探索编译V8 JavaScript在恶意软件中的使用

介绍

2022年11月底，OpenAI发布了ChatGPT，这是其大型语言模型(LLM)的新界面，立即引起了人们对人工智能及其可能用途的兴趣。然而，ChatGPT也为现代网络威胁领域增添了一些趣味，因为它很快就变得明显，代码生成可以帮助不太熟练的威胁参与者毫不费力地发起网络攻击。

在Check Point Research (CPR)之前的博客中，我们描述了ChatGPT如何成功地执行了一个完整的感染流程，从创建一个令人信服的鱼叉式网络钓鱼邮件到运行一个能够接受英语命令的反向shell。目前的问题是，这是否只是一个假设的威胁，或者是否已经存在使用OpenAI技术进行恶意攻击的威胁行为者。

CPR对几个主要地下黑客社区的分析表明，已经有网络罪犯使用OpenAI开发恶意工具的第一个实例。正如我们所怀疑的，一些案例清楚地表明，许多使用OpenAI的网络罪犯根本没有开发技能。尽管我们在本报告中介绍的工具都是非常基础的，但更复杂的威胁行为者会利用基于人工智能的工具来做坏事，这只是时间问题。

案例1 -创建Infostealer

2022年12月29日，一个名为“ChatGPT -恶意软件的好处”的帖子出现在一个受欢迎的地下黑客论坛上。该帖子的发布者透露，他正在用ChatGPT进行实验，以重现研究出版物和关于常见恶意软件的文章中描述的恶意软件菌株和技术。作为一个例子，他分享了一个基于python的窃取程序的代码，该程序搜索常见的文件类型，将它们复制到Temp文件夹中的随机文件夹中，对它们进行压缩，并将它们上传到硬编码的FTP服务器。

图1 -网络罪犯展示了他如何使用ChatGPT创建infostealer

我们对脚本的分析证实了网络罪犯的说法。这确实是一个基本的窃取程序，它在整个系统中搜索12种常见的文件类型(如MS Office文档、pdf和图像)。如果找到任何感兴趣的文件，恶意软件就会将这些文件复制到一个临时目录中，对它们进行压缩，然后通过网络发送。值得注意的是，攻击者并没有对文件进行加密或安全发送，所以这些文件也可能最终落入第三方手中。

该参与者使用ChatGPT创建的第二个示例是一个简单的Java代码片段。它下载PuTTY，一个非常常见的SSH和telnet客户端，并使用Powershell在系统上秘密运行它。当然，可以修改此脚本以下载和运行任何程序，包括常见的恶意软件家族。

图2 -证明他如何创建Java程序，下载PuTTY并使用Powershell运行它

这个威胁参与者之前参与的论坛包括分享几个脚本，比如开发后阶段的自动化，以及一个试图通过网络钓鱼获取用户凭证的C程序。此外，他还积极分享已破解的SpyNote版本，这是一种Android RAT恶意软件。因此，总的来说，这个人似乎是一个以技术为导向的威胁行为者，他的帖子的目的是向技术能力较差的网络罪犯展示如何利用ChatGPT达到恶意目的，并提供他们可以立即使用的真实示例。

案例2 -创建加密工具

2022年12月21日，一个名为USDoD的威胁演员发布了一个Python脚本，他强调这是他创作的第一个脚本。

图3 -网络罪犯将美国国防部的帖子称为多层加密工具

当另一名网络罪犯评论说代码风格类似于openAI代码时，美国国防部证实openAI给了他一个“很好的帮助”，以一个很好的范围完成脚本。

图4 -确认使用Open AI创建了多层加密工具

我们对脚本的分析证实它是一个执行加密操作的Python脚本。更具体地说，它实际上是不同的签名、加密和解密功能的大杂烩。乍一看，这个脚本似乎没什么问题，但它实现了各种不同的功能:

• 脚本的第一部分生成加密密钥(特别使用椭圆曲线加密和曲线ed25519)，用于签名文件。
• 脚本的第二部分包括使用硬编码密码以混合模式同时使用Blowfish和Twofish算法加密系统中的文件的函数。这些函数允许用户加密特定目录或文件列表中的所有文件。
• 该脚本还使用RSA密钥，使用PEM格式存储的证书，MAC签名和blake2哈希函数来比较哈希值等。

值得注意的是，加密函数的所有解密对应项也在脚本中实现。该脚本包括两个主要功能;一个用于加密单个文件并在文件末尾附加消息认证码(MAC)，另一个用于加密硬编码路径并解密它作为参数接收的文件列表。

当然，上述所有代码都可以以良性的方式使用。但是，可以很容易地修改此脚本，以完全加密某人的机器，而无需任何用户交互。例如，如果脚本和语法问题得到修复，它可能会将代码转换为勒索软件。

虽然UsDoD似乎不是开发人员，技术技能有限，但他是地下社区中非常活跃和有声望的成员。美国国防部从事各种非法活动，包括出售被入侵公司的访问权限和窃取的数据库。美国国防部最近分享了一个著名的被盗数据库，据称是泄露的InfraGard数据库。

图5 -美国国防部以前涉及发布InfraGard数据库的非法活动

个案3 -为诈骗活动提供便利

另一个使用ChatGPT进行欺诈活动的例子是在2022年新年前夕发布的，它展示了一种不同类型的网络犯罪活动。虽然我们的前两个例子更多地关注于针对恶意软件的ChatGPT使用，但这个例子展示了一个标题为“滥用ChatGPT创建暗网市场脚本”的讨论。在这篇文章中，这位网络罪犯展示了使用ChatGPT创建暗网市场是多么容易。该市场在地下非法经济中的主要作用是为非法或被盗物品(如被盗账户或支付卡、恶意软件，甚至毒品和弹药)的自动交易提供一个平台，所有支付都使用加密货币。为了说明如何使用ChatGPT来实现这些目的，网络犯罪分子发布了一段代码，该代码使用第三方API来获取最新的加密货币(门罗币、比特币和以太坊)价格，作为暗网市场支付系统的一部分。

图6 -威胁参与者使用ChatGPT创建暗网市场脚本

在2023年初，几个威胁参与者在其他地下论坛上展开了讨论，重点是如何使用ChatGPT进行欺诈计划。其中大多数专注于使用另一种OpenAI技术(DALLE2)生成随机图像，并通过Etsy等合法平台在线销售。在另一个示例中，威胁参与者解释了如何为特定主题生成电子书或简短章节(使用ChatGPT)，并在线销售此内容。

图7 -地下论坛中关于如何使用ChatGPT进行欺诈活动的多个线程

总结

现在决定ChatGPT功能是否会成为暗网参与者最喜欢的新工具还为时过早。然而，网络犯罪社区已经表现出了极大的兴趣，并正在跳入这一最新趋势，以生成恶意代码。CPR将在整个2023年继续跟踪这一活动。

最后，没有比询问ChatGPT本身更好的方法来了解滥用ChatGPT。所以我们向聊天机器人询问了虐待选项，并得到了一个非常有趣的答案:

图8 -ChatGPT关于威胁参与者如何滥用openAI的响应

原文始发于微信公众号（HackSee）：探索编译V8 JavaScript在恶意软件中的使用