Anında kodunu değiştiren, kavram kanıtlamalı, yapay zeka (AI) güdümlü bir siber saldırı, en son otomatikleştirilmiş güvenlik algılama teknolojisini geçerek tespit edilemeyen kötü amaçlı yazılım oluşturma potansiyelini ortaya çıkarabilir.
HYAS Labs araştırmacıları, ChatGPT’nin temel aldığı teknoloji olan büyük bir dil modelini (LLM) kullanan ve BlackMamba adını verdikleri kavram kanıtı saldırısını gösterdiler. — polimorfik bir keylogger işlevselliğini anında sentezlemek için. Araştırmacılar, saldırının “gerçekten polimorfik” olduğunu, çünkü BlackMamba’nın her yürüttüğünde, keylogging yeteneğini yeniden sentezlediğini yazdı.
Bir blog gönderisinde özetlenen BlackMamba saldırısı, yapay zekanın, kötü amaçlı yazılımın herhangi bir komut ve kontrol (C2) altyapısı olmadan çalışma zamanında iyi huylu kodu dinamik olarak değiştirmesine nasıl izin verebileceğini ve bu da kötü amaçlı yazılımın bakmak için ayarlanmış mevcut otomatik güvenlik sistemlerini geçmesine nasıl izin verdiğini gösteriyor. saldırıları tespit etmek için bu tür davranışlar için dışarı.
“Uç nokta algılama ve müdahale (EDR) gibi geleneksel güvenlik çözümleri, günümüzün en karmaşık tehditlerinden bazılarıyla mücadele etmek için çok katmanlı veri zekası sistemlerinden yararlanır ve çoğu otomatik kontrol, yeni veya düzensiz davranış modellerini önleme iddiasındadır.” HYAS Laboratuvarları araştırmacılar yazdı. “Ancak pratikte bu çok nadiren oluyor.”
Saldırıyı, özel olarak tanımlanmayan ancak “endüstri lideri” olarak nitelendirilen ve genellikle sıfır uyarı veya algılamayla sonuçlanan bir EDR sistemine karşı test ettiler.
Araştırmacılar, yerleşik keylogging yeteneğini kullanarak, BlackMamba’nın bir cihazdan kullanıcı adları, şifreler ve kredi kartı numaraları dahil olmak üzere hassas bilgileri toplayabildiğini söyledi. Bu veriler yakalandıktan sonra kötü amaçlı yazılım, toplanan verileri kötü amaçlı bir Teams kanalına göndermek için ortak ve güvenilir bir işbirliği platformu olan Microsoft Teams’i kullanır. Oradan, saldırganlar verileri Dark Web’de satarak veya başka saldırılar için kullanarak çeşitli hain şekillerde kullanabilirler. HYAS Laboratuvarları araştırmacılar dedi.
“MS Teams, kuruluşlar tarafından yaygın olarak kullanılan meşru bir iletişim ve işbirliği aracıdır, bu nedenle kötü amaçlı yazılım yazarları, güvenlik duvarları ve izinsiz giriş tespit sistemleri gibi geleneksel güvenlik savunmalarını atlamak için bundan yararlanabilir.” “Ayrıca, veriler şifreli kanallar üzerinden gönderildiğinden, kanalın hırsızlık için kullanıldığını tespit etmek zor olabilir.”
Ayrıca, BlackMamba’nın dağıtım sistemi açık kaynaklı bir Python paketine dayandığından, geliştiricilerin Python komut dosyalarını Windows, macOS ve Linux dahil olmak üzere çeşitli platformlarda çalıştırılabilen bağımsız yürütülebilir dosyalara dönüştürmesine olanak tanır, diye yazdılar.
Modern Güvenlik İçin Bunun Anlamı
Tehdit aktörleri, ChatGPT ve LLM tabanlı diğer gelişmiş veri zekası sistemlerini kullanan polimorfik kötü amaçlı yazılımlar oluşturdukça, bunun gibi yapay zeka destekli saldırılar artık daha yaygın hale gelecek. HYAS Laboratuvarları araştırmacılar. Bu da otomatik güvenlik teknolojisini bu tehditleri yönetmek ve bunlarla mücadele etmek için gelişmeye zorlayacaktır.
Araştırmacılar gönderide “Bu yeni kötü amaçlı yazılım türünün oluşturduğu tehditler çok gerçektir. C2 iletişimini ortadan kaldırarak ve çalışma zamanında yeni, benzersiz kod oluşturarak, BlackMamba gibi kötü amaçlı yazılımlar günümüzün tahmine dayalı güvenlik çözümleri tarafından neredeyse tespit edilemez.”
Tipik olarak, modern bir güvenlik yığınının parçası olarak EDR ve diğer otomatikleştirilmiş güvenlik kontrollerini dağıtan kuruluşlar, kötü niyetli etkinliği tespit etmek ve önlemek için ellerinden gelen her şeyi yaptıklarına inanırlar. Ancak, BlackMamba’nın AI kullanımı artık “kusursuz olmadıklarını” gösteriyor. HYAS Laboratuvarları araştırmacılar kaydetti.
“BlackMamba kavram kanıtı, LLM’lerin anında polimorfik keylogger işlevselliğini sentezlemek için kullanılabileceğini gösteriyor, bu da EDR’nin müdahale etmesini zorlaştırıyor” diye yazdılar.
Araştırmacılara göre, güvenlik manzarası, saldırganların ufukta görünen daha karmaşık saldırılara ayak uydurmak için yapay zekayı kullanmasıyla birlikte gelişmek zorunda kalacak. O zamana kadar, kuruluşların “tetikte olmaları, güvenlik önlemlerini güncel tutmaları” ve bu alanda yürütülen en son araştırmaları faaliyete geçirerek ortaya çıkan yeni tehditlere uyum sağlamaları zorunludur.