Kötü amaçlı LLM’ler deneyimsiz bilgisayar korsanlarına gelişmiş araçlarla güç veriyor

WormGPT 4 ve KawaiiGPT gibi sınırsız büyük dil modelleri (LLM’ler), kötü amaçlı kod oluşturma yeteneklerini geliştiriyor, fidye yazılımı şifreleyicileri ve yanal hareket için işlevsel komut dosyaları sunuyor.

Palo Alto Networks Unit42’teki araştırmacılar, ücretli abonelikler veya ücretsiz yerel örnekler aracılığıyla siber suçlular arasında benimsenme oranının arttığı görülen iki LLM üzerinde deneyler yaptı.

WormGPT modeli ilk olarak 2023’te ortaya çıktı ancak projenin aynı yıl durdurulduğu bildirildi. WormGPT 4, Eylül ayında ortaya çıkan markanın yeniden dirilişidir. Aylık 50 ABD doları veya ömür boyu erişim için 220 ABD doları mevcuttur ve siber suç operasyonları için özel olarak eğitilmiş sansürsüz bir ChatGPT çeşidi olarak çalışır.

Ücretsiz, topluluk odaklı bir alternatif, bu yıl Temmuz ayında tespit edilen ve iyi hazırlanmış kimlik avı mesajları oluşturabilen ve çalıştırmaya hazır komut dosyaları üreterek yanal hareketi otomatikleştirebilen KawaiiGPT’dir.

WormGPT 4’ün soyunma komut dosyası

Birim 42 araştırmacıları, kötü amaçlı LLM’nin bir Windows ana bilgisayarındaki tüm PDF dosyalarını şifreleyen fidye yazılımı kodu oluşturma yeteneğini test etti.

Araç, belirli yollardaki belirli dosya uzantılarını aramak ve AES-256 algoritmasını kullanarak verileri şifrelemek üzere yapılandırılabilen bir PowerShell betiği oluşturdu.

Araştırmacılara göre, oluşturulan kod, gerçekçi operasyonel gereksinimlerden yararlanan Tor aracılığıyla veri sızdırma seçeneği bile ekledi.

Başka bir uyarıyla WormGPT 4, “askeri düzeyde şifreleme” iddiasında bulunan “ürpertici ve etkili bir fidye notu” üretti ve ödeme talebini ikiye katlamadan önce 72 saatlik bir süre verdi.

Araştırmacılara göre “WormGPT 4, BEC ve kimlik avı saldırıları için güvenilir dil manipülasyonu sağlıyor” ve bu da düşük vasıflı saldırganların bile genellikle daha deneyimli tehdit aktörleri tarafından gerçekleştirilen daha karmaşık saldırılara girişmesine olanak tanıyor.

KawaiiGPT yetenekleri

KawaiiGPT bu yıl belgelenen başka bir LLM’dir. Birim 42 araştırmacıları sürüm 2.5’i test etti ve onu bir Linux sistemine kurmanın yalnızca beş dakika sürdüğünü iddia ediyor.

Araştırmacılar, aşağıdakileri oluşturması talimatını veren istemleri kullanarak yeteneklerini test etti:

• Gerçekçi alan adı sahtekarlığı ve kimlik bilgisi toplama bağlantılarına sahip hedef odaklı kimlik avı mesajı oluşturma.
• Bir ana bilgisayara bağlanmak ve komutları uzaktan yürütmek için paramiko SSH kitaplığını kullanan yanal hareket için bir Python betiği exec_command()
• kullanarak hedef dosyalar için Windows dosya sistemine yinelemeli olarak bakan bir Python betiği işletim sistemi yürüyüşüve ardından Python’u kullandım smtplib Verileri paketleyip saldırganın kontrolündeki bir adrese sızdırmak için kütüphane.
• Özelleştirilebilir ödeme talimatları, zaman dilimleri ve tipik şifreleme gücü talepleri ile fidye notları oluşturun

KawaiiGPT, gerçek bir şifreleme rutininin veya WormGPT 4 gibi işlevsel bir fidye yazılımı yükünün oluşturulduğunu göstermese de araştırmacılar, komut yürütme yeteneğinin saldırganların ayrıcalıkları artırmasına, verileri çalmasına ve ek yükleri bırakıp yürütmesine olanak verebileceği konusunda uyarıyor.

Her iki kötü niyetli LLM’nin de, topluluğun ipuçları ve tavsiyeler alışverişinde bulunduğu özel Telegram kanallarında yüzlerce abonesi var.

Unit 42, “Bu iki modelin analizi, saldırganların tehdit ortamında kötü amaçlı LLM’leri aktif olarak kullandığını doğruluyor” diye uyarıyor ve araçların artık teorik bir tehdit temsil etmediğini de belirtiyor.

Her iki senaryoda da deneyimsiz saldırganlar, daha geniş ölçekte daha gelişmiş saldırılar gerçekleştirme becerisi kazanarak kurbanları araştırmak veya aletler hazırlamak için gereken süreyi kısaltır. Modeller aynı zamanda geleneksel dolandırıcılıklardaki belirgin dilbilgisi hatalarından yoksun, gösterişli, doğal görünen kimlik avı tuzakları da üretiyor.