LLM’ler klasik siber tehditleri nasıl canlandırır?

Kullanıcıların gölgeli web sitelerine karşı uyanıklığa güvendiği bir dönemde ve Virustotal gibi platformlar aracılığıyla hashing dosyası, yeni bir Truva atı dalgası geleneksel savunmalara meydan okuyor.

Bu tehditler, reçete koruyucular, AI ile çalışan görüntü güçlendiricileri ve sanal asistanlar gibi meşru masaüstü uygulamaları olarak maskelenir.

Örneğin, hane halkı ipuçları sağlayan bir çizgi film karakteri içeren Justaskjacky uygulaması, gizli kodlar, bir komut ve kontrol (C2) sunucusundan keyfi kod yürütme görevlerini bozulmuş yükler üzerindeki değerlendirme işlevlerini kullanarak gerçekleştirir.

Benzer şekilde, kurutperedchef reçete uygulaması, indirilen tariflerdeki Whitespace karakterlerini yürütülebilir komutlar olarak yorumlayarak zararsız içeriği arka kapı mekanizmasına dönüştürür.

Yüksek kaliteli fotoğraf geliştirmeleri vaat eden bir AI görüntü arama aracı, tehdit aktörlerine “ücretsiz” hizmeti karşılığında yetkisiz sistem erişimi verir.

Virustotal tarayıcılar tarafından haftalarca tespit edilmeyen bu örnekler, Truva atlarının kötü niyetli mantığı birleştiriciler veya bağlayıcılar aracılığıyla bir araya getirmek yerine, kötü niyetli mantığı doğrudan işlevsel uygulamalara entegre ettikleri bir değişimi vurgulamaktadır.

Klasik Truva atlarının yeniden canlanması

Kötü amaçlı yazılım araştırmacıları tarafından tanımlanan bu “gerçek” Truva atlarını ayıran şey, yararlı temel uygulamadan ayrılmazlıklarıdır.

Polimorfik kötü amaçlı yazılım veya aldatıcı enfeksiyon vektörlerinin aksine, truva atları olarak yanlış etiketlenmiş, bu gömme tehditler uygulamanın reçete verilerinde steganografik olarak gizli komutlar veya danışma yanıtlarında C2 güdümlü kod yürütme gibi birincil işlevselliği içinde.

Tarihsel olarak son 10-15 yıl boyunca nadiren canlanmaları, büyük dil modellerinin (LLMS) erişilebilirliğinden kaynaklanmaktadır.

LLM’ler, tehdit aktörlerinin profesyonel düzenler, hatasız içerik ve AI-Kürlenmiş veritabanlarına sahip ikna edici web siteleri oluşturmalarını, kullanıcıların algılanan çabaya veya gramer kusurlarına dayalı bağırsak içgüdülerini aşmalarını sağlar.

Dahası, LLM’ler, bu uygulamalar için tamamen yeni, paketlenmemiş kod tabanlarının oluşturulmasını kolaylaştırır ve Virustotal gibi ileri davranışsal analizden yoksun çok tarayıcı platformlarda statik tarayıcılardan kaçar.

Llm-güdümlü kaçırma

G verilerine göre, LLM’ler ve antivirüs kaçırma arasındaki bağlantı statik tespit sınırlamalarında yatmaktadır.

Tehdit aktörleri, kötü amaçlı yazılımları, dinamik, bağlam farkında veya bellek içi analiz konusunda bilinen imzalara öncelik veren Virustotal’ın kısıtlı tarayıcılarına karşı test eder.

LLM öncesi, kaçınma genellikle paketleyicilerin tam yeniden yazmalara daha düşük çaba alternatifi olan kodu gizlemelerini gerektiriyordu.

Şimdi, LLM’ler, altı haftalık algılamamış çalışmasında görüldüğü gibi, ambalajı gereksiz ve uzatma sıfır tespit dönemlerini sunan steganografi detaylandıran yapılandırılmış, yorumlanan kodun üretilmesini otomatikleştiriyor.

Göstergeler, LLM’nin katılımını önermektedir, bu da ters mühendislere yardımcı olan aşırı yararlı yorumlar, manuel olarak hazırlanmış kötü amaçlı yazılımlarda nadirdir.

Bu eğilim sadece statik imzaların yetersizliğini vurgulamaktadır; Etkili savunmalar davranışsal izleme, dinamik analiz ve bağlamsal imzalar talep eder.

Antivirüs Çözümleri, Justaskjacky’nin randomize görev planlaması veya kurcalamanın Whitespace komutu yürütmesi gibi anomalileri çalışma zamanı.

Kullanıcılar için, korsanlık ve karma dosyalardan kaçınmak gibi uzun süredir devam eden alışkanlıklar önemlidir, ancak gelişmelidirler. Sağduyu, tavsiye edilir olsa da, LLM-cilalanmış tehditlere karşı meşru alanlardan ayırt edilemez.

Truva atları günlük araçlara daha derin entegre edildikçe, tespiti modern bağlamlarda onlarca yıllık tekniklerin ortaya çıkaran bu evrimine uyarlamak siber güvenlik esnekliği için kritik hale gelir.

Uzlaşma Göstergeleri (IOC)