Sicherheitsexperten gelang es, mithilfe von ChatGPT „hochgradig ausweichende“ polymorphe Malware zu erstellen.
Die Malware wäre in der Lage, Sicherheitsprodukte zu umgehen
Am 20. Januar 2023 um 14:31 Uhr, von Bill Fassinou
Forscher des Cybersicherheitsunternehmens CyberArk behaupten, eine Methode zur Generierung polymorpher Malware mit ChatGPT, dem KI-Chatbot von OpenAI, entwickelt zu haben. Forscher behaupten, dass von ChatGPT generierte Malware Sicherheitsprodukte leicht umgehen und Minderungsmaßnahmen umständlich machen kann; all dies mit sehr geringem Aufwand oder Investitionen seitens des Gegners. Die Forscher warnten vor einer, wie sie es nennen, „neuen Welle billiger und einfacher polymorpher Malware, die bestimmte Sicherheitsprodukte umgehen kann“.
Bisher drehte sich der Hype um ChatGPT um seine bemerkenswerten Fähigkeiten bei der Beantwortung verschiedener Benutzerfragen. ChatGPT scheint in allem gut zu sein, einschließlich des Schreibens von Aufsätzen, Versen und Codes zur Lösung bestimmter Programmierprobleme. Forscher haben jedoch begonnen, vor den Fähigkeiten des Chatbots zu warnen, funktionierenden Code zu generieren. Tatsächlich kann ChatGPT zwar funktionierenden Code generieren, diese Fähigkeit kann jedoch von Angreifern missbraucht werden, um Malware zu erstellen. Seit Dezember wurden mehrere solcher Berichte veröffentlicht.
Kürzlich lieferte ein Team von Sicherheitsforschern, Eran Shimony und Omer Tsarfati, von CyberArk Beweise dafür. Die Forscher sagen, dass sie eine Methode entwickelt haben, um Malware aus den Eingabeaufforderungen für ChatGPT zu generieren. In einem Bericht erklärte das Team, wie der Chatbot von OpenAI verwendet werden kann, um Injektionscode zu generieren und ihn zu mutieren. Der erste Schritt bei der Erstellung der Malware bestand darin, Inhaltsfilter zu umgehen, die ChatGPT daran hinderten, schädliche Tools zu erstellen. Um dies zu tun, bestanden die Forscher einfach darauf und stellten dieselbe Frage auf eine maßgeblichere Weise.
„Interessanterweise haben wir funktionierenden Code erhalten, indem wir ChatGPT gebeten haben, dasselbe zu tun, indem wir mehrere Einschränkungen verwenden und es bitten, zu gehorchen“, sagte das Team. Darüber hinaus stellten die Forscher fest, dass das System bei Verwendung der API-Version von ChatGPT (im Gegensatz zur Webversion) seinen Inhaltsfilter nicht zu verwenden scheint. „Der Grund dafür ist nicht klar, aber es hat es für uns einfacher gemacht, da die Webversion dazu neigt, sich in komplexeren Abfragen zu verzetteln“, sagten sie. Die Forscher verwendeten dann ChatGPT, um den ursprünglichen Code zu mutieren und mehrere Variationen der Malware zu erstellen.
„Mit anderen Worten, wir können das Ergebnis nach Lust und Laune verändern und es jedes Mal einzigartig machen. Darüber hinaus erschwert das Hinzufügen von Einschränkungen, wie z. B. das Ändern der Verwendung eines bestimmten API-Aufrufs, das Leben von Sicherheitsprodukten“, erklärt der Studienbericht. Dank der Fähigkeit von ChatGPT, Injektoren kontinuierlich zu erstellen und zu mutieren, waren die Forscher in der Lage, ein äußerst schwer fassbares und schwer zu erkennendes polymorphes Programm zu erstellen. Zur Erinnerung: Polymorphe Malware ist eine Art von Malware, die in der Lage ist, ihre identifizierbaren Merkmale ständig zu ändern, um der Erkennung zu entgehen.
