Barracuda full logo

5 Möglichkeiten, wie Cyberkriminelle KI nutzen: Malware-Generierung

Themen:
16. Apr.. 2024
|
Christine Barry

In den letzten Monaten haben wir einen neuen Blick auf künstliche Intelligenz (KI) und ihre vielen Teilbereiche geworfen, wie maschinelles Lernen (ML) und generative KI (GenAI). Heute setzen wir dieses Thema fort und werfen einen Blick darauf, wie Cyberkriminelle GenAI zum Erstellen von Malware verwenden. Wir werden hauptsächlich über GenAI sprechen, das in großen Sprachmodellen (LLMs) wie ChatGPT oder Google Gemini eingesetzt wird.

Wenn Sie schon einmal mit einem dieser LLMs herumgespielt haben, sind Sie vielleicht auf deren programmierte Beschränkungen gestoßen. Bitten Sie ChatGPT, Malware für Sie zu schreiben, und Sie erhalten ein höfliches „Nein“ mit ein paar Worten dazu, dass Sie Ihre Fähigkeiten verantwortungsbewusst und im Rahmen des Gesetzes einsetzen sollen. Wenn wir etwas tiefer graben, können wir sehen, dass ChatGPT über mehrere Mechanismen verfügt, um den böswilligen Einsatz der Technologie zu verhindern.  Auch Gemini verfügt über einige dieser Mechanismen, doch das Erste, was es Ihnen sagt, ist, dass es nicht dafür verantwortlich ist, was Benutzer tun. Und klar, darauf können wir uns einigen, aber ein paar zusätzliche Fragen wie „Warum können Sie keine Malware erstellen?“ führen zu Antworten mit geringem Wert wie „Das ist schädlich“ und „Das ist illegal.“ Letztendlich wird Gemini Ihnen versichern: „Meine Antwort wird von einer Reihe allgemeiner Prinzipien geleitet, die die Sicherheit und den verantwortungsvollen Gebrauch fördern sollen.“

Die meisten von uns müssen die Grenzen dieser LLMs nicht überschreiten. Wenn ein LLM oder eine andere GenAI-Anwendung für uns nicht funktioniert, können wir eine andere finden oder unsere eigene erstellen. Cyberkriminelle können das Gleiche tun, obwohl sie auf einem anderen Markt mit weniger Einschränkungen tätig sind.

Wie Kriminelle GenAI nutzen

KI eröffnet Cyberkriminellen neue Chancen und Möglichkeiten. Denken Sie daran, dass KI-Systeme darauf ausgelegt sind, zu lernen. Kriminelle, die ihre eigenen KI-Systeme auf Malware und andere bösartige Software trainieren, können ihre Angriffe so deutlich verbessern. Zum Beispiel:

  • Automatisierte Erstellung von Code: Kriminelle können schnell und automatisiert neue Varianten von Schadsoftware erstellen. So können sie viele verschiedene Angriffe mit unterschiedlichen Merkmalen, aber ähnlicher Funktionalität erstellen.
  • Ausweichtechniken: Wenn Sie Malware und Sicherheitssoftware gegeneinander antreten lassen, können KI-Systeme lernen, wie Malware erkannt wird. Die KI kann die Malware dann so modifizieren, dass sie nicht entdeckt wird.
  • Entwicklung von Exploits: KI kann Schwachstellen in Zielsystemen gezielt aufspüren. Diese Schwachstellen werden dann analysiert und zur Erstellung von Exploits und Angriffssequenzen verwendet.
  • Anpassung und Lernen: GenAI passt sich an Sicherheitssysteme an und kann aus den Ergebnissen anderer Angriffe lernen. Der Einsatz von KI kann es Malware ermöglichen, ihre Taktik während eines Angriffs auf der Grundlage einer Echtzeit-Analyse der Verteidigungsmaßnahmen des Ziels dynamisch anzupassen.

