ChatGpt对网络安全的威胁比大多数人认为的更严重
2023-2-5 20:24:17 Author: mp.weixin.qq.com(查看原文) 阅读量:9 收藏

2023年1月26日

写在前面:
1. 在太阳系这颗蓝色的孤独星球上,人类也是孤独的,只能利用工具,依靠自己算力有限的大脑,独自做出决定。但有了AI以后,人类真正有了一个伴侣,能够帮助人类甚至指导人类做出选择。
2. 未来谁更依赖谁,谁来指挥谁,好像已经说不清了,人类已经不像以前那样,对周围的世界那么可控,完全进入到一个新社会阶段,就像进入到石器时代,青铜时代一样,生产力工具得到极大改进。但同时也是一个完全未知的时代,风险无法估计,人类自己以为在使用数字化工具,但实际上,可能只是数字化工具的"奴隶",是在帮助它进化,也被它绑架。就像人类和病毒之间的关系一样。想想流浪地球最后彩蛋中所说;想想去年整个国家被核酸检测结果所左右;想想多少次事件中你听到的解释:"你说的这些没用,我们只看大数据!"这是从悲观的一面思考问题,从乐观的角度看,AI也能弥补人类思维的盲点,更客观、理智地看待问题、思考问题,还能帮助人类做出更好决策,避免很多愚蠢、冲动的行为。
3. 有人说,不要害怕AI,只要把它电源一拔就行了,但如果到那时,整个人类社会也会随之崩塌,还那么容易下手吗?
4. 真到了人类和AI共同生存的那一天,其实也没什么,二者都是理性的,甚至有一方是高度理性的,一定会找到共同生存免于共同毁灭的方法的。
5. 以前,计算机还只是工具,帮助人类处理现有的数字化内容,但从此以后,计算机自己也开始创造新的数据了,这是一个本质上的差别。同时,他也会分析自己所创造的数据,并试图从中发现价值,进入了一个有趣的悖论怪圈。
凌晨醒了无法入睡,瞎想了半天,下面请大家回到现实,看看网络安全领域的AI,到了什么水平!

ChatGpt对网络安全的威胁比大多数人认为得更严重

        一种名为ChatGPT的免费语言生成人工智能模型在互联网上掀起不小的风浪。虽然人工智能可以帮助IT和安全团队提高效率,但它也能帮助威胁行为者开发恶意软件。
       在Help Net Security的采访中,Ivanti的首席安全官Daniel Spicer谈到了这项技术对网络安全的意义。
为什么人工智能在网络安全领域的应用值得关注
       科技行业一直专注于创造生成式人工智能(generative AI),它可以响应命令或查询、生成文本、视频或音频内容。这种类型的人工智能无法分析并上下文关联数据及信息,并提供理解。
       目前,生成式人工智能,如ChatGPT和DALL-E,其价值偏向威胁行为者。生成式人工智能会给你想要的东西—这在制作钓鱼邮件时很有用。信息安全利用人工智能获取信息,用更多的背景资料加以强化,并根据其理解得出结论。
       这就是为什么生成式AI提供的用例对威胁行为者极具吸引力。威胁行为者对人工智能应用的一个明显关注与社交工程有关。人工智能可以用很少的工作创建大量复杂的钓鱼电子邮件。它还可以创建逼真得惊人的虚假档案。即使是以前被认为没有机器人的地方,比如LinkedIn,现在也有了令人信服的个人资料,甚至包括个人照片。我们才刚刚开始看到其影响。
       我们也已经看到威胁行为者正在使用ChatGPT开发恶意软件。虽然对ChatGPT编写代码的质量有不同的结果,但专门从事代码开发的生成式人工智能可以加快恶意软件的开发。最终,我们将看到它有助于更快地利用漏洞—在漏洞披露的几个小时而不是几天内。
       另一方面,人工智能有可能帮助IT和安全团队变得更加高效,实现自动化和/或半自动化漏洞检测和修复,以及基于风险的优先级排序。这使得能够分析数据的人工智能对于面临资源限制的IT和安全团队非常有前景,但不幸的是,这种类型的工具还不存在,当它出现时,实现起来可能很复杂,因为它需要经过训练才能理解特定环境中的“正常”。
       安全行业现在需要将注意力转向构建人工智能,以帮助防御方分析和解释大量数据。在我们看到人工智能工具能够实现理解的巨大改进之前,攻击者将继续拥有优势,因为今天的工具满足了他们的要求。
ChatGPT内置检查,以防止被恶意使用。这些检查是否足以将网络罪犯拒之门外?
       一句话,没有。到目前为止,ChatGPT实施的检查是无效的。例如,研究人员发现,你向ChatGPT提问的方式会显著改变它的响应,包括它拒绝恶意请求的有效性。根据你提供给生成式人工智能工具的命令,有可能将恶意软件攻击的所有步骤拼凑在一起。这种情况的一个积极方面是ChatGPT目前写不出好的代码—但这种情况将会改变。
       ChatGPT的部署可以被视为一个大型演示体验。这是他们的测试版。生成式人工智能将继续变得更好—它已经降低了网络钓鱼攻击的门槛—在未来,我们将拥有能够开发恶意软件更好的技术版本。
       这将改变恶意软件开发人员和AV/EDR厂商之间的竞赛,因为以代码为中心的AI可以完善代码,从而比传统的代码包服务更大幅度地改变设计。
       我们无法把精灵放回瓶子里。威胁者很有可能在他们的武器库中使用生成式人工智能,现在我们需要专注于如何防御这种新的威胁。
没有技术知识的攻击者会滥用ChatGPT吗?
       可以肯定地说,ChatGPT将大大降低威胁行为者技能方面的入门成本。目前,威胁的复杂程度或多或少与威胁行为者的熟练程度有关,但ChatGPT已经为新手威胁行为者打开了恶意软件空间,总有一天他们将能够更容易地超越已有实力。
       这非常令人担忧,因为它不仅扩大了潜在威胁的数量和潜在威胁行为者的数量,而且更有可能让那些对自己在做什么几乎一无所知的人加入战斗。即使在恶意软件领域,这种内在的鲁莽程度也是前所未有的。
       虽然目前仍面临挑战。既然这项技术是成功的,我们将看到迭代和改进。
ChatGPT的未来版本会发生什么?用户可以连接到查找漏洞的工具?
       网络安全世界一直面临着控制大量代码漏洞的挑战。人工智能将把这些数字推得更高,因为它在发现漏洞方面更快、更聪明。结合人工智能输出的编程能力,我们可以在几分钟内看到新发现的漏洞武器化,而不是几天。
       需要明确的是,人工智能目前还没有更好或更快,但我们预计这将会发生。总有一天,我们会看到漏洞检测、漏洞武器化和有效载荷都由人工智能完成,而无需人工干预。
       Check Point研究人员演示了ChatGPT如何创建可信的钓鱼电子邮件。一旦更多的攻击者开始使用人工智能,你预计威胁会如何演变?
       同样,人工智能使技术知识有限的人能够更快、更容易地生成大量真实的网络钓鱼攻击和假冒档案。由于这个入口相对较新,在这一点上,新手威胁行为者之间存在自由竞争。但随着威胁行为者对人工智能越来越熟练,我们将看到其复杂性的增长,因为威胁行为者相互竞争以获得访问和突出地位。
       在未来,我们将拥有能够完成整个攻击链的人工智能—从起草钓鱼电子邮件开始。人工智能将能够使用现成的工具来扩展到目标环境,并快速确定进入组织实现勒索软件的最佳路径,这并非遥不可及。它将能够确定网络、布局和体系结构,然后操纵工具链来混淆有效载荷,以避免被防御者发现。所有这些都不需要人再按下任何按钮。
       这对另一方来说不是好消息。
https://go.newsfusion.com//security/item/2140489
使用ChatGPT分析ASYNCRAT
2023年1月25日
AsyncRAT是 2019 年 1 月在 GitHub上开源的远控木马,通过远程加密连接控制失陷主机,提供如下典型功能:
截取屏幕
键盘记录
上传/下载/执行文件
持久驻留
禁用 Windows Defender
关机/重启
DOS攻击
       随着网络威胁的持续发展以及变得越来越复杂,对安全研究人员和专业人员来说,保持领先地位至关重要。在本文中,
  • 我们将探索ChatGPT如何帮助分析恶意软件,特别是被称为AsyncRAT的远程访问木马(RAT)。
  • 我们还将深入研究ChatGPT的功能,并讨论它如何通过分析网络流量来协助识别入侵指标(IoC)和发现命令和控制(C2)基础设施。
       但在继续之前,先简单介绍一下ChatGPT。
       在人工智能的推动下,OpenAI于2022年11月推出了ChatGPT原型,用于回答冗长复杂的问题。ChatGPT的革命性之处在于它被训练去了解提问背后的意义。因此,响应明显类似于人类。在这一点上,ChatGPT是会支持还是会成为打击网络犯罪的挑战仍有争议,但现在,让我们关注ChatGPT及其恶意软件分析功能。
       因此,无论您是经验丰富的安全专业人士,还是刚刚进入该领域的新手,这篇文章都将为使用高级语言模型分析恶意软件提供有价值的见解。
       让我们开始吧!
       为了理解ChatGPT的强大功能,我们从分析AsyncRAT开始。我们很好奇这种尖端的人工智能技术如何帮助揭示此类恶意软件的内部工作原理,并通过分析网络流量识别入侵指标(IoC),发现命令和控制(C2)基础设施。
       作为我们研究的结果,我们遇到了下面的代码片段,它作为AsyncRAT的第一阶段加载器,包含很多混淆和base64编码的字符串。代码用Python编写,并利用公共语言运行时(CLR)库与.NET框架交互,加载并运行以base64编码的程序集。
       在进一步的研究中,我们发现ChatGPT在分析AsyncRAT等恶意软件时非常有用,但也发现它在某些领域仍有局限性。尽管如此,我们认为在恶意软件分析中使用ChatGPT等高级语言模型是对抗网络威胁非常有前途。
       在这里,我们决定将此代码作为ChatGPT的输入,并获得关于该代码的一些了解。

