Угрозы, генерируемые большими языковыми моделями (LLM)
Большие языковые модели – это передовые модели искусственного интеллекта, предназначенные для понимания и создания человекоподобного текста. Они имеют широкий спектр применения – от помощи в написании текстов до автоматизации обслуживания клиентов. Однако, как и многие другие мощные технологии, LLM также могут быть использованы не по назначению. В последнее время Symantec отмечает постоянный рост числа атак, в которых LLM используется для генерации вредоносных скриптов. Вполне вероятно, что генерируемый LLM контент используется в реальных цепочках атак, что свидетельствует о бережливости субъектов угроз при использовании техник, которые могут помочь снизить стоимость их операций.
Пример цепочки атак LLM
Ранее Symantec уже рассказывала об угрозе PowerShell, которая, судя по всему, генерировалась с помощью LLM – подробности см. в бюллетене Protection Bulletin посвященном вредоносному ПО Rhadamanthys. Злоумышленники, использующие LLM, похоже, могут быстрее продