資訊安全新知分享
NEITHNET 資安實驗室
隨著AI技術愈來愈純熟,使用AI更有效率的完成任務,已經是許多人的日常。而生成式AI近期更被廣泛應用,除了能夠快速生成行銷文案及內容外,也可快速的生成程式範本…等應用,大幅增加開發效率及減少排除異常時間。當然,駭客也沒有錯過這個AI爆發式成長的階段,有資安研究人員發現駭客組織開始使用生成式AI來製作一些惡意程式,且攻擊方式也有改變,改以Windows捷徑檔(LNK)當作惡意程式散布的媒介。
國外資安業者Proofpoint 發現 TA547駭客組織正透過電子郵件方式向德國多家企業,傳播名為Rhadamanthys 惡意竊取資料程式。載入程式使用了 PowerShell的腳本,研究人員懷疑該腳本是由ChatGPT、Gemini、CoPilot、WormGPT等大型語言模型(LLM)生成的。
駭客冒充德國公司Metro,發送有關發票內容電子郵件。
郵件中包含受密碼保護的壓縮檔案需要輸入密碼:MAR26。解壓縮完後裡面包含 Windows LNK檔案。當執行LNK檔案時,會開啟PowerShell執行遠端PowerShell腳本。
過程中會將Base64編碼的Rhadamanthys執行檔進行解碼,並載入到記憶體中然後執行。Rhadamanthys在記憶體中執行,而不寫入磁碟執行,非常狡猾,不容易偵測。其中在PowerShell腳本裡,有發現疑似使用生程式AI生成腳本的跡象。
疑似由生成式AI編寫並在駭客攻擊中使用的PowerShell腳本
從PowerShell腳本中可以看出駭客撰寫程式碼的罕見特徵。例如,在腳本的每個物件上,都會用#符號開頭的程式註解,且註解寫得非常完整、詳細。這正是使用生成式AI生成腳本的標準格式,由此可以判斷此PowerShell腳本是用生成式AI所生成的。
試著用ChatGPT生成PowerShell腳本範例
我們試著用中文溝通請ChatGPT 產生一段PowerShell的腳本來驗證看看,發現所生成的腳本真的在每個物件都會用#符號產生註解,且對物件的描述很詳細。
這也許就是使用LLM模型生成腳本的特徵。
提高自我防駭意識,才能降低被駭風險
AI技術快速的席捲全球,為許多產業帶來了重大變革。駭客的效率也藉由生成式AI有了明顯的提升,生成的內容更加逼真、快速。不過,無論生成的內容多麼完美,提高自我防駭意識,才是我們最佳的第一道防線!
BEC、Phishing惡意攻擊防範對策:
● 在開啟電子郵件的附件檔案之前,思考一下,寄件者有沒有寄檔案給你的習慣?如果沒有,那請先跟他們確認一下檔案的內容。
● 收到要求資金轉移的電子郵件時,仔細檢查寄件者的合理性。必要時可以再次聯絡對方確認真實性。
● 教育訓練,時時提醒員工公司的資安政策,並養成良好的習慣。
● 了解客戶的習性,包括一些交易細節和付款習慣,降低頂替冒領的風險。
● 提供個人資料時,先了解用途並確認對方是可信任的人。
● 與外部專家合作,必要時聘請網絡安全專家進行安全評估和培訓。
補充資料:
https://www.ithome.com.tw/news/162242
https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta547-targets-german-organizations-rhadamanthys-stealer
更多資安訊息及防護策略,歡迎與NEITHNET資安專家聯繫:info@neithnet.com