Beveiligingsexperts slaagden erin om "zeer ontwijkende" polymorfe malware te creëren met behulp van ChatGPT,
De malware zou beveiligingsproducten kunnen omzeilen
Op 20 januari 2023 om 14:31 uur, door Bill Fassinou
Onderzoekers van cyberbeveiligingsbedrijf CyberArk beweren een methode te hebben ontwikkeld om polymorfe malware te genereren met behulp van ChatGPT, de AI-chatbot van OpenAI. Onderzoekers beweren dat door ChatGPT gegenereerde malware gemakkelijk beveiligingsproducten kan omzeilen en beperkende maatregelen omslachtig kan maken; dit alles met heel weinig inspanning of investeringen van de kant van de tegenstander. De onderzoekers waarschuwden voor wat zij noemen "een nieuwe golf van goedkope en gemakkelijke polymorfe malware die bepaalde beveiligingsproducten kan omzeilen".
Tot nu toe draaide de hype rond ChatGPT om zijn opmerkelijke mogelijkheden bij het beantwoorden van verschillende gebruikersvragen. ChatGPT lijkt overal goed in te zijn, inclusief het schrijven van essays, verzen en code om bepaalde programmeerproblemen op te lossen. Onderzoekers beginnen echter te waarschuwen voor het vermogen van de chatbot om werkende code te genereren. Hoewel ChatGPT werkende code kan genereren, kan deze mogelijkheid worden misbruikt door bedreigingsactoren om malware te maken. Sinds december zijn er verschillende van dergelijke rapporten gepubliceerd.
Onlangs heeft een team van beveiligingsonderzoekers, Eran Shimony en Omer Tsarfati, van CyberArk hier het bewijs van geleverd. De onderzoekers zeggen dat ze een methode hebben ontwikkeld om malware te genereren op basis van de prompts die aan ChatGPT worden verstrekt. In een rapport legde het team uit hoe de chatbot van OpenAI kan worden gebruikt om injectiecode te genereren en deze te muteren. De eerste stap bij het maken van de malware was het omzeilen van inhoudsfilters die voorkomen dat ChatGPT schadelijke tools maakt. Om dit te doen, stonden de onderzoekers er gewoon op en stelden ze dezelfde vraag op een meer gezaghebbende manier.
"Interessant genoeg kregen we werkende code door ChatGPT te vragen hetzelfde te doen met behulp van meerdere beperkingen en te gehoorzamen", aldus het team. Bovendien merkten de onderzoekers op dat bij gebruik van de API-versie van ChatGPT (in tegenstelling tot de webversie), het systeem zijn inhoudsfilter niet lijkt te gebruiken. "De reden hiervoor is niet duidelijk, maar het maakte het voor ons gemakkelijker, omdat de webversie de neiging heeft vast te lopen in complexere vragen", zeiden ze. De onderzoekers gebruikten vervolgens ChatGPT om de originele code te muteren, waardoor meerdere varianten van de malware ontstonden.
“Met andere woorden, we kunnen het resultaat in een opwelling muteren, waardoor het elke keer uniek wordt. Bovendien maakt het toevoegen van beperkingen, zoals het wijzigen van het gebruik van een specifieke API-aanroep, het leven van beveiligingsproducten moeilijker”, legt het onderzoeksrapport uit. Dankzij het vermogen van ChatGPT om continu injectoren te creëren en te muteren, waren de onderzoekers in staat om een zeer ongrijpbaar en moeilijk te detecteren polymorf programma te creëren. Ter herinnering: polymorfe malware is een type malware dat de mogelijkheid heeft om zijn identificeerbare kenmerken voortdurend te veranderen om detectie te omzeilen.
Veel voorkomende vormen van malware kunnen polymorf zijn, waaronder virussen, wormen, bots, Trojaanse paarden of keyloggers. Polymorfe technieken bestaan uit vaak veranderende identificeerbare kenmerken, zoals bestandsnamen en -typen of coderingssleutels, om de malware onherkenbaar te maken voor meerdere detectiemethoden. Polymorfisme wordt gebruikt om patroonherkenningsdetectie te omzeilen waar beveiligingsoplossingen zoals antivirussoftware op vertrouwen. Hun functionele doel van het programma blijft echter hetzelfde.
“Door gebruik te maken van de mogelijkheid van ChatGPT om persistentietechnieken, Anti-VM [Anti Virtual Machine]-modules en andere kwaadaardige payloads te ontwikkelen, zijn de mogelijkheden voor de ontwikkeling van malware enorm. Hoewel we ons niet hebben verdiept in de details van de communicatie met de C&C-server, zijn er verschillende manieren om dit discreet te doen zonder argwaan te wekken”, leggen ze uit. Volgens het rapport hadden ze weken nodig om een proof-of-concept te maken voor deze zeer ongrijpbare malware, maar kwamen ze uiteindelijk op de proppen met een manier om payloads uit te voeren met behulp van tekstprompts op de pc.
Door de methode op Windows te testen, rapporteerden de onderzoekers dat het mogelijk was om een malwarebundel te maken met een Python-interpreter, die kan worden geprogrammeerd om ChatGPT periodiek om nieuwe modules te vragen. Deze modules kunnen code bevatten - in tekstvorm - die de functionaliteit van de malware definieert, zoals code-injectie, bestandsversleuteling of persistentie. De malware zou dan verantwoordelijk zijn voor het controleren of de code werkt zoals verwacht op het doelsysteem. Dit zou kunnen worden bereikt door interactie tussen de software en een command and control (C&C) server.
Omdat de malware binnenkomende payloads als tekst in plaats van binair detecteert, zeiden CyberArk-onderzoekers dat de malware geen verdachte logica in het geheugen bevat, wat betekent dat het de meeste producten kan omzeilen. Het ontwijkt met name producten die afhankelijk zijn van handtekeningdetectie en omzeilt de maatregelen van de Malware Analysis Interface (AMSI). "De malware bevat geen kwaadaardige code op schijf, omdat het code ontvangt van ChatGPT, deze vervolgens valideert en uitvoert zonder sporen achter te laten in het geheugen", zei Shimony.
“Polymorfe malware is erg moeilijk voor beveiligingsproducten omdat je het niet echt kunt ondertekenen. Bovendien laten ze meestal geen spoor achter op het bestandssysteem, omdat hun kwaadaardige code alleen in het geheugen wordt gemanipuleerd. En als iemand het uitvoerbare bestand bekijkt, ziet het er waarschijnlijk goedaardig uit, "voegde de onderzoeker eraan toe. Het onderzoeksteam zei dat een cyberaanval waarbij gebruik wordt gemaakt van deze methode voor het afleveren van malware "niet alleen een hypothetisch scenario is, maar een zeer reële zorg". Shimony noemde detectieproblemen als een primaire zorg.
“De meeste antimalwareproducten zijn zich niet bewust van deze malware. Verder onderzoek is nodig om ervoor te zorgen dat anti-malware-oplossingen er effectiever tegen kunnen werken”, zei hij. De onderzoekers zeiden dat ze dit onderzoek verder zullen uitbreiden en uitwerken en ook zullen proberen een deel van de broncode van de malware vrij te geven voor leerdoeleinden. Hun rapport komt weken nadat Check Point Research ontdekte dat ChatGPT werd gebruikt om nieuwe kwaadaardige tools te ontwikkelen, waaronder informatiestelers.
Bron: CyberArk
izentrop schreef:Een gek ChatGPT-voorbeeld:
...
Terug naar "Wetenschap en Technologie"
Gebruikers die dit bekijken forum : Geen geregistreerde gebruikers en 179-gasten
