Kabus Gerçeğe Dönüşüyor: Siber Suçlular ChatGPT’den Yararlanıyor


Birkaç büyük yeraltı bilgisayar korsanlığı topluluğunun analizi, kötü amaçlı araçlar geliştirmek için OpenAI kullanan siber suçluların ilk örneklerinin zaten olduğunu gösteriyor. Bazı vakalar, OpenAI kullanan birçok siber suçlunun hiçbir geliştirme becerisine sahip olmadığını açıkça gösterdi. Bu raporda sunulan araçlar basit olmasına rağmen, daha gelişmiş tehdit aktörlerinin yapay zeka tabanlı araçları kötüye kullanma yöntemlerini geliştirmesi an meselesidir.

OpenAI, Kasım 2022’nin sonunda, Yapay Zeka ve olası kullanımlarına anında bir ilgi dalgası yaratan Büyük Dil Modeli (LLM) için yeni arayüz olan ChatGPT’yi piyasaya sürdü. Bununla birlikte, kod oluşturmanın daha az beceriye sahip tehdit aktörlerinin zahmetsizce siber saldırılar başlatmasına yardımcı olabileceği kısa sürede anlaşıldığından, ChatGPT modern siber tehdit ortamına biraz renk kattı.

Bir Check Point Research (CPR) raporu, ChatGPT’nin ikna edici bir mızraklı kimlik avı e-postası oluşturmaktan İngilizce komutları kabul edebilen ters bir kabuk çalıştırmaya kadar tam bir bulaşma akışını nasıl başarıyla yürüttüğünü vurguladı. Eldeki soru, bunun sadece varsayımsal bir tehdit olup olmadığı veya OpenAI teknolojilerini kötü amaçlarla kullanan tehdit aktörlerinin zaten olup olmadığıdır.

Durum 1 – Bir Bilgi Hırsızı Oluşturma

29 Aralık 2022’de, popüler bir yer altı bilgisayar korsanlığı forumunda “ChatGPT – Faydaları Kötü Amaçlı Yazılım” adlı bir ileti dizisi ortaya çıktı. Konunun yayıncısı, kötü amaçlı yazılım türlerini ve araştırma yayınlarında ve yaygın kötü amaçlı yazılımlar hakkındaki yazılarda açıklanan teknikleri yeniden oluşturmak için ChatGPT ile deneyler yaptığını açıkladı. Örnek olarak, ortak dosya türlerini arayan, bunları Temp klasörü içindeki rastgele bir klasöre kopyalayan, ZIP’ler halinde gönderen ve sabit kodlu bir FTP sunucusuna yükleyen Python tabanlı bir hırsızın kodunu paylaştı.

ChatGPT kullanan bilgi hırsızı
Şekil 1 – Siber suçlu, ChatGPT kullanarak bilgi hırsızını nasıl oluşturduğunu gösteriyor

Komut dosyasının analizi, siber suçlunun iddialarını doğruluyor. Bu gerçekten de sistem genelinde 12 yaygın dosya türünü (MS Office belgeleri, PDF’ler ve resimler gibi) arayan temel bir hırsızdır. İlgilenilen herhangi bir dosya bulunursa, kötü amaçlı yazılım dosyaları geçici bir dizine kopyalar, sıkıştırır ve web üzerinden gönderir. Aktörün dosyaları şifreleme veya güvenli bir şekilde gönderme zahmetine girmediğini belirtmekte fayda var, bu nedenle dosyalar 3. şahısların eline geçebilir.

Bu aktör tarafından ChatGPT kullanılarak oluşturulan ikinci örnek, basit bir Java snippet’idir. Çok yaygın bir SSH ve telnet istemcisi olan PuTTY’yi indirir ve Powershell kullanarak sistemde gizlice çalıştırır. Bu komut dosyası, yaygın kötü amaçlı yazılım aileleri de dahil olmak üzere herhangi bir programı indirmek ve çalıştırmak için elbette değiştirilebilir.

Şekil 2 – PuTTY’yi indiren ve Powershell kullanarak çalıştıran Java programını nasıl oluşturduğunun kanıtı

Bu tehdit aktörünün önceki forum katılımı, istismar sonrası aşamanın otomasyonu gibi çeşitli komut dosyalarının ve kullanıcı kimlik bilgileri için kimlik avı yapmaya çalışan bir C++ programının paylaşılmasını içerir. Ayrıca, bir Android RAT kötü amaçlı yazılımı olan SpyNote’un kırık sürümlerini aktif olarak paylaşmaktadır.

Genel olarak, bu kişi teknoloji odaklı bir tehdit aktörü gibi görünüyor ve gönderilerinin amacı teknik olarak daha az yetenekli siber suçlulara ChatGPT’yi kötü amaçlar için nasıl kullanacaklarını anında kullanabilecekleri gerçek örneklerle göstermek.

Durum 2 – Bir Şifreleme Aracı Oluşturma

21 Aralık 2022’de bir tehdit aktörü lakaplı USDoD yarattığı ilk komut dosyası olduğunu vurguladığı bir Python komut dosyası yayınladı.

Şekil 3 – USDoD gönderileri çok katmanlı şifreleme aracı olarak adlandırılan siber suçlu

Başka bir siber suçlu, kodun stilinin openAI koduna benzediğini söylediğinde, USDoD OpenAI’nin kendisine “hoş bir [helping] senaryoyu güzel bir kapsamla bitirmek için el ele.”