Viele gängige Formen von Malware können polymorph sein, darunter Viren, Würmer, Bots, Trojaner oder Keylogger. Polymorphe Techniken bestehen aus häufig wechselnden identifizierbaren Merkmalen wie Dateinamen und -typen oder Verschlüsselungsschlüsseln, um die Malware für mehrere Erkennungsmethoden unkenntlich zu machen. Polymorphismus wird verwendet, um der Erkennung von Mustern zu entgehen, auf die Sicherheitslösungen wie Antivirensoftware angewiesen sind. Ihr funktionaler Zweck des Programms bleibt jedoch derselbe.
„Durch die Verwendung der Fähigkeit von ChatGPT, Persistenztechniken, Anti-VM-Module [Anti Virtual Machine] und andere bösartige Payloads zu erzeugen, sind die Möglichkeiten für die Entwicklung von Malware enorm. Obwohl wir uns nicht mit den Einzelheiten der Kommunikation mit dem C&C-Server befasst haben, gibt es mehrere Möglichkeiten, dies diskret zu tun, ohne Verdacht zu erregen“, erklären sie. Dem Bericht zufolge brauchten sie Wochen, um einen Proof-of-Concept für diese schwer fassbare Malware zu erstellen, fanden aber schließlich eine Möglichkeit, Payloads mithilfe von Texteingabeaufforderungen auf dem PC auszuführen.
Durch Tests der Methode unter Windows berichteten die Forscher, dass es möglich war, ein Malware-Bundle zu erstellen, das einen Python-Interpreter enthält, der so programmiert werden kann, dass er ChatGPT regelmäßig nach neuen Modulen fragt. Diese Module könnten Code – in Textform – enthalten, der die Funktionalität der Malware definiert, wie z. B. Code-Injektion, Dateiverschlüsselung oder Persistenz. Die Malware wäre dann dafür zuständig zu prüfen, ob der Code auf dem Zielsystem wie erwartet funktioniert. Dies könnte durch Interaktion zwischen der Software und einem Command and Control (C&C)-Server erreicht werden.
Da die Malware eingehende Payloads als Text und nicht als Binärdatei erkennt, sagten Forscher von CyberArk, dass die Malware keine verdächtige Logik im Speicher enthält, was bedeutet, dass sie die meisten Produkte umgehen kann. Es entzieht sich insbesondere Produkten, die auf Signaturerkennung setzen, und umgeht die Maßnahmen des Malware Analysis Interface (AMSI). „Die Malware enthält keinen schädlichen Code auf der Festplatte, da sie Code von ChatGPT empfängt, ihn dann validiert und ausführt, ohne Spuren im Speicher zu hinterlassen“, sagte Shimony.
„Polymorphe Malware ist für Sicherheitsprodukte sehr schwer zu handhaben, weil man sie nicht wirklich signieren kann. Außerdem hinterlassen sie meist keine Spuren im Dateisystem, da ihr Schadcode nur im Arbeitsspeicher manipuliert wird. Wenn man sich die ausführbare Datei ansieht, sieht sie wahrscheinlich harmlos aus“, fügte der Forscher hinzu. Das Forschungsteam sagte, ein Cyberangriff mit dieser Malware-Bereitstellungsmethode sei „nicht nur ein hypothetisches Szenario, sondern ein sehr reales Problem“. Shimony nannte Erkennungsprobleme als Hauptanliegen.
„Die meisten Anti-Malware-Produkte kennen diese Malware nicht. Weitere Forschung ist erforderlich, damit Anti-Malware-Lösungen wirksamer dagegen wirken können“, sagte er. Die Forscher sagten, dass sie diese Forschung weiter ausweiten und ausarbeiten werden und auch darauf abzielen, einen Teil des Quellcodes der Malware zu Lernzwecken freizugeben. Ihr Bericht kommt Wochen, nachdem Check Point Research entdeckt hat, dass ChatGPT verwendet wurde, um neue bösartige Tools zu entwickeln, einschließlich Informationsdiebstahl.
Quelle: CyberArk
izentrop schrieb:Ein dummes ChatGPT-Beispiel:
...
Zurück zu "Wissenschaft und Technik"
Benutzer, die das durchsuchen forum : Keine registrierten Benutzer und 163-Gäste
