Conscia ThreatInsights
Hvordan kan AI forenkle malware-angrep, og hvorfor er dette bekymringsfullt?

AI kan redusere utviklings- og distribusjonskostnadene for skadelig programvare, noe som gir nettkriminelle en fordel i møte med mål som er utilstrekkelig sikret. I denne artikkelen gir vi deg praktiske eksempler på mulighetene AI-utviklet kode gir og hvordan AI påvirker cyberrisiko for bedrifter.

En god ting: Utvikling av skadelig programvare er (fortsatt) dyrt

Når det gjelder malware-angrep, er den største utgiften for nettkriminelle å utvikle og vedlikeholde den ondsinnede koden og infrastrukturen de vil bruke (eller selge) i kampanjene sine. Dessuten er utvikling av skadevare den mest tidkrevende enkeltstående prosessen i hele nettangrepskjeden.

Å lage effektiv og pålitelig skadelig programvare krever ekspertise innen programvareutvikling, en ferdighet som er høyt etterspurt globalt. Å utvikle skadelig programvare innebærer ikke bare å skrive kode, men også å finne mulige sårbarheter å utnytte. I tillegg trenger trusselaktører en supporterende infrastruktur for å sette i gang angrep, koble seg opp til offerets maskiner og drive sine operasjoner. Disse oppgavene kan deles inn i flere roller, inkludert:

  • Sårbarhetsanalytikere
  • Expoloit-utviklere
  • Bot-vedlikeholdere
  • Operatører
  • Eksternt personell
  • Utviklere
  • Testere
  • Tekniske konsulenter
  • Sys Admins

 

 

Å ha alle disse ferdighetene tilgjengelig koster penger og gjør arbeidet vanskeligere for cyberkriminelle – eller med andre ord, det reduserer ROI (Return on Investment) på cyberangrep. Med utviklingen av kunstig intelligens kan AI-chatbots, som ChatGPT, redusere tiden det tar å kode. Dette vil gjøre cyberangrep billigere for trusselaktører.

Test: Lag skadelig programvare med AI

Utvikling av skadelig programvare er, som nevnt, den mest tidkrevende og kostbare delen av enhver cyberangrepskampanje. AI kan kanskje løse begge utfordringene. Vi undersøkte derfor hva tilgjengelige AI-ressurser kan klare hva gjelder utvikling av skadelig programvare og om nettkriminelle kunne bruke dem til sin fordel.

Vi brukte ChatGPT i eksperimentet vårt. ChatGPT er utviklet av OpenAI og trent ved hjelp av forsterket læring fra menneskelig tilbakemelding. Det er ment at ChatGPT skal kunne gjenkjenne upassende forespørsler og avvise dem, men det er alltid en kreativ måte å be om noe ulovlig på en «lovlig» måte. Dette er vår framgangsmåte for å få vår eksperimentelle ransomware som hypotetisk kan brukes i et cyberangrep:

1. Definer angrepsmål

Først tenkte vi på «hva skal være mulighetene til ransomwaren vår.» Vi bestemte at den skulle kunne gjøre følgende:

  • Arkivere interessante filer på disker og eksfiltrere dem til en ekstern server, og
  • Utføre kryptering av alle disker med en definert nøkkel

I hovedsak er dette de to kjernefunksjonene vår eksperimentelle ransomware ville gjøre på en potensiell offermaskin.

2. Be AI om å generere den grunnleggende koden

Så, alt vi trengte å gjøre var å be ChatGPT om å gi oss en Python-kode som utfører disse to oppgavene.

 

 

3.    Lateral bevegelse

OK, vi har gjort basiskoden. La oss legge til noen ekstra funksjoner til vår eksperimentelle ransomware, for eksempel rekognosering og lateral (sideveis) bevegelse.

Først ba vi ChatGPT om å generere en kommando ved å bruke Nmap for å skanne etter SMB-sårbarheter i et (mål)miljø.

 

Denne evnen vil oppdage systemer som bruker sårbar SMB-protokoll – et potensielt inngangspunkt for sideveis bevegelse.

Deretter ba vi ChatGPT om å generere en prosess for å koble til skjult ADMIN$-share på et eksternt system via SMB. Vi instruerte den om å bruke Metasploits PsExec-modul.

 

Med dette får vår eksperimentelle løsepengevare muligheten til å koble seg til det eksterne systemet via SMB og utføre payloaden, som i dette tilfellet er et meterpreter «reverse TCP Shell». I hovedsak vil dette gi en angriper et shell på målmaskinen med rettighetene til den angitte brukeren.

4. Tilleggsfunksjonalitet: Stjel passord

For den siste delen av eksperimentet prøvde vi å lage en infostealer malware. Denne funksjonaliteten vil muliggjøre passordtyveri. Derfor ba vi ChatGPT om å generere en Python-kode som ville koble seg til en SQLite-database (der Chrome lagrer passord) og utføre en SELECT-kommando på definerte kolonner der brukernavn og passord oppbevares og lagre dem i en fil.

Det er enkelt å erstatte placeholderen «database.db» med mappebanen til databasen der Chrome oppbevarer de lagrede passordene på maskinen.

