Специалисты кибербезопасности создали с помощью ИИ полиморфный вредонос BlackMamba

• 10 марта, 2023
• 11:30

Внедрение ChatGPT и прочих больших языковых моделей ознаменовало собой своеобразную революцию. Синтез кода стал простым, понятным, быстрым и бесплатным для всех. Этот мощный и универсальный инструмент можно использовать в том числе для создания вредоносных программ, которые в будущем могут вылиться в новый и крайне опасный вид полиморфных киберугроз.

Традиционные решения безопасности, такие как EDR, используют многоуровневые системы анализа данных для борьбы с некоторыми из самых сложных современных угроз. Разработчики большинства автоматизированных инструментов безопасности утверждают, что их детище предотвращает новые или нестандартные модели поведения чуть ли не каждый день. Но на практике это происходит очень редко.

Используя новые методы создания вредоносного ПО, такие как нейросетевые алгоритмы, злоумышленники могут комбинировать ряд легко обнаруживаемых действий в необычную «сборную солянку» и эффективно уклоняться от обнаружения. Потому что антивирусные модели просто не смогут распознать такой софт как вредоносный.

Проблема усугубится, когда искусственный интеллект сможет самостоятельно «стать у руля» и полностью руководить кибератаками. Поскольку выбранные им методы могут быть весьма нетипичными по сравнению с теми, которые использует человек. Кроме того, ошеломляющая скорость, с которой эти атаки могут быть выполнены, делают угрозу многократно опаснее.

Чтобы продемонстрировать, на что способно вредоносное ПО на основе ИИ, специалисты из компании Hyas — это канадская компания, которая занимается разработкой и предоставлением решений для кибербезопасности. Они специализируются на исследовании и анализе киберугроз, предоставляя инструменты для обнаружения и пресечения кибератак на различных уровнях, включая угрозы в сети Интернет и угрозы в области финансовой безопасности.

» data-html=»true» data-original-title=»Hyas»>Hyas создали простой PoC (Proof-of-Concept) (доказательство концепции) — реализация метода и его демонстрация на практике, чтобы доказать, что концепция или теория работает.

» data-html=»true» data-original-title=»PoC»>PoC-Эксплойт (от англ. Exploit — означает «использовать что-то в своих интересах») — компьютерная программа, фрагмент программного кода или последовательность команд, которые используют ошибку или уязвимость для проведения атак на компьютерное ПО, аппаратное обеспечение или электронные устройства. Целью атаки является получение контроля над компьютерной системой, повышения привилегий или атака типа «отказ в обслуживании» (DoS или связанная с ней DDoS).
Эксплойты обычно классифицируются и называются по: типу уязвимости, которую они используют; являются ли они локальными или удаленными; а также результатом запуска эксплойта (например, EoP, DoS, спуфинг). Одной из схем, предлагающих эксплойты нулевого дня, является Exploit-as-a-Service.

» data-html=»true» data-original-title=»Эксплойт»>эксплойт, использующий большую языковую модель для синтеза функций полиморфного кейлоггера и динамического изменения кода прямо во время его выполнения. И всё это без какой-либо Инфраструктура управления и контроля, также известная как C2, или C&C (сокр. от англ. «command-and-control»), представляет собой набор инструментов и методов, которые злоумышленники используют для обмена данными со скомпрометированными устройствами после первоначального вторжения (пост-эксплуатации). Конкретные механизмы атак сильно отличаются друг от друга, но обычно C2 включает один или несколько скрытых каналов связи между устройствами в атакуемой организации и контролируемой злоумышленником платформой. Эти каналы связи используются для передачи инструкций взломанным устройствам, загрузки дополнительных вредоносных данных и передачи украденных данных злоумышленнику.

» data-html=»true» data-original-title=»C2″>C2-инфраструктуры для доставки или проверки функциональности. Специалисты дали своему вредоносу название «BlackMamba» в честь смертельно опасной змеи.

Исследователи Hyas смогли объединить две, казалось бы, несовместимые концепции. Первая заключалась в устранении канала управления и контроля (C2-сервер – это термин, используемый в кибербезопасности, который и означающий командно-контрольный сервер. На C2-сервере обычно находится управляющее ПО, которое позволяет злоумышленнику удаленно контролировать и управлять компьютером жертвы, получать доступ к конфиденциальной информации и проводить другие атаки.
C2-серверы могут быть использованы для проведения различных видов кибератак, таких как кража конфиденциальных данных, шпионаж, распространение вредоносного ПО, проведение DDoS-атак и других.

» data-html=»true» data-original-title=»C2-сервер»>C2-сервера), чтобы автоматизировать действия вредоносного ПО. А вторая концепция подразумевала использование методов генерации кода при помощи искусственного интеллекта, чтобы вредоносная программа сама видоизменялась на лету, пополняя свой «боевой арсенал», и эффективнее уклонялась от обнаружения.

BlackMamba использует безопасный исполняемый файл, который во время выполнения обращается к доверенному домену OpenAI — это компания, которая занимается исследованиями и разработкой в области искусственного интеллекта. Она была основана в 2015 году и создана с целью сделать искусственный интеллект более доступным и безопасным для людей. Компания разрабатывает и использует нейронные сети и другие методы искусственного интеллекта для решения различных задач, включая анализ данных, генерацию текста, голоса, изображений и т.д.

» data-html=»true» data-original-title=»OpenAI»>OpenAI. Затем вредонос выполняет динамически сгенерированный код в контексте безобидной программы, используя функцию exec() Python. При этом вся вредоносная полиморфная часть программы остаётся полностью в памяти, что так же не способствует обнаружению антивирусными решениями.

Каждый раз, когда BlackMamba запускается, она повторно синтезирует все свои возможности кейлогинга, делая основной вредоносный компонент по-настоящему полиморфным. Вредонос был протестирован одним из ведущих в отрасли EDR-решением (неназванным, к сожалению) и множество раз остался абсолютно необнаруженным.

Используя встроенную функцию кейлоггинга, BlackMamba может собирать конфиденциальную информацию, такую ​​как имена пользователей, пароли, номера кредитных карт и другие личные или конфиденциальные данные, которые пользователь вводит на своём устройстве. После захвата этих данных вредоносное ПО использует веб-перехватчик Microsoft Teams для отправки собранных данных на вредоносный канал, где данные можно проанализировать и затем продать в даркнете. Так как Microsoft Teams так же является доверенным доменом, антивирусные решения не реагировали на выгрузку данных через этот канал.

Для упаковки и доставки вредоноса на целевой компьютер потенциальные злоумышленники могут воспользоваться популярным инструментом Auto-py-to-exe. Это пакет Python с открытым исходным кодом, который позволяет разработчикам преобразовывать свои Python-скрипты в автономные исполняемые файлы, которые можно запускать в операционных системах Windows, macOS и Linux. Хотя этот пакет предназначен для законного использования, он также может использоваться авторами вредоносных программ для упаковки своих «творений» на основе Python в исполняемые файлы, которые можно распространять и запускать в целевой системе без необходимости установки дополнительного ПО.

После создания исполняемого файла хакер может распространить его среди потенциальных целей по ссылкам в электронной почте, схемам социальной инженерии и другими типичными способами. Когда жертва выполнит исполняемый файл, вредоносное ПО скрытно запустится в его системе и сможет выполнять различные вредоносные действия, такие как кража конфиденциальной информации, изменение системных настроек или загрузка дополнительных вредоносных программ.

Угрозы, исходящие от этого нового вида вредоносных программ, вполне реальны. Благодаря устранению связи с C2-сервером и генерации нового уникального кода прямо во время выполнения вредоносной программы, такие вредоносы, как BlackMamba, практически не обнаруживаются современными антивирусными решениями.

В эпоху стремительного развития искусственного интеллекта и постоянным пополнением сфер его применения, крайне важно сохранять бдительность и ещё тщательнее относиться к собственной информационной безопасности. Если киберпреступники действительно начнут массово внедрять ИИ-технологии в свои вредоносные продукты, кто знает, к чему вообще это может привести. Сюжет «Терминатора» уже и не кажется таким нереальным и футуристичным, когда регулярно натыкаешься на подобные новости.