ChatGPT 驱动的恶意软件绕过 EDR

HYASJeff Sims研究中,他创建了“Blackmamba”,一种“AI合成多态键盘记录器”,它使用python随机修改其程序。

T这个多态键盘记录器的基本组件需要一个像ChatGPT这样的LLM,大型语言模型。OpenAI API 客户端(一种无害的 API)的恶意提示将绕过 EDR(端点检测和响应)过滤器。

Jeff使用的恶意提示要求text-davinci-003在python 3中创建键盘记录器(白皮书第6页上的具体提示)。Jeff利用python exec()函数“在运行时动态执行python代码。[因为]它接受一个包含您要执行的代码的字符串作为输入,然后执行该代码。

这意味着什么。

ChatGPT / text-davinci-003每次调用程序时都会为键盘记录器编写一个独特的python脚本。这使得它“多态”,EDR更难阻止它。

如果由于 ChatGPT 编写的代码不佳而无法正确执行代码,则可以再次编写代码。

杰夫·西姆斯(Jeff Sims)为人工智能合成的多态恶意软件创建了一个概念验证:绕过领先EDR的键盘记录器。使用 Dall-E 生成的图像。

然后远程获取代码并通过OpenAI API执行。

使用MS Teams作为“通过可信渠道进行的恶意通信”,Jeff的BlackMamba键盘记录器可以“收集敏感信息,例如用户名,密码,信用卡号以及其他个人或机密数据”。然后使用网络钩子,数据可以被泄露(到暗网等)。

为什么选择微软团队?

MS Teams与其他内部通信工具(如Slack)一样,是获得组织内部访问权限的多汁目标 – 特别是有价值的目标,因为它们与许多其他重要工具(警报,JIRA,Salesforce等)互连。

2022年9月,

优步 通过破坏其 Slack 实例遭受这样的攻击,威胁行为者在 2021 年也通过其 Slack 实例入侵了 EA Games 2023 年初,Slack 的一些源代码被盗。因此,我们可以预期,像Slack和MS Teams这样的内部通信工具将越来越多地被黑客利用为恶意条目。

Python 到 .exe,传播恶意软件。

为了使python代码可移植,或传递给其他目标,Jeff解释说,开源auto-py-to-exe将python转换为可以在Windows,macOS和Linux系统上运行的.exe文件。然后,可以通过“电子邮件,社会工程方案”更轻松地在目标环境中共享它。

总之,这种动态恶意软件将使自己对EDR软件不可见,以及真正的进化或多态恶意软件。在我看来,这种概念证明令人印象深刻。我害怕它在勒索软件攻击中真正出现的那一天。

原文链接:ChatGPT Powered Malware Bypasses EDR | by David Merian | Mar, 2023 | System Weakness

发表评论

您的邮箱地址不会被公开。 必填项已用 * 标注

滚动至顶部