賽門鐵克揭露:攻擊者如何利用AI工具發動高效釣魚攻擊
- Nguyen Hoang Giang
- 2024年7月26日
- 讀畢需時 3 分鐘
人工智慧 (AI) 正以驚人的速度發展,為我們的生活帶來革命性的改變。然而,就像許多強大的技術一樣,AI 也可能被濫用於網路犯罪。賽門鐵克觀察到,利用大型語言模型 (Large Language Model ,LLM) 等 AI 工具產生惡意程式碼並發動攻擊的事件正在增加。
LLM 惡意攻擊的運作方式
LLM 是一種生成式 AI,旨在理解和生成類似人類的文字。它有廣泛的應用,從協助寫作到自動化客戶服務。然而,網路犯罪分子也開始利用 LLM 來產生惡意程式碼,用於散佈各種惡意軟體。
賽門鐵克觀察到的近期惡意軟體活動中,攻擊者會發送包含惡意程式碼的網路釣魚電子郵件,這些程式碼會下載各種惡意軟體,包括 Rhadamanthys、NetSupport、CleanUpLoader、ModiLoader、LokiBot 和 Dunihi ( H-Worm))。經分析,攻擊中用於傳播惡意軟體的程式碼是使用 LLM 生成的。
LLM 攻擊鏈範例
以下範例詳細介紹了針對廣泛行業的活動。這些攻擊涉及網路釣魚電子郵件,其中附加了包含惡意 .lnk 檔案的 .zip 存檔,這些檔案一旦執行,就會觸發 LLM 產生的 PowerShell 腳本,從而導致惡意軟體的部署。
這些電子郵件聲稱與緊急融資問題有關,並包含受密碼保護的 ZIP 文件,該文件的密碼也包含在電子郵件中。
ZIP文件中包含一個LNK文件,執行後會運行一個PowerShell腳本(圖2),這個腳本可能是由LLM生成的。腳本中的函數和變量格式整齊,並附有準確的單行註釋來解釋其用法
這些腳本可以輕易地通過LLM自動生成。我們在研究過程中使用ChatGPT和一些簡單的提示,得到了類似的結果(圖3)。
此活動中部署的最終有效負載包括 Rhadamanthys 資訊竊取惡意軟體和 CleanUpLoader 後門(又稱 Broomstick、Oyster)。
另一個攻擊鏈範例
以下範例說明了 LLM 產生的程式碼如何被用於網路釣魚和惡意軟體傳遞階段。
初步接觸 使用者收到一封偽裝成人力資源部門通知的網路釣魚電子郵件,其中包含惡意附件。
執行LLM生成的腳本 打開惡意附件會執行一個嵌入JavaScript的HTML文件,這些JavaScript很可能是由LLM生成的。這些腳本旨在下載和執行額外的有效載荷,儘管此案中的網頁相對簡單,且HTML背後的代碼量少且加載迅速。
對 HTML 檔案的分析有助於攻擊鏈的關鍵環節,揭露 LLM 產生的檔案的特徵(圖 6)。
該文件可以輕鬆地通過LLM自動生成,幾乎不需要人工操作。
最終惡意軟體下載:在使用者看到網頁時,如果瀏覽器沒有設定下載許可權,則下一階段的惡意軟體(Dunihi 惡意軟體的載入器)很可能已經被下載。
Symantec還觀察到其他攻擊活動,部署了ModiLoader (DBatLoader)惡意軟件加載器、LokiBot信息竊取木馬和NetSupport遠程訪問木馬。這些攻擊中使用的HTML代碼也是由LLM生成的。
AI人工智慧正徹底改變網路犯罪
AI 的潛力不容忽視,但它也為網路犯罪帶來了革命性的改變。LLM 等 AI 工具降低了許多網路犯罪分子的入門門檻,同時也提高了其他攻擊的複雜程度。
網路犯罪分子不僅可以利用 AI 工具快速製作出以假亂真的目標式網路釣魚電子郵件,還可以產生原本需要相當多的專業知識、時間和資源才能完成的惡意程式碼。
值得注意的是,AI 技術只會越來越進步。雖然它為社會帶來了巨大的好處,但惡意攻擊者也會利用它來發動更複雜、更有效的攻擊,而且速度更快、規模更大。
防護措施
賽門鐵克站在網路安全的前線,提供強大的防護,以抵禦層出不窮的新威脅,包括近期觀察到的、很可能是由 LLM 產生的威脅。賽門鐵克的安全解決方案配備了先進的偵測功能,可以阻擋基於 AI 的 LLM 產生的威脅。與此同時,賽門鐵克的威脅追蹤專家會持續監控威脅態勢、收集新興威脅、進行詳細分析、更新自動化模型,並確保客戶始終受到保護。
保護/緩解
欲了解最新的保護更新,請訪問Symantec保護公告。
威脅指標 (IOC)
如果某個IOC是惡意的,且我們可以獲取該文件,Symantec端點產品將會檢測並阻止該文件。
原文出處 Symatnec Enterprise Blogs
留言