                 

        所提供的代码使用base64编码的字符串,由于其字符串长度限制和允许执行的操作的限制,ChatGPT无法解码该字符串。然而,ChatGPT仍能够对代码的功能和潜在的恶意企图提供简单易懂的解释。需要注意的是,ChatGPT是一个强大的语言模型,但它应该与其他方法和技术结合使用,并不是所有与恶意软件分析相关任务的灵丹妙药。

        这就是为什么我们使用Cyberchef来解码base64字符串、第二阶段加载器的python脚本。
        我们再次将这段代码作为ChatGPT的输入,看看它能告诉我什么。

       同样,我们有一个长base64编码的字符串,我们必须用Cyberchef解码。
       这个字符串是一个PE文件。我们不能将PE文件传递给ChatGPT,因此从PE文件分析的角度来看没有任何帮助。但我们决定继续,看看PE文件里有什么。
       我们将使用Dnspy来反编译这个二进制文件。
       如您所见,base64 解码函数的输出作为输入传递给Decompress函数。
       上面的代码是一个C#函数,它似乎在解压缩一个名为“gzip”的字节数组。该函数使用GZipStream类创建一个新流,并将一个用“gzip”字节数组构造的MemoryStream对象传递给它。然后使用GZipStream读取4096字节块的压缩数据,并将其写入新的MemoryStream对象。然后,该函数使用MemoryStream对象的ToArray方法将解压缩的数据作为字节数组返回。
       简单来说,这个函数接受一个压缩的字节数组,使用Gzip算法对其进行解压缩,并将解压缩的数据作为字节数组返回。此函数可用于解压缩先前使用Gzip算法压缩的数据。
       我们再次决定使用Cyberchef来解码这个东西,
       这也是一个PE文件,在分析时是一个.NET程序集。我们用Dnspy进行分析。
       这个二进制文件有base64编码的字符串,但如果仔细看最后一个字,就会知道base64字符串在解码时将变成一个powershell脚本。
       如您所见,这个Powershell脚本被高度混淆,因此我们决定检查,是否ChatGpt能为我们对它解码,下边是输出。