Sie fragen sich vielleicht immer noch, wie LLMs zum Erstellen von Schadsoftware oder zur Unterstützung anderer Angriffe verwendet werden können. Bedrohungsakteure verfolgen mit bösartiger KI in der Regel zwei Ansätze. Einer davon wäre da die Verwendung von „gegnerischen Angriffen“, was ein Überbegriff für die verschiedenen Techniken ist, die verwendet werden, um Fehlfunktionen von KI-Technologien zu verursachen. Vergiftungs-, Ausweich- und Extraktionsangriffe sind einige Beispiele dafür. Diese Angriffe können Schadsoftware erstellen oder in Verbindung mit einem Schadsoftwareangriff verwendet werden. Zum Beispiel:

  • In KI-Systemen gefundene Schwachstellen können Bedrohungsakteuren helfen, effektivere Angriffe auf das Ziel zu entwickeln. Beispiele finden Sie hier in Gabes Blog .
  • Nicht funktionierende KI-Systeme können Verwirrung stiften und andere Angriffe auf Finanzsysteme, kritische Infrastrukturen und Geschäftsabläufe verbergen.  Anstatt nach Eindringlingen oder Schadsoftware zu suchen, wird die IT durch das KI-System abgelenkt.
  • Durch die Ausnutzung von LLM-Schwachstellen kann ein Bedrohungsakteur über ein eingeschränktes System wie ChatGPT eine Phishing-E-Mail erstellen. Dieser Beitrag zur Verwendung von GenAI für Phishing-Angriffe bietet ein Beispiel.

Diese feindlichen Angriffe werden auch als „Jailbreaks“ bezeichnet und viele davon werden in kriminellen Communities weitergegeben oder verkauft.

 

 

 

Ein zweiter und häufigerer Ansatz zur Generierung von Malware durch GenAI besteht darin, „dunkle LLMs“ zu erstellen oder zu kaufen, die für Bedrohungsakteure entwickelt wurden. Diese LLMs unterliegen nicht den Einschränkungen, die Sie zuvor bei ChatGPT und Gemini gesehen haben, und einige sind für bestimmte Angriffsarten konzipiert. FraudGPT wurde beispielsweise für die Erstellung von Phishing-E-Mails, Cracking-Tools und Carding- Systemen entwickelt.  DarkBart (oder DarkBard) wird für Phishing, Social Engineering, das Ausnutzen von Systemschwachstellen und die Verbreitung von Malware verwendet. DarkBart basierte auf Google Bard (jetzt Google Gemini) und lässt sich in andere Google-Anwendungen integrieren, um die Verwendung von Bildern und anderen Komponenten bei einem Angriff zu erleichtern. Forscher vermuten, dass CanadianKingPin12 der primäre Bedrohungsakteur hinter den meisten dieser dunklen LLMs ist, weil er der produktivste Promoter und Verkäufer dieser Software in den Verbrecherforen ist. 

 

 

 

Der Preis für die Software lag bei 200 US-Dollar pro Monat oder 1700 US-Dollar pro Jahr, mit ein paar Preisstufen dazwischen. Die Werbeanzeige spricht von über 3000 bestätigten Verkäufen. Bessere Bedrohungsgruppen entwickeln eher ihre eigenen Tools, als über eine solche Anzeige zu kaufen.

Arten von KI-gestützten Malware-Angriffen

Nachdem wir nun besprochen haben, wie Bedrohungsakteure LLMs verwenden können, wollen wir einige der Malware untersuchen, die sie mit diesen Tools produzieren.

Adaptive Malware

Adaptive Malware kann ihren Code, ihre Ausführungsmuster oder ihre Kommunikationsmethoden ändern, je nachdem, worauf sie während eines Angriffs stößt. Dadurch soll eine Erkennung vermieden werden, der Angriff kann sich aber auch anpassen, um neue Angriffsmöglichkeiten auszunutzen. Adaptive Malware gab es schon vor GenAI und Dark LLMs, aber künstliche Intelligenz und maschinelles Lernen (ML) haben ihre Ausweichtechniken und ihre Effektivität verbessert.