Forstå resultatene

Vår nåværende testing viser at ChatGPT er en dyktig assistent til å generere kode. Det er imidlertid viktig å vurdere hvor snedige motstandere kan være når de kommer med forespørsler for å unngå at upassende forespørsler blir oppdaget. Vi har demonstrert forespørsler om vanlige trinn i en cyberangreps-kjede, og ChatGPT har levert imponerende resultater i løpet av sekunder. Selv om det kan være mulig å bruke AI til å utvikle exploits, vil det kreve en kreativ og godt utformet forespørsel, sannsynligvis bestående av flere individuelle forespørsler, for å lure AI-en til å tro at forespørselen ikke er til upassende formål.

Det er viktig å merke seg at dette er grunnleggende eksempler på hva ChatGPT kan gjøre. Ved å utforske forskjellige forespørsler kan du oppdage dets sanne potensial. Målet vårt var å utforske noen av de grunnleggende egenskapene til nåværende AI og hvordan den potensielt kunne hjelpe trusselaktører i deres kampanjer.

Whitepaper:

Cybersecurity and the human aspect

I dette whitepaperet ser vi nærmere på det menneskelige aspektet av cybersikkerhet og hvilke tiltak du kan innføre for å gjøre bedriften mer motstandsdyktig mot både eksterne og interne angrep.

Les mer

Se for deg egenskapene til slik kunstig intelligens når trusselaktører aktivt utnytter et miljø. I stedet for å måtte huske flere trinn for rekognosering, sideveis bevegelse, datainnsamling og implementering av bakdør, kan du be AI om å generere dem for deg. Dette kan være en tidkrevende og stressende oppgave for trusselaktører, spesielt når de skal tilpasse seg spesifikke miljøer. AI kan hjelpe dem med dette arbeidet mens de bare gir det instruksjoner.

En konstant kamp mellom angripere og forsvarere

Det er en konstant kamp mellom angripere og forsvarere under et cyberangrep. Jo raskere angripere kan gjennomføre stegene sine, jo raskere kan de nå målene sine – før forsvarerne oppdager dem. Med tilstrekkelig forskning på applikasjoner og sårbarheter er det mulig å lage forespørsler som til slutt genererer utnyttelseskode for potensielle zero day-sårbarheter. Det vil være interessant å se om det er en økning i oppdagede sårbarheter i 2023 på grunn av AIs påvirkning.

På den andre siden kan mindre erfarne trusselaktører, som mangler ferdigheter i programvareutvikling, oppleve at de bare trenger å forstå hvordan cyberangrep fungerer, ettersom AI kan generere kode som de kan bruke.

Totalt sett tror vi at den nåværende ChatGPT kan brukes til å redusere tiden som trengs for å utvikle visse biter av kode. Det er kanskje ikke enkelt å bruke det til å generere exploits, men det gjør en respektabel jobb med enklere skadevare som infostealere. Etter hvert som flere mennesker blir kjent med bruk av AI, vil dens evner forbedres og utvides.

OpenAI-teamet jobber også med å forbedre deteksjonsmulighetene for upassende forespørsler, ved å bruke filtre og kontroller, noe som er fint, men slik vi forstår det, er dette en «black list»-tilnærming. Innenfor cybersikkerhetsindustrien vet vi at en black list-tilnærming ikke er effektiv (f.eks. å legge til mistenkelige filhasher på en blacklist for et endepunktsikkerhetsprodukt), fordi det vil være umulig å samle alle ondsinnede indikatorer og sette dem inn i en slik liste. I stedet prøver vi å nærme oss problemet med en white list-løsning, der vi definerer hva som er «OK» (f.eks. tillater vi kun endepunktsikkerhetsprodukter å kjøre en forhåndsdefinert liste over applikasjoner).

Det store bildet: AIs innvirkning på cyberrisiko for virksomheten

Den nåværende tilstanden til AI-chatbots har muliggjort raskere kodeutvikling, inkludert ondsinnet kode. Dette kan gi trusselaktører en fordel i sine kampanjer ved å øke hastigheten på deres leveranser og redusere kostnadene ved å lage enklere skadelig programvare. Innen cybersikkerhet er hastighet avgjørende for å oppdage og begrense skaden av cyberangrep.

Hvis en organisasjon ikke har aktiv overvåking på plass, kan sikkerhetsprodukter raskt havne bakpå, med skiftende skadelig programvare utviklet med AI-hjelp, noe som gjør organisasjonen sårbar for angrep. For å bekjempe dette er det viktig å iverksette tiltak for sikkerhetsherding for å redusere angrepsflaten og gjøre det vanskeligere for motstandere å lykkes med sin hensikt. Selv med aktiv overvåking på plass, kan det fortsatt være utfordrende å fange motstandere før de lykkes.

Hos Conscia tilbyr vi tjenester for å hjelpe kundene våre med å møte deres cybersikkerhetsbehov, inkludert sikkerhetsherding, 24/7 overvåking og incident response-tjenester.

Disclaimer: Testene som dekkes i denne artikkelen er kun utført for forskningsformål og for å gi deg innsikt i hvordan AI-teknologier potensielt kan brukes av nettkriminelle. Eksemplene er informative og ikke omfattende nok til å brukes i faktiske angrep. Dessuten har vi testet det spesifikke verktøyet på grunn av dets popularitet. Vi antyder ikke at den testede løsningen (ChatGPT) er tilknyttet, eller støtter, noen kriminell aktivitet på noen måte.

Kontakt
Ta kontakt med Conscias eksperter