       

        当问到这样一个脚本的功能是什么时,收到的输出如下所示。

       在 .NET程序集中还有一个base64编码的字符串。它首先被传递给一个名为cipher的函数,该函数带有一个参数,该参数是密码的密钥。

       所以我们决定看看Cipher函数的逻辑是什么。
       现在,我们决定将此代码作为ChatGPT的输入,并要求它识别密码。输出结果让我们感到惊讶。

            

        为了进入下一阶段,我们在python中实现了相同的逻辑。这是最终输出的PE文件:-

       这也是一个 .NET文件。当在Dnspy中检查时,以下是我们得到的结果。
       通过查看这个函数,我们可以大致了解这个文件的功能,包括它的抗分析技术和注册表函数之类的东西。我们很好奇ChatGPT是否能理解这段代码的目的,并识别出它是什么类型的恶意软件。
       代码中的关键函数是“Install”方法,该方法似乎负责在启动时安装和运行指定的文件。
       "FileInfo"对象用于指定代码试图安装和运行的文件。
       “Process.GetCurrentProcess().MainModule.Filename和fileInfo.FullName”用于检查当前运行的进程是否与指定的文件相同。
       "Process.GetProcesses()"方法用于获取所有正在运行进程的列表,代码将遍历这些进程以停止与指定文件具有相同文件路径的任何进程。
       “Methods.IsAdmin()”方法用于检查用户是否具有管理员权限。
       “schtasks”命令用于创建一个定时任务,在登录时运行指定的文件(如果用户具有管理员权限)。
       “Registry.CurrentUser.OpenSubKey”方法用于打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run键和“registryKey.SetValue "方法用于将密钥的值设置为指定文件的文件路径(如果用户没有管理权限)。
       “File>Exist”方法用于检查指定的文件是否已经存在。如果存在,则使用“File.Delete”方法删除。
       “FileStream”对象用于在指定的文件路径上创建一个新文件,并将当前运行进程的文件的内容写入该文件。
       执行“Methods.ClientOnExit()”方法。
       "Path.GetTempFileName()"方法用于创建一个临时的.bat文件,"StreamWriter "对象用于向其写入一系列命令。
       “Process.Start”的方法用于启动.bat文件,Environment.Exit(0)方法用于退出当前进程。
       从这段代码中,可以推断出该代码试图在启动时安装和运行特定的文件,而且它的设计似乎是为了确保指定的文件在启动时运行,并且具有管理权限。该代码还试图删除原始文件并创建一个具有相同名称和内容的新文件,这可能表明它正在试图用恶意版本替换原始文件。使用方法检查用户是否具有管理权限、计划任务创建和注册表项修改,表明它试图在任何可能的场景中启动时运行文件。此外,使用各种方法来隐藏文件的执行,例如创建一个bat文件,以隐藏模式运行它,以及在执行后删除bat文件,表明代码对最终用户隐藏了它的执行。

       它能够理解该代码是恶意的,并正确地将其识别为RAT。
       通过这个练习,我们能够更好地破译ChatGPT,并理解它如何帮助分析恶意软件。虽然ChatGPT已经证明了它在这方面的基本能力,但此时它还不能与人工智能驱动的恶意软件分析相匹敌—后者更有能力,更全面。我们将继续关注ChatGPT,并在未来的时间里分享进一步的更新,因为它会不断增强了它的功能和力量。
https://blogs.quickheal.com/asyncrat-analysis-with-chatgpt/
(完)

文章来源: https://mp.weixin.qq.com/s?__biz=Mzg3NjU4MDI4NQ==&mid=2247485532&idx=1&sn=ba90518d25ddf8082673cc5932be6005&chksm=cf31548ef846dd989433429b0ff75d83f6ebf3cb8d162dd0ffc2e57eb008958d36860b81089d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh