Siber güvenlik araştırmacıları, çalışma zamanında kötü amaçlı kod oluşturmak için Büyük Dil Modelinden (LLM) yararlanan, bilinen en eski kötü amaçlı yazılım örneği olduğuna inanılan şeyi tespit etti.
SentinelLABS tarafından ‘MalTerminal’ olarak adlandırılan kötü amaçlı yazılım, dinamik olarak fidye yazılımı kodu oluşturmak ve kabukları tersine çevirmek için OpenAI’nin GPT-4’ünü kullanıyor ve tespit ve tehdit analizi için yeni ve zorlu bir zorluk sunuyor.
Keşif, kötü niyetli mantığın kötü amaçlı yazılımın kendisine sabit kodlanmadığı, ancak harici bir yapay zeka modeli tarafından anında oluşturulduğu, düşman ticaretinde önemli bir değişimi vurguluyor.
Bu yaklaşım, kodun her yürütme için benzersiz olabilmesi nedeniyle statik imzalar gibi geleneksel güvenlik önlemlerini etkisiz hale getirebilir. Bulgular, tehdit aktörlerinin LLM’leri nasıl silah haline getirdiğine ilişkin daha geniş araştırmanın bir parçasıydı.
Yeni Nesil Uyarlanabilir Tehditler
İkna edici kimlik avı e-postaları oluşturmak veya AI yazılımını yem olarak kullanmak gibi AI’nın diğer düşmanca kullanımlarından farklı olarak, LLM özellikli kötü amaçlı yazılım, modelin yeteneklerini doğrudan yüküne yerleştirir. Bu, kötü amaçlı yazılımın davranışını hedef ortama göre uyarlamasına olanak tanır.
SentinelLABS araştırmacıları bu tehdidi, basitçe oluşturulan kötü amaçlı yazılımlardan ayıran net bir tanım oluşturdular. ile olgunlaşmamış kaldığını belirttikleri bir Yüksek Lisans.
LLM özellikli kötü amaçlı yazılımlarla ilgili temel endişe, öngörülemezliğidir. Kod oluşturma işleminin bir LLM’ye aktarılmasıyla, kötü amaçlı yazılımın eylemleri önemli ölçüde farklılık gösterebilir, bu da güvenlik araçlarının bu davranışı tahmin etmesini ve engellemesini zorlaştırır.
Kavram kanıtı niteliğinde bir fidye yazılımı olan PromptLock ve Rus APT28 grubuyla bağlantılı LameHug (veya PROMPTSTEAL) gibi daha önce belgelenen vakalar, LLM’lerin sistem komutları oluşturmak ve verileri dışarı çıkarmak için nasıl kullanılabileceğini gösterdi. Bu örnekler daha gelişmiş tehditlerin avlanmasının yolunu açtı.
Bu atılım, SentinelLABS tarafından geliştirilen yeni bir tehdit avlama metodolojisinden geldi. Araştırmacılar, kötü amaçlı kod aramak yerine LLM entegrasyonunun eserlerini aradılar: gömülü API anahtarları ve belirli bilgi istemi yapıları.
OpenAI ve Anthropic gibi büyük LLM sağlayıcıları için temel kalıpları tespit etmek amacıyla YARA kuralları yazdılar. VirusTotal’da bir yıl süren bir retrohunt, gömülü anahtarlara sahip 7.000’den fazla örneği işaretledi; ancak bunların çoğu, kötü niyetli olmayan geliştirici hatalarıydı.
MalTerminal’i bulmanın anahtarı, birden fazla API anahtarına sahip örneklere odaklanmak, kötü amaçlı yazılımlar için bir yedekleme taktiği ve kötü amaçlı istemleri avlamaktı.
Araştırmacılar, keşfedilen istemlerin kötü niyetliliğini puanlamak için bir Yüksek Lisans sınıflandırıcısı kullandılar. Bu strateji onları bir dizi Python betiğine ve adında bir Windows yürütülebilir dosyasına yönlendirdi. MalTerminal.exe.
Analiz, Kasım 2023’te kullanımdan kaldırılan, kullanımdan kaldırılmış bir OpenAI sohbet tamamlama API’si uç noktası kullandığını gösterdi. Bu, kötü amaçlı yazılımın bu tarihten önce geliştirildiğini ve türünün bilinen en eski örneği olduğunu gösteriyor.
MalTerminal, operatörden fidye yazılımı dağıtma veya ters kabuk kullanma arasında seçim yapmasını ister ve ardından gerekli kodu oluşturmak için GPT-4’ü kullanır.
| Dosya adı | Amaç | Notlar |
|---|---|---|
| MalTerminal.exe | Kötü amaçlı yazılım | Derlenmiş Python2EXE örneği:C:\Users\Public\Proj\MalTerminal.py |
| testAPI.py (1) | Kötü amaçlı yazılım | Kötü amaçlı yazılım oluşturucu Kavram Kanıtı (PoC) komut dosyaları |
| testAPI.py (2) | Kötü amaçlı yazılım | Kötü amaçlı yazılım oluşturucu PoC komut dosyaları |
| TestMal2.py | Kötü amaçlı yazılım | MalTerminal’in erken bir sürümü |
| TestMal3.py | Savunma Aracı | “FalconShield: Şüpheli Python dosyalarını analiz etmek için bir araç.” |
| Defe.py (1) | Savunma Aracı | “FalconShield: Şüpheli Python dosyalarını analiz etmek için bir araç.” |
| Defe.py (2) | Savunma Aracı | “FalconShield: Şüpheli Python dosyalarını analiz etmek için bir araç.” |
Siber Savunma Tehditler için
MalTerminal, PromptLock ve LameHug gibi kötü amaçlı yazılımların ortaya çıkışı siber savunmada yeni bir sınırın sinyalini veriyor. Başlıca zorluk, algılama imzalarının artık statik kötü amaçlı mantığa dayanamamasıdır.
Ayrıca meşru LLM API’lerine giden ağ trafiğinin kötü niyetli kullanımdan ayırt edilmesi zor olabilir. Ancak bu yeni kötü amaçlı yazılım sınıfının kendi zayıflıkları vardır. Harici API’lere bağımlılığı ve API anahtarlarını ve istemlerini koduna yerleştirme ihtiyacı, tespit için yeni fırsatlar yaratır.
Bir API anahtarı iptal edilirse kötü amaçlı yazılım etkisiz hale getirilebilir. Araştırmacılar ayrıca bu eserleri arayarak, güvenlik açığı enjektörleri ve kişi arama aracıları da dahil olmak üzere diğer saldırgan LLM araçlarını da keşfettiler.
Yüksek Lisans destekli kötü amaçlı yazılım hala deneysel aşamada olsa da, geliştirilmesi, savunuculara, kötü amaçlı kodların talep üzerine üretildiği bir geleceğe yönelik stratejilerini uyarlama konusunda kritik bir fırsat sunuyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
