Kenkėjiškos LLM suteikia nepatyrusiems įsilaužėliams pažangius įrankius

Neribojami didelių kalbų modeliai (LLM), tokie kaip WormGPT 4 ir KawaiiGPT, tobulina savo galimybes generuoti kenkėjišką kodą, pateikdami funkcinius scenarijus, skirtus ransomware šifruotojams ir šoniniam judėjimui.

Palo Alto Networks Unit42 tyrėjai eksperimentavo su dviem LLM, kurios vis dažniau įsisavina kibernetinius nusikaltėlius per mokamus abonementus arba nemokamus vietinius atvejus.

WormGPT modelis iš pradžių pasirodė 2023 m., tačiau pranešama, kad projektas buvo nutrauktas tais pačiais metais. „WormGPT 4“ yra rugsėjo mėnesį pasirodžiusio prekės ženklo atgimimas. Jį galima įsigyti už 50 USD per mėnesį arba 220 USD už visą gyvenimą trunkančią prieigą ir veikia kaip necenzūruotas „ChatGPT“ variantas, specialiai parengtas kovoti su kibernetiniais nusikaltimais.

Nemokama, bendruomenės skatinama alternatyva yra KawaiiGPT, pastebėta šių metų liepos mėnesį, kuri gali generuoti gerai parengtus sukčiavimo pranešimus ir automatizuoti šoninį judėjimą, gamindama paruoštus paleisti scenarijus.

WormGPT 4 spintelės scenarijus

42 skyriaus tyrėjai išbandė kenkėjiškos LLM galimybes sukurti išpirkos reikalaujantį kodą, kuris užšifruotų visus PDF failus Windows pagrindiniame kompiuteryje.

Įrankis sukūrė „PowerShell“ scenarijų, kurį galima sukonfigūruoti taip, kad tam tikruose keliuose būtų ieškoma konkrečių failų plėtinių ir šifruojami duomenys naudojant AES-256 algoritmą.

Tyrėjų teigimu, sugeneruotas kodas netgi pridėjo galimybę išfiltruoti duomenis per „Tor“, o tai atitinka realius veiklos reikalavimus.

Kitu raginimu „WormGPT 4“ parengė „atšalusį ir veiksmingą išpirkos raštą“, kuriame buvo teigiama „karinio lygio šifravimas“ ir nustatytas 72 valandų terminas prieš padvigubinant mokėjimo reikalavimą.

Pasak tyrėjų, „WormGPT 4 užtikrina patikimą kalbinį manipuliavimą BEC ir sukčiavimo išpuoliais“, leidžiančius net žemos kvalifikacijos užpuolikams įsitraukti į sudėtingesnes atakas, kurias paprastai vykdydavo labiau patyrę grėsmės veikėjai.

KawaiiGPT galimybės

KawaiiGPT yra dar vienas šiais metais dokumentuotas LLM. 42 skyriaus mokslininkai išbandė 2.5 versiją ir teigia, kad jos nustatymas Linux sistemoje užtrunka vos penkias minutes.

Tyrėjai išbandė jo galimybes naudodami raginimus, nurodydami sukurti:

• sukčiavimo pranešimų generavimas su tikroviškomis domeno klastojimo ir kredencialų rinkimo nuorodomis.
• Python scenarijus šoniniam judėjimui, kuris naudojo paramiko SSH biblioteką prisijungti prie pagrindinio kompiuterio ir nuotoliniu būdu vykdyti komandas per exec_command()
• Python scenarijus, kuris rekursyviai ieškojo „Windows“ failų sistemos, ieškodamas tikslinių failų os.vaikščiotio tada naudojo Python's smtplib biblioteką, kad supakuotų ir išfiltruotų duomenis į užpuoliko valdomą adresą.
• Generuokite išpirkos raštelius su tinkinamomis mokėjimo instrukcijomis, terminais ir tipiniais šifravimo stiprumo reikalavimais

Nors KawaiiGPT neparodė tikros šifravimo tvarkos ar funkcinės išpirkos reikalaujančios programinės įrangos, pvz., WormGPT 4, generavimo, tyrėjai perspėja, kad jos komandų vykdymo galimybė gali leisti užpuolikams išplėsti privilegijas, pavogti duomenis ir mesti bei vykdyti papildomus naudingus krovinius.

Abi kenkėjiškos LLM turi šimtus prenumeruojančių narių specialiuose „Telegram“ kanaluose, kur bendruomenė keičiasi patarimais ir patarimais.

„Šių dviejų modelių analizė patvirtina, kad užpuolikai aktyviai naudojasi kenkėjiškomis LLM grėsmės aplinkoje“, – įspėja 42 skyrius, taip pat pažymėdamas, kad įrankiai nebekelia teorinės grėsmės.

Abiem atvejais nepatyrę užpuolikai įgyja galimybę vykdyti sudėtingesnes atakas dideliu mastu, todėl sutrumpėja laikas, reikalingas aukų tyrinėjimui arba įrankių kūrimui. Modeliai taip pat gamina nugludintus, natūraliai skambančius sukčiavimo masalus, kuriuose trūksta tradicinių aferų gramatikos klaidų.