研究员利用ChatGPT制造出多态恶意软件Blackmamba

HYAS 研究院的安全研究员兼网络安全专家 Jeff Sims 开发出一种新的受ChatGPT驱动的恶意软件 Blackmamba，它可绕过端点检测和响应 (EDR) 过滤器。

这一现象并不令人惊讶。就在今年1月份，CyberArk公司的研究员就报道了ChatGPT可如何被用于开发多态恶意软件。在调查过程中，研究人员能够使用命令语调，绕过ChatGPT中的内容过滤器，制造多态恶意软件。

HYAS研究院在报告中指出，该恶意软件可收集敏感数据如用户名、储蓄卡/信用卡卡号、密码和其它由用户输入的机密信息。一旦抓取到数据，Blackmamba就会利用MS Teams 将其传输到受害者的Teams频道，“被分析、在暗网出售或用于其它恶意目的”。

Jeff使用MS Teams的原因是，该软件可使他获得对组织机构内部来源的访问权限。由于与其它很多虚拟工具如Slack 连接，因此识别有价值的目标可能更易管理。Jeff 利用ChatGPT创建了多态键盘记录器，它可利用ChatGPT的语言能力，通过检查用户的输入随机修改恶意软件。Jeff 通过Python 3生成了该键盘记录器并通过每次调用ChatGPT时运行python exec()函数。也就是说，无论何时调用ChatGPT/text-DaVinci-003，它都会为该键盘记录器编写一个唯一的Python脚本。

这就使得恶意软件是多态的切无法由EDR检测到。攻击者可利用ChatGPT修改代码使其更加难以描述。之后他们甚至可以开发出恶意软件/勒索软件作者能够用于发动攻击的程序。

Jeff构造的恶意软件是可分享的、且通过auto-py-to-exe进行迁移、免费、开源的工具。这样Python代码转换到.exe文件可在多个系统上运行。另外，也可通过社工或邮件在目标环境中共享该恶意软件。

随着ChatGPT机器学习能力不断发展，毫无疑问这类威胁将继续存在且变得更加复杂又难以检测。自动化安全控制并非灵丹妙药，因此组织机构必须主动开发且执行网络安全策略，防御此类攻击。

多态恶意软件可在每次复制或感染新系统后修改代码和外观的恶意软件，因此传统的基于签名的杀毒软件难以检测并分析它。多态恶意软件一般通过使用多种混淆技术如加密、代码修改和不同的压缩方法实现其目标。这种恶意软件还能够通过生成新代码和唯一签名的方式实时修改，躲避安全软件的检测。

近年来，网络犯罪分子不断寻求绕过传统安全措施的创新方式，因此多态恶意软件业变得更加常见。这种恶意软件的合成能力和代码修改能力使得安全研究员难以开发出有效的防御措施，成为组织机构和个体的重大威胁。

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~