Badacze cyberbezpieczeństwa w Sentinelone zidentyfikowali nowe złośliwe oprogramowanie, Malterminal, który wykorzystuje GPT-4 Openai do generowania złośliwego kodu w czasie rzeczywistym. Ta funkcjonalność ustanawia nową kategorię zagrożenia, która integruje duże modele językowe bezpośrednio z operacjami złośliwego oprogramowania. Discovery wprowadza złośliwe oprogramowanie LLM, które Sentinelone opisuje jako „jakościową zmianę w przeciwniku Tradecraft”. Malterinal funkcjonuje jako generator złośliwego oprogramowania. Po wykonaniu skłania atakującego do wybrania ładunku, oferując wybory, takie jak szyfrator ransomware lub powrót do odwrotnej powłoki. Wybór ten jest następnie wysyłany jako monit do AI GPT-4, która odpowiada, generując kod Pythona dostosowany do żądanego złośliwego formatu. Główną cechą Malterinal jest jego zdolność unikania. Złośliwy kod nie jest przechowywany statycznie w pliku złośliwego oprogramowania, ale jest tworzony dynamicznie w czasie wykonywania. Ta generacja w locie komplikuje wykrywanie tradycyjnych narzędzi bezpieczeństwa, które opierają się na skanowaniu plików statycznych dla znanych złośliwych podpisów. Badacze Sentinelone potwierdzili integrację GPT-4, odkrywając skrypty Pythona i wykonywalne systemy Windows, które zawierały hardkodowane klucze API i specyficzne szybkie struktury komunikowania się z AI. Rozwój złośliwego oprogramowania został datowany przed końcem 2023 r. Badacze doszli do tego wniosku, ponieważ punkt końcowy API zatrudniony w złośliwym oprogramowaniu został w tym czasie dezaktywowany, co czyniąc złośliwym znanym przykładem złośliwego oprogramowania. Obecnie żadne dowody sugerują, że Malterminal nigdy nie został rozmieszczony podczas ataku na żywo. Wskazuje to, że mógł zostać utworzony jako dowód koncepcji lub użyć jako narzędzie do czerwonych ćwiczeń zespołowych. Raport Sentinelone podkreślił wyzwania stawiane przez ten nowy typ złośliwego oprogramowania.
„Mając możliwość generowania złośliwej logiki i poleceń w czasie wykonywania, złośliwe oprogramowanie z obsługą LLM wprowadza nowe wyzwania dla obrońców”.
Raport sformułował również obecną sytuację jako okazję dla społeczności cyberbezpieczeństwa. „Chociaż użycie złośliwego oprogramowania LLM jest nadal ograniczone i w dużej mierze eksperymentalne, ten wczesny etap rozwoju daje obrońcom możliwość uczenia się na błędach atakujących i odpowiednio dostosować ich podejścia”. Naukowcy dodali: „Oczekujemy, że przeciwnicy dostosują swoje strategie i mamy nadzieję, że dalsze badania mogą oprzeć się na pracy, którą tu przedstawiliśmy”.
