Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев

Исследователи в области кибербезопасности обнаружили, что с помощью больших языковых моделей (LLM) можно генерировать новые варианты вредоносного JavaScript-кода с возможностью масштабирования, чтобы лучше избегать обнаружения.

В новом отчете исследователей Palo Alto Networks Unit 42 сообщается:

Хотя с помощью LLM сложно создать вредоносное ПО с нуля, преступники могут легко использовать модели для переписывания или обфускации существующего вредоносного кода, что затрудняет его обнаружение.

Преступники могут попросить LLM выполнить преобразования, которые выглядят гораздо более естественно, что делает обнаружение такого вредоносного ПО более сложным.

При достаточном количестве преобразований со временем такой подход может снизить производительность систем классификации вредоносного ПО, заставив их поверить в то, что часть вредоносного кода на самом деле является легитимной.

В то время как поставщики LLM все чаще устанавливают защитные ограждения, чтобы предотвратить получение нежелательных результатов, злоумышленники рекламируют такие инструменты, как WormGPT, как способ автоматизации процесса создания убедительных фишинговых писем, которые направляются на потенциальные цели, и даже создания новых вредоносных программ.

Еще в октябре 2024 года компания OpenAI сообщила, что заблокировала более 20 операций и обманных сетей, которые пытались использовать ее платформу для разведки, исследования уязвимостей, поддержки скриптов и отладки.

Unit 42 заявила, что использует возможности LLM для итеративного переписывания существующих образцов вредоносного ПО с целью обхода обнаружения моделями машинного обучения (ML), такими как Innocent Until Proven Guilty (IUPG) или PhishingJS, фактически открывая путь для создания 10 000 новых вариантов JavaScript зловредов без изменения функциональности.

Вредоносная технология машинного обучения призвана трансформировать вредоносное ПО с помощью различных методов — переименования переменных, разделения строк, вставки нежелательного кода, удаления лишних пробелов и полной переделки кода.

Unit 42 отмечает:

В итоге на выходе получается новый вариант вредоносного JavaScript кода, который сохраняет то же поведение, что и исходный скрипт, но почти всегда имеет гораздо более низкую оценку вредоносности.

Жадный алгоритм меняет вердикт собственной модели классификатора вредоносного ПО с вредоносного на легитимный в 88 % случаев.

Что еще хуже, переписанные артефакты JavaScript также обходят обнаружение другими средствами анализа вредоносного ПО при загрузке на платформу VirusTotal.

Еще одним важным преимуществом обфускации на основе LLM является то, что множество переписанных фрагментов выглядят гораздо естественнее, чем те, которых добиваются библиотеки вроде obfuscator.io. Последние легче обнаружить и отследить благодаря тому, что они вносят изменения в исходный код.

Unit 42 поясняет:

Масштаб новых вариантов вредоносного кода может увеличиться с помощью генеративного ИИ. Однако мы можем использовать ту же тактику переписывания вредоносного кода, чтобы генерировать обучающие данные, которые повысят надежность моделей машинного обучения.

Атака TPUXtract нацелена на TPU Google Edge

Разоблачение произошло после того, как группа ученых из Университета штата Северная Каролина разработала атаку побочного канала, получившую название TPUXtract. Она служит для проведения атак с целью кражи моделей на тензорные процессоры Google Edge с точностью 99,91 %. Атака может быть использована для кражи интеллектуальной собственности или последующих кибератак.

Исследователи заявили:

В частности, мы продемонстрировали атаку с кражей гиперпараметров, которая может извлечь все конфигурации слоев, включая тип слоя, количество узлов, размеры ядра или фильтра, количество фильтров, страйды, прокладку и функцию активации. Что особенно важно, наша атака является первой комплексной атакой, способной извлекать ранее невидимые модели.

Атака «черного ящика», по своей сути, перехватывает электромагнитные сигналы, излучаемые TPU в процессе вычислений нейронной сети и использует их для получения гиперпараметров модели. Однако для этого необходимо, чтобы у злоумышленника был физический доступ к целевому устройству, не говоря уже о наличии дорогостоящего оборудования, позволяющего прощупать и получить следы.

Айдин Айсу (Aydin Aysu), один из авторов исследования, сказал:

Поскольку мы украли детали архитектуры и слоев, мы смогли воссоздать высокоуровневые функции ИИ. Затем мы использовали эту информацию для воссоздания функциональной модели ИИ или очень близкого к ней суррогата.

EPSS оказался восприимчив к атакам манипуляторов

На прошлой неделе компания Morphisec также сообщила, что системы ИИ, такие как Exploit Prediction Scoring System (EPSS), которая используется широким кругом поставщиков систем безопасности, могут подвергаться атакам противника, что влияет на то, как она оценивает риск и вероятность использования известной уязвимости ПО в атаках.

Исследователь безопасности Идо Икар (Ido Ikar) отметил:

Атака была направлена на две ключевые характеристики в наборе функций EPSS: упоминания в социальных сетях и доступность публичного кода. Можно повлиять на результаты модели, искусственно раздув эти показатели, поделившись случайными сообщениями на X о недостатке безопасности и создав репозиторий GitHub с пустым файлом, содержащим эксплойт.

Доказательство концепции (PoC) показывает, что угрожающий субъект может использовать зависимость EPSS от внешних сигналов для повышения показателей активности конкретных CVE, что может «ввести в заблуждение» организации, которые полагаются на показатели EPSS для определения приоритетов в работе с уязвимостями.

Икар добавил:

После искусственного нагнетания активности с помощью сгенерированных постов в социальных сетях и создания репозитория эксплойтов, предсказанная моделью вероятность эксплуатации увеличилась с 0,1 до 0,14. Кроме того, процентный рейтинг уязвимости вырос с 41-го до 51-го процентиля, превысив медианный уровень воспринимаемой угрозы.