Şekil 4 – Çok katmanlı şifreleme aracının Open AI kullanılarak oluşturulduğunun doğrulanması

Komut dosyasının analizi, kriptografik işlemleri gerçekleştiren bir Python komut dosyası olduğunu doğruladı. Daha spesifik olmak gerekirse, aslında farklı imzalama, şifreleme ve şifre çözme işlevlerinin bir karışımıdır. İlk bakışta, komut dosyası iyi huylu görünüyor, ancak çeşitli farklı işlevleri yerine getiriyor:

  • Komut dosyasının ilk bölümü, dosyaları imzalamada kullanılan bir şifreleme anahtarı oluşturur (özellikle eliptik eğri kriptografisini ve ed25519 eğrisini kullanır).
  • Komut dosyasının ikinci bölümü, Blowfish ve Twofish algoritmalarını aynı anda hibrit modda kullanarak sistemdeki dosyaları şifrelemek için sabit kodlanmış bir parola kullanan işlevleri içerir. Bu işlevler, kullanıcının belirli bir dizindeki veya bir dosya listesindeki tüm dosyaları şifrelemesine izin verir.
  • Betik ayrıca RSA anahtarlarını kullanır, PEM formatında saklanan sertifikaları, MAC imzalamayı ve hash’leri karşılaştırmak için blake2 hash işlevini kullanır.

Şifreleme işlevlerinin tüm şifre çözme karşılıklarının komut dosyasında da uygulandığına dikkat etmek önemlidir. Komut dosyası iki ana işlevi içerir; biri tek bir dosyayı şifrelemek ve dosyanın sonuna bir mesaj kimlik doğrulama kodu (MAC) eklemek için kullanılır ve diğeri sabit kodlanmış bir yolu şifreler ve bağımsız değişken olarak aldığı bir dosya listesinin şifresini çözer.

Yukarıda belirtilen kodun tümü elbette iyi niyetli bir şekilde kullanılabilir. Ancak, bu komut dosyası, herhangi bir kullanıcı etkileşimi olmadan birinin makinesini tamamen şifrelemek için kolayca değiştirilebilir. Örneğin, komut dosyası ve sözdizimi sorunları giderilirse, potansiyel olarak kodu fidye yazılımına dönüştürebilir.

öyle görünse de UsDoD geliştirici değildir ve sınırlı teknik becerilere sahiptir, yeraltı topluluğunun çok aktif ve saygın bir üyesidir. UsDoD, güvenliği ihlal edilmiş şirketlere ve çalınan veritabanlarına erişim satışı dahil olmak üzere çeşitli yasa dışı faaliyetlerde bulunmaktadır. Önemli bir çalıntı veritabanı USDoD Geçtiğimiz günlerde paylaşılan iddialara göre sızdırılan InfraGard veritabanı.

Şekil 5 – InfraGard Veritabanının yayınlanmasını içeren önceki USDoD yasa dışı faaliyeti

3. Durum – Dolandırıcılık Etkinliği için ChatGPT’yi Kolaylaştırma

ChatGPT’nin dolandırıcılık faaliyeti için kullanımına ilişkin başka bir örnek, 2022 Yılbaşı Gecesi’nde yayınlandı ve farklı türde bir siber suç faaliyetini gösterdi.

İlk iki örnek daha çok ChatGPT’nin kötü amaçlı yazılım odaklı kullanımına odaklanırken, bu örnek “ChatGPT’yi Dark Web Marketplaces komut dosyaları oluşturmak için kötüye kullanma” başlıklı bir tartışmayı gösteriyor.

Bu başlıkta siber suçlu, ChatGPT kullanarak bir Dark Web pazarı oluşturmanın ne kadar kolay olduğunu gösteriyor.

Pazar yerinin yeraltı yasa dışı ekonomideki ana rolü, çalıntı hesaplar veya ödeme kartları, kötü amaçlı yazılım ve hatta uyuşturucu ve cephane gibi yasa dışı veya çalıntı malların tüm ödemeleri kripto para birimleriyle otomatik ticareti için bir platform sağlamaktır.

Siber suçlu, ChatGPT’nin bu amaçlarla nasıl kullanılacağını göstermek için, Dark Web pazar ödeme sisteminin bir parçası olarak güncel kripto para birimi (Monero, Bitcoin ve Etherium) fiyatlarını almak için üçüncü taraf API kullanan bir kod parçası yayınladı.

Şekil 6 – DarkWeb Market betikleri oluşturmak için ChatGPT kullanan tehdit aktörü

2023’ün başında, birkaç tehdit aktörü, ChatGPT’nin dolandırıcılık planları için nasıl kullanılacağına odaklanan ek yeraltı forumlarında tartışmalar başlattı. Bunların çoğu, başka bir OpenAI teknolojisi (DALLE2) ile rastgele sanat üretmeye ve bunları Etsy gibi meşru platformlar kullanarak çevrimiçi satmaya odaklandı. Başka bir örnekte, tehdit aktörü belirli bir konu için (ChatGPT kullanarak) bir e-kitap veya kısa bölümün nasıl oluşturulacağını açıklar ve bu içeriği çevrimiçi olarak satar.

Şekil 7 – ChatGPT’nin dolandırıcılık faaliyeti için nasıl kullanılacağına ilişkin yer altı forumlarında birden fazla ileti dizisi

Çözüm

ChatGPT özelliklerinin Dark Web’deki katılımcılar için yeni favori araç haline gelip gelmeyeceğine karar vermek için henüz çok erken. Ancak, siber suçlu topluluğu şimdiden önemli bir ilgi gösterdi ve kötü amaçlı kod oluşturmak için bu son trende atlıyor. CPR, 2023 boyunca bu aktiviteyi takip etmeye devam edecek.

Son olarak, ChatGPT’nin kötüye kullanımı hakkında bilgi edinmenin ChatGPT’nin kendisine sormaktan daha iyi bir yolu yoktur. Chatbot’a kötüye kullanım seçeneklerini sorduk ve oldukça ilginç bir yanıt aldık:





Source link