28.12.2024. - ИИ научили генерировать тысячи модификаций вирусов

ИИ научили генерировать тысячи модификаций вирусов

Исследователи в области кибербезопасности обнаружили, что можно использовать большие языковые модели (LLM) для масштабной генерации новых вариантов вредоносного кода JavaScript таким образом, чтобы лучше избегать обнаружения.

"Хотя LLM с трудом создают вредоносные программы с нуля, преступники могут легко использовать их для переписывания или маскировки существующих вредоносных программ, что затрудняет их обнаружение", - говорится в новом анализе исследователей Palo Alto Networks Unit 42. "Преступники могут побудить LLMS выполнить преобразования, которые выглядят гораздо более естественно, что усложняет обнаружение этого вредоносного ПО".

При достаточном количестве преобразований с течением времени этот подход может привести к снижению производительности систем классификации вредоносных программ, заставив их поверить, что фрагмент вредоносного кода на самом деле безвреден.

В то время как поставщики услуг LLM все чаще применяют меры безопасности, чтобы не допустить сбоя в работе и получения непреднамеренных результатов, злоумышленники рекламируют такие инструменты, как WormGPT, как способ автоматизации процесса создания убедительных фишинговых электронных писем, которые отправляются потенциальным адресатам и даже создают новое вредоносное ПО.

Еще в октябре 2024 года OpenAI сообщила, что заблокировала более 20 операций и мошеннических сетей, которые пытались использовать ее платформу для разведки, исследования уязвимостей, поддержки сценариев и отладки.

Подразделение 42 заявило, что использовало возможности LLMs для итеративного переписывания существующих образцов вредоносных программ с целью обойти обнаружение с помощью моделей машинного обучения (ML), таких как Innocent Until Provinced Guilty (IUPG) или PhishingJS, эффективно прокладывая путь к созданию 10 000 новых вариантов JavaScript без изменения функциональности.

Технология состязательного машинного обучения предназначена для преобразования вредоносного ПО с использованием различных методов, а именно переименования переменных, разделения строк, вставки нежелательного кода, удаления ненужных пробелов и полной переопределения кода, каждый раз, когда оно вводится в систему в качестве входных данных.

"Конечный результат - это новый вариант вредоносного JavaScript, который поддерживает то же поведение, что и исходный скрипт, но почти всегда имеет гораздо более низкую оценку вредоносности", - заявили в компании, добавив, что жадный алгоритм в 88% случаев изменил вердикт собственной модели классификатора вредоносных программ с вредоносного на доброкачественный.

Что еще хуже, такие переписанные артефакты JavaScript также не обнаруживаются другими анализаторами вредоносных программ при загрузке на платформу VirusTotal.

Еще одно важное преимущество обфускации на основе LLM заключается в том, что многие ее изменения выглядят намного естественнее, чем те, которые выполняются с помощью таких библиотек, как obfuscator.io, последние из которых легче обнаружить благодаря способу внесения изменений в исходный код.

"Количество новых вариантов вредоносного кода может увеличиться с помощью генеративного ИИ", - сказали в Unit 42. "Однако мы можем использовать ту же тактику для переписывания вредоносного кода, чтобы помочь генерировать обучающие данные, которые могут повысить надежность моделей ML".

Атака TPUXtract нацелена на TPU-файлы Google Edge

Группа ученых из Университета штата Северная Каролина разработала атаку по побочному каналу, получившую название TPUXtract, для проведения атак по краже моделей на тензорные процессоры Google Edge (TPU) с точностью 99,91%. Затем это может быть использовано для содействия краже интеллектуальной собственности или последующим кибератакам.

"В частности, мы демонстрируем атаку на кражу гиперпараметров, которая может извлекать все конфигурации слоев, включая тип слоя, количество узлов, размеры ядра/фильтра, количество фильтров, шаги, отступы и функцию активации", - сказали исследователи. "Самое примечательное, что наша атака является первой комплексной атакой, которая может извлекать ранее невидимые модели".

Атака "черным ящиком", по своей сути, улавливает электромагнитные сигналы, излучаемые TPU во время выполнения вычислений с использованием нейронной сети (что является следствием вычислительной нагрузки, связанной с запуском автономных моделей ML), и использует их для вывода гиперпараметров модели. Однако это зависит от того, имеет ли злоумышленник физический доступ к целевому устройству, не говоря уже о наличии дорогостоящего оборудования для зондирования и получения следов.

"Поскольку мы украли архитектуру и детали слоев, мы смогли воссоздать высокоуровневые функции искусственного интеллекта", - сказал Айдын Айсу, один из авторов исследования. "Затем мы использовали эту информацию для воссоздания функциональной модели искусственного интеллекта или ее очень близкого аналога".

EPSS признан уязвимым для манипуляционных атак

На прошлой неделе Morphisec также сообщила, что платформы искусственного интеллекта, такие как система оценки эксплойтов (EPSS), которая используется широким кругом поставщиков систем безопасности, могут подвергаться враждебным атакам, что влияет на то, как они оценивают риски и вероятность использования известной уязвимости программного обеспечения в дикой природе.

"Атака была нацелена на две ключевые функции в наборе функций EPSS: упоминания в социальных сетях и доступность общедоступного кода", - сказал исследователь безопасности Идо Икар, добавив, что можно повлиять на результаты работы модели, "искусственно завышая эти показатели", публикуя случайные сообщения на X о уязвимости в системе безопасности и создавая репозиторий на GitHub содержащий пустой файл, содержащий эксплойт для него.

Методика проверки концепции (PoC) показывает, что злоумышленник может использовать зависимость EPSS от внешних сигналов для повышения показателей активности конкретных CVE, потенциально "вводя в заблуждение" организации, которые рассчитывают на баллы EPSS при определении приоритетов своих усилий по управлению уязвимостями.

"После введения искусственной активности с помощью сгенерированных сообщений в социальных сетях и создания хранилища эксплойтов-заполнителей прогнозируемая вероятность использования модели увеличилась с 0,1 до 0,14", - отметил Икар. "Кроме того, процентильный рейтинг уязвимости вырос с 41-го до 51-го процентиля, что превысило средний уровень предполагаемой угрозы".

Источник