Badacze zajmujący się cyberbezpieczeństwem odkryli, że duże modele językowe (LLM) mogą zostać wykorzystane do masowego generowania nowych wariantów złośliwego kodu JavaScript. Wszystko to w sposób, który skuteczniej unika wykrycia przez systemy zabezpieczeń. To odkrycie budzi niepokój, zwłaszcza w kontekście dynamicznego rozwoju technologii AI. Choć LLM-y mają trudności z tworzeniem złośliwego oprogramowania od podstaw, przestępcy mogą z łatwością używać ich do przepisywania lub zaciemniania już istniejących narzędzi, co znacząco utrudnia ich identyfikację.
Według analizy ekspertów z Palo Alto Networks Unit 42, przestępcy mogą wykorzystać LLM-y do wprowadzania zmian, które wyglądają bardziej naturalnie, co z kolei utrudnia rozpoznanie złośliwego kodu. Strategia ta, jeśli będzie stosowana przez dłuższy czas, może osłabić skuteczność klasyfikatorów malware, które błędnie będą uznawać złośliwy kod za nieszkodliwy. Co więcej, choć dostawcy LLM, tacy jak OpenAI, wdrażają zabezpieczenia mające zapobiegać niepożądanym zastosowaniom ich modeli, cyberprzestępcy coraz częściej korzystają z alternatywnych narzędzi, takich jak WormGPT, które ułatwiają tworzenie spersonalizowanych kampanii phishingowych i nowych form złośliwego oprogramowania.
W październiku 2024 roku OpenAI poinformowało, że zablokowało ponad 20 operacji i sieci oszustów, które próbowały wykorzystać ich platformę do przeprowadzania działań związanych z rozpoznawaniem luk w zabezpieczeniach, tworzeniem skryptów czy debugowaniem. Pomimo tych działań, przestępcy wciąż znajdują sposoby na wykorzystanie LLM-ów do obejścia mechanizmów wykrywających złośliwe oprogramowanie. W swojej analizie Unit 42 zademonstrowało, jak za pomocą generatywnej AI można przepisywać istniejące próbki malware, aby uniknąć wykrycia przez modele uczenia maszynowego, takie jak Innocent Until Proven Guilty (IUPG) czy PhishingJS. W efekcie powstaje ponad 10 000 nowych wariantów JavaScript, które zachowują swoją pierwotną funkcjonalność, lecz są mniej podatne na wykrycie.
Proces ten opiera się na wykorzystaniu różnych technik zaciemniania kodu, takich jak zmiana nazw zmiennych, dzielenie ciągów tekstowych, dodawanie fragmentów kodu bez znaczenia, usuwanie nadmiarowych spacji czy całkowita przeróbka kodu. Transformacje te są aplikowane za każdym razem, kiedy złośliwy skrypt trafia do systemu jako dane wejściowe. Wynik? Nowy wariant kodu złośliwego, który działa identycznie jak oryginał, ale jest znacznie trudniejszy do wykrycia. Według Unit 42, algorytm zastosowany w tej metodzie był w stanie zmienić werdykt ich własnego klasyfikatora malware z „złośliwy” na „nieszkodliwy” w aż 88% przypadków.
Co więcej, takie zmodyfikowane próbki złośliwego oprogramowania często unikają wykrycia także przez inne narzędzia analityczne. Nawet popularna platforma VirusTotal, używana do analizy i detekcji malware, może zostać oszukana przez rewritowane przez LLM-y zmienne skrypty JavaScript. W porównaniu do metod zaciemniania stosowanych przez takie narzędzia jak obfuscator.io, podejście oparte na LLM generuje znacznie bardziej naturalnie wyglądające zmiany w kodzie, co znacząco utrudnia wykrywanie malware i analizę ich wzorców.
Unit 42 zauważa również, że skala tworzenia nowych wariantów złośliwego kodu może znacząco wzrosnąć dzięki wykorzystaniu generatywnej AI. Jednak ta sama technologia może zostać wykorzystana do generowania danych treningowych, które pozwolą ulepszyć modele uczenia maszynowego odpowiedzialne za analizę i wykrywanie malware. Wychodzi na to, że narzędzia AI są bronią obosieczną: zarówno przestępcy, jak i obrońcy mogą korzystać z tych samych rozwiązań technologicznych do różnych celów.
Równolegle do rozwoju generatywnej AI, naukowcy z Uniwersytetu Stanowego Karoliny Północnej opracowali metodę ataku bocznego o nazwie TPUXtract. Pozwala ona na kradzież modeli AI wdrożonych na procesory Google Edge Tensor Processing Units (TPUs) z dokładnością sięgającą 99,91%. Badacze dowiedli, że można w ten sposób uzyskać informacje o parametrach hiperwymiarowych modeli, takich jak typ warstwy, liczba węzłów, rozmiary jąder czy funkcje aktywacji. Te dane mogą być następnie wykorzystane do odtworzenia niemal identycznej kopii skradzionego modelu AI.
Technika TPUXtract opiera się na przechwytywaniu sygnałów elektromagnetycznych emitowanych przez TPU podczas wykonywania operacji na modelach AI. Analiza tych sygnałów pozwala na odczytanie jego struktury i konfiguracji. Warto jednak zaznaczyć, że metoda ta wymaga fizycznego dostępu do urządzenia oraz zaawansowanego i kosztownego sprzętu, co ogranicza jej zastosowanie do wyspecjalizowanych ataków.
Wraz z rozwojem technologii, takich jak generatywna AI i TPUXtract, staje się jasne, że wyścig zbrojeń w dziedzinie cyberbezpieczeństwa nabiera na intensywności. Kluczem do sukcesu w tej walce będzie rozwój bardziej zaawansowanych narzędzi detekcji i monitorowania, a także globalna współpraca pomiędzy sektorami technologicznymi, aby lepiej chronić użytkowników przed rosnącym zagrożeniem płynącym ze strony cyberprzestępców.