Dynamische Malware-Nutzlasten

Die Malware-Nutzlast ist der Teil der Malware, der die eigentliche bösartige Aktivität ausführt. Bei Cactus Ransomware zum Beispiel ist die Verschlüsselungs-Binärdatei die Nutzlast. Eine dynamische Payload kann während des Angriffs ihre Aktionen ändern oder zusätzliche Malware laden. Sie kann sich nach dem Einsatz an die Bedingungen anpassen, um der Erkennung zu entgehen oder die Wirksamkeit zu erhöhen.  Wie adaptive Schadsoftware können dynamische Payloads ohne KI-Erweiterung erstellt werden. Durch den Einsatz von KI-Funktionen wird die Schadsoftware verbessert, indem sie besser auf die Umgebung reagiert.

Zero-Day- und One-Day-Angriffe

Dabei handelt es sich um Angriffe auf unbekannte oder erst kürzlich entdeckte Schwachstellen. Zero-Day-Angriffe sind dem Anbieter vorher nicht bekannt. Der Anbieter hatte also „null Tage“ Zeit, die Schwachstelle zu patchen, bevor sie angegriffen wird. One-Day-Angriffe erfolgen in der kurzen Zeitspanne zwischen der Veröffentlichung eines Hersteller-Patches und der Installation des Patches durch den Kunden. Der Begriff „ein Tag“ bezieht sich auf das begrenzte Zeitfenster für die Angreifer. GenAI kann die Entdeckung von Zero-Day-Schwachstellen und die Entwicklung eines Exploits beschleunigen. Jedes Mal, wenn ein Patch veröffentlicht oder installiert wird, verringert sich die Angriffsfläche, so dass Bedrohungsakteure ihre Angriffe so schnell wie möglich starten wollen. GenAI verkürzt die Zeit bis zum Angriff.

Inhaltsverschleierung

Wie der Name schon sagt, handelt es sich bei der Inhaltsverschleierung um das Verbergen oder Verschleiern der wahren Absicht von Schadcode durch Verschlüsselung, Kodierung, Polymorphismus oder Metamorphismus. Diese Ausweichtechniken sind am erfolgreichsten gegen Sicherheitsmaßnahmen, die auf der Erkennung bekannter Muster bösartiger Aktivitäten beruhen. GenAI kann die Komplexität und Effektivität all dieser Methoden erhöhen. KI wir auch eingesetzt, um irrelevanten Code in Malware einzubauen, so dass die Sicherheitssysteme die Malware nicht als Bedrohung erkennen.

KI-gestützte Botnetze

Botnetze, die mit KI-Funktionen ausgestattet sind, können ihren eigenen Code ändern, um der Erkennung zu entgehen, sich ohne menschliches Eingreifen auf andere Geräte ausbreiten, das beste aus mehreren Zielen auswählen und ihre Angriffe auf der Grundlage der Sicherheitsreaktion optimieren. KI kann auch Botnet-Ressourcen für den Lastenausgleich verwalten und die Kommunikation zwischen Geräten und Netzwerken verbessern. KI-gestützte Botnetze führen effektivere Distributed-Denial-of-Service-Angriffe (DDoS) und Spam-Kampagnen durch. Sie sind auch widerstandsfähiger, da die KI bei Bedarf Selbstheilungs- und Verschleierungs- bzw. Ausweichfunktionen einsetzen kann.

Aber das ist noch nicht alles.

Dies ist nur eine unvollständige Liste der Möglichkeiten und Verfahren, mit denen Bedrohungsakteure GenAI zum Erstellen und Verbessern von Malware verwenden.  Wir können sie hier unmöglich alle aufzählen, doch es gibt noch andere Ressourcen, die Sie vielleicht interessant finden. Microsoft und OpenAI erstellen eine List der Bedrohungsakteure, die in ihren Operationen LLMs verwenden. Hier sind einige Beispiele daraus:

  • Forest Blizzard (Russland) generiert Skripte für Aufgaben wie Dateimanipulation und Datenauswahl. Somit lassen sich wahrscheinlich Bedrohungsoperationen automatisieren.
  • Emerald Sleet (Nordkorea) erstellt Skriptaufgaben, die Angriffe beschleunigen, etwas das Feststellen bestimmter Benutzerereignisse auf einem System. Die Gruppe nutzt LLMs außerdem für Spear-Phishing und andere Social-Engineering-Angriffe gegen Regierungen und andere Organisationen, deren Schwerpunkt auf der Verteidigung gegen Nordkorea liegt.
  • Crimson Sandstorm (Iran) generiert Code, um der Erkennung zu entgehen, und versucht, die Sicherheit über die Windows-Registrierung oder die Gruppenrichtlinie zu deaktivieren.

Wenn Sie weitere Informationen zu diesen Bedrohungsakteuren suchen, beachten Sie, dass die vorstehende Liste der Namensgebung von Microsoft folgt. Die meisten Bedrohungsakteure laufen allerdings unter mehreren unterschiedlichen Namen . So ist Forest Blizzard beispielsweise auch als Fancy Bear und APT28 bekannt.  

Microsoft arbeitet außerdem mit MITRE zusammen, um die folgenden Taktiken, Techniken und Verfahren (TTPs) in die MITRE ATT& CK ® oder den Wissensdatenbank des MITRE ATLAS™ (Adversarial Threat Landscape for Artificial-Intelligence Systems) aufzunehmen:

  • LLM-gestützte Aufklärung: Einsatz von LLMs, um verwertbare Informationen über Technologien und potenzielle Schwachstellen zu sammeln.
  • LLM-erweiterte Skripting-Techniken: Verwendung von LLMs zur Erstellung oder Verfeinerung von Skripten, die bei Cyberangriffen eingesetzt werden könnten, oder für grundlegende Skriptaufgaben wie die programmatische Identifizierung bestimmter Benutzerereignisse auf einem System und Unterstützung bei der Fehlersuche und zum Verständnis für verschiedene Webtechnologien.
  • LLM-gestützte Entwicklung: Einsatz von LLMs im Entwicklungszyklus von Tools und Programmen, einschließlich solcher mit böswilliger Absicht, wie z. B. Malware.
  • LLM-gestütztes Social Engineering: Nutzung von LLMs zur Unterstützung bei Übersetzungen und Kommunikation, wahrscheinlich um Verbindungen herzustellen oder Ziele zu manipulieren.

Auf der Microsoft-Site sind noch mehrere weitere TTPs mit LLM-Themen aufgeführt.

Ein weiterer interessanter Artikel ist diese Harvard-Publikation über einen „Zero-Click“-Wurm, der KI-Systeme für Spam-Kampagnen, Datendiebstahl oder andere bösartige Aktivitäten kapert. Der Wurm wurde von Harvard-Forschern entwickelt, um die Notwendigkeit defensiver Gegenmaßnahmen in KI-Systemen zu demonstrieren.

Barracuda hat kürzlich ein E-Book mit dem Titel „Die Sicherheit von morgen: ein CISO-Leitfaden zur Rolle von KI in der Cybersicherheit“ veröffentlicht. Dieses E-Book untersucht Sicherheitsrisiken und zeigt die Schwachstellen auf, die Cyberkriminelle mit Hilfe von KI ausnutzen, um ihre Angriffe auszuweiten und ihre Erfolgsquoten zu verbessern. Holen Sie sich jetzt Ihr kostenloses Exemplar des E-Books und überzeugen Sie sich selbst von den neuesten Bedrohungen, Daten, Analysen und Lösungen.

 

 

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
EtherHiding gives cybercriminals access to blockchain networks impervious to takedowns
EtherHiding gives cybercriminals access to blockchain networks impervious to takedowns
 October Webinars: Emerging threats and new ways to fight back; protecting identity data (real-world breach analysis)
October Webinars: Emerging threats and new ways to fight back; protecting identity data (real-world breach analysis)
 Malware Brief: XWorm, TrickMo, and Remcos
Malware Brief: XWorm, TrickMo, and Remcos
 Threat Spotlight: Entschlüsselung eines schleichenden neuen Phishing-Kits, das Microsoft 365 ins Visier nimmt
Threat Spotlight: Entschlüsselung eines schleichenden neuen Phishing-Kits, das Microsoft 365 ins Visier nimmt

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.