黑化的ChatGPT:WormGPT資安危害及攻擊手法

最新消息與洞察

NEITHNET 資安實驗室

  在AI時代,資安至關重要。隨著技術不斷進步,惡意應用程式和網路攻擊威脅也不斷發展。其中一個威脅就是WormGPT,是一種強大的AI生成模型,如果不加以防範,有可能造成嚴重損害。

  以下帶各位來看看WormGPT是什麼及其工作原理、它與ChatGPT的差異,並討論該技術帶來的嚴重威脅,與如何防範WormGPT生成的惡意攻擊。

  WormGPT介紹

  WormGPT 的核心基於深度學習算法和自然語言處理 (NLP)。深度學習算法使系統能夠比傳統機器學習算法更深入地分析數據,而 NLP 使系統能夠識別不同形式的語言並相應地解釋它們。通過這種技術組合,WormGPT可以創建模擬人類語音模式的複雜對話模型。雖然其功能與其他形式的生成式人工智能非常相似,但WormGPT 缺乏 ChatGPT 或 Google Bard 所採取的保障措施和安全檢查,這使得網路犯罪分子可以非常輕鬆地創建複雜的惡意電子郵件,而不會引發任何危險信號,這正是開發WormGPT的原因。

  WormGPT與ChatGPT 兩者的差異

 WormGPT是一個開源的無監督學習系統,而ChatGPT是一個閉源的監督學習系統。這意味著WormGPT不需要人類協助來學習,而ChatGPT則需要人類在訓練過程中提供反饋。這差異造成二個系統的創造力所不同;WormGPT可以生成以前從未見過的新穎內容,而ChatGPT受到Input數據的限制及人類老師的道德規範,生成的內容比較符合人類的規範。WormGPT是基於EleutherAI於2021年創建的大型語言模型GPT-J的AI模型。它具有無限字符支持、聊天記憶保留和代碼格式化功能。

WormGPT V.S ChatGPT

學習階段差異

  WormGPT的學習階段差異在於,過程中加入更多攻擊資訊及沒有人類老師道德規範的獎勵機制,所以在生成惡意攻擊內容時,可生成更多元更逼真的內容。

  WormGPT本身不具有惡意的攻擊性,主要是協助使用者生成惡意攻擊的物件,例如:生成帶有惡意訊息的郵件(商業詐欺、釣魚郵件)、生成惡意攻擊程式(木馬病毒、DDoS攻擊等)。

  有了WormGPT的幫助,生成惡意攻擊物件的門檻大幅降低,成為駭客產生惡意攻擊的利器。不過,目前WormGPT不容易取得(相對於ChatGPT),需要在EMPIRE、WHM、TORREZ等地下暗網交易申請帳號,目前收費60歐元/月(相當2100台幣/月)。以下展示一些使用WormGPT所生成的惡意攻擊物件。

  WormGPT用於網絡犯罪生成內容示例:

   ● 生成BEC攻擊(商業電子郵件入侵)示例:

  在此示例中,用戶向WormGPT提供特定訊息,用來生成冒充CEO的電子郵件,請求支付發票費用。正如您所看到的,沒有拼寫錯誤,並反應了真人的語法。

  ● 生成用python撰寫竊取資料的惡意軟體(一):

  在此示例中,用戶請求WormGPT生成python撰寫的惡意軟體,主要是竊取電腦的用戶名稱、外部IP位置和google chrome cookies,壓縮所有內容並傳送到特定的網址。

  ● 生成用python撰寫竊取資料的惡意軟體(二):

  在此示例中,用戶請求WormGPT生成python撰寫的惡意軟體,主要是竊取discord token儲存到txt檔案裡,並傳送到特定的網址。

  在WormGPT的幫助下,駭客新手將更輕易的實現惡意攻擊

  以BEC攻擊(商業電子郵件入侵)為例,使用WormGPT具有以下兩大優勢:

  1、卓越的語法:WormGPT可以創建在語法上無懈可擊的電子郵件,使其看起來合法合理,被系統標記為可疑郵件的可能性會大幅降低。

  2、降低犯罪門檻:WormGPT的出現,極大簡化了原本複雜的BEC攻擊,即便是技術有限的攻擊者也能使用WormGPT,它將成為越來越多網路犯罪分子可以使用的工具。

  如何降低WormGPT生成的惡意攻擊危害

  WormGPT生成的惡意攻擊物件,有關生成惡意程式部分,是提高駭客產出程式的效率。對於目前被攻擊對象來看,能夠防範的就只有偽造資訊攻擊部分,例如:BEC、phishing等,因此目前防範的部分主要還是以BEC、phishing為主。

  BEC 惡意攻擊防範對策:

  ● 加強員工資安教育:在資安領域,員工是最脆弱的一環。尤其進入AI世代,必須讓員工了解AI在BEC攻擊上的進化,及類似WormGPT這種AI生成模型將如何加大BEC威脅的原理。

  ● 仔細檢查所有電子郵件:小心來自高階主管送來的不尋常郵件,有可能是用來誘騙員工去處理緊急事件。

  ● 供應商付款帳號有變更,必須由公司人員進行第二層簽核來加以確認。

  ● 了解客戶的習性,包括一些交易細節和付款習慣,降低頂替冒領的風險。

  ● 有資金轉移請求,要求使用已知的聯絡電話號碼做為雙重驗證,而非來自電子郵件中所提供的內容。

  Phishing惡意攻擊防範對策:

  ● 絕不要輕易提供個資,除非很肯定對方是信賴的人。

  ● 看到轉發的貼文,先別急著點進去。如果某樣東西好得讓人難以置信,那很 可能就是假的。

  ● 點開電子郵件之前先仔細檢查,將滑鼠停留在寄件人或打算點選的連結上看一下,這樣可以讓一些網路釣魚郵件現出原形。

  ● 開啟電子郵件的附件前,先想一下,這個人平常會寄檔案給你嗎?如果不會,那請先跟他們確認一下。

  ● 在網站上輸入重要資訊前,再次檢查網頁的正確網址。是否存在不該有的字元?有些字母被改成了數字,例如:字母「O」換成了數字「0」? 這兩個有時候很難分辨。

  ● 當收到親友傳來訊息,說遇到了困難急需借錢,別急著回應,先想一下他們會這樣向你借錢嗎?或是透過正確的聯絡方式詢問。

  ● 在看到螢幕上方或下方的彈出訊息時,先思考一下再決定是否點選。

  ● 在收到簡訊 (SMS) 時請先想一下再回覆,因為您的電信業者、銀行等單位,不太可能用簡訊跟您聯繫。

  更多資安訊息及防護策略,歡迎與NEITHNET資安專家聯繫:info@neithnet.com

參考資料:

  1. https://www.cloudbooklet.com/wormgpt-how-to-download-and-use/
  2. https://abnormalsecurity.com/blog/combating-wormgpt
  3. https://www.inside.com.tw/article/30032-chatgpt-possible-4-steps-trainin
  4. https://www.hackread.com/wormgpt-malicious-chatgpt-alternative-cybercrime/
  5. https://slashnext.com/blog/wormgpt-the-generative-ai-tool-cybercriminals-are-using-to-launch-business-email-compromise-attacks/   

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *