ChatGT, EDR’den Kaçan Ölümcül Polimorfik Kötü Amaçlı Yazılım Oluşturabilir


ChatGT, EDR'den Kaçan Ölümcül Polimorfik Kötü Amaçlı Yazılım Oluşturabilir

ChatGPT, basit sorguları işlemekten anında yazılı eserler oluşturmaya ve hatta kötü amaçlı yazılım da dahil olmak üzere orijinal yazılım programları geliştirmeye kadar her şeyi kapsayan bir çözüm olduğunu kanıtlıyor.

Ancak bu ilerleme, tehlikeli yeni bir siber tehdit potansiyelini de beraberinde getiriyor.

CSN

EDR’ler gibi geleneksel güvenlik çözümleri, son zamanlarda yaygın olan oldukça karmaşık tehditlerle mücadele etmek için çok katmanlı veri zekası sistemlerinden yararlanır.

Düzensiz veya yeni davranış kalıplarını tespit etmek ve önlemek için çoğu otomatik kontrol tarafından öne sürülen iddialara rağmen, gerçek uygulama nadiren bu iddialarla uyumludur.

Bunun dışında yapay zeka tarafından üretilen, polimorfik kötü amaçlı yazılımların kötü niyetli tehdit aktörlerinin elinde bulunması durumu daha da kötüleştirecektir.

BlackMamba’nın Yaratılışı

Hyas’taki siber güvenlik analistleri, AI tabanlı kötü amaçlı yazılımların potansiyel yeteneklerini göstermek için basit bir kavram kanıtı (PoC) oluşturdu.

Bu PoC, çalışma zamanı sırasında zararsız kodu dinamik olarak değiştirerek gerçek zamanlı polimorfik keylogger işlevselliği oluşturmak için güçlü bir dil modeli kullanır.

En önemlisi, bu uygulama, kötü amaçlı keylogger’ın yeteneklerini dağıtmak ve doğrulamak için komuta ve kontrol altyapısına olan ihtiyacı ortadan kaldırır.

Uzmanlar, bu kötü amaçlı yazılım varyantıyla ilişkili önemli riski açıklarken, kavram kanıtlarını (PoC) tehdidin ciddiyetini vurgulayan zehirli bir yılan olan “BlackMamba” olarak adlandırdılar.

Yasal bir yürütülebilir dosyadan yararlanan BlackMamba, çalışma zamanı sırasında OpenAI’den bir API ile iletişim kurar. Bu, virüs bulaşmış kullanıcının tuş vuruşlarını yakalamak için gerekli sentezlenmiş kötü amaçlı kodu almasını sağlar.

Sonraki adım, iyi huylu programın ortamında Python’un exec() işlevini kullanan kodun yürütülmesini içerir ve burada yürütülen kod dinamik olarak üretilir.

Buradayken, kötü amaçlı polimorfik kısım, bütünlüğünü koruyarak yalnızca bellekte kalır.

BlackMamba, keylogging yeteneğini her çalıştırmada yeniden sentezleyerek, bu kötü amaçlı yazılımın içinde gerçekten polimorfik bir kötü amaçlı bileşene yol açabilir.

BlackMamba, adı kasıtlı olarak açıklanmayan, oldukça saygın bir EDR’ye karşı sayısız değerlendirmede tespit edilmekten başarıyla kurtuldu.

enfeksiyon

Bir cihaz bir enfeksiyonun kurbanı olduğunda, uzmanların veri kurtarma için bir strateji geliştirmesi çok önemli hale geldi. Uzmanlar, MS Teams’i, tehdit aktörlerinin veri hırsızlığı için bir kanal olarak hizmet etmek üzere manipüle edebilecekleri bir platform olarak seçti.

Bir sistemin güvenliğini ihlal ederken, sızma kanalı bir ağ geçididir. Bu ağ geçidi aracılığıyla, bir tehdit aktörü verileri güvenliği ihlal edilmiş sistemden gizlice alır ve harici bir konuma gönderir.

Aşağıda, BlackMamba’nın topladığı veri türlerinden veya hassas bilgilerden bahsetmiştik:-

  • Kullanıcı adları
  • Şifreler
  • Kredi kartı numaraları
  • Diğer kişisel veriler
  • Diğer gizli veriler

Daha sonra toplanan tüm bu veriler tehdit aktörleri tarafından dark web veya forumlarda satıldı. Tehdit aktörleri bile bu çalınan verileri birkaç yasa dışı faaliyet gerçekleştirmek için kullanır.

Geliştiriciler, Python betiklerini aşağıdakiler gibi çeşitli işletim sistemlerine uygun bağımsız yürütülebilir dosyalara sorunsuz bir şekilde dönüştürmek için açık kaynaklı bir Python paketi olan Auto-py-to-exe’nin gücünden yararlanabilirler: –

Kötü amaçlı yazılım yazarının auto-py-to-exe’yi kullanmadaki ilk adımı, Python tabanlı kötü amaçlı yazılım kodunu oluşturmayı ve gerekli kitaplıkları veya modülleri içe aktarmayı içerir.

Kurban yürütülebilir dosyanın yürütülmesini başlattığında, kötü amaçlı yazılım harekete geçer, sistemlerinde yürütülür ve çok sayıda kötü amaçlı işlem gerçekleştirir.

İş E-postanızı Hedefleyen Gelişmiş E-posta Tehditlerini Durdurun – Yapay Zeka Destekli E-posta Güvenliğini Deneyin



Source link