FD4EDFB5144EC4FF9046065C7F11CB8C9552117D138 | ZIP file |
C8032306AB5C5BF09C38BD05A2F41BB4DCE98A56DF0570C6A58F116127E0532D | ZIP file |
9BD692BC32E13185232E95FF7693D0039B5C5C563323982BFAB34A5D1E0379AE | HTML |
B1D48CA54EFB57B9BD626420391FBBC638C9F4271F009DFB31B28C33B76A4228 | HTML |
D05032CA22352BA77CE67A2975A33A5A3A7170705817FE4305B162F7E4E7065B | HTML |
A2C1B716D20B61BC4C57748E1EC195FBAC2C5B143CF960D0FFEE895160D4B0DB | EXE file |
B6AADA8476838CD39EFD5A3681F50ECEB0938BBCDECD3712FDB81394ED2922BB | EXE file |
BB932056CAE8940742E50B4F2B994A802E703F7BC235E7DD647D085AE2B2BAF7 | CleanUpLoader |
C398B3E06EF860670B9597DAED85632834FA961AEA87164B8BA8BB2F094A14EF | CleanUpLoader |
BCDB4F1AF705889ACE73E8A0C8626BC6B615393A4C4F28EA00E5A51EB6E541D9 | VBS |
CD003F5CE0DDE74B9793685C549A6883B405FCA4D533F27FBB050199A2339A28 | VBS |
F06D83CE130BAE96EBFDE9ADDDD0FF1245FEBF768E6D984B69816B252808BA0C | RAR file |
原文出處 Symatnec Enterprise Blogs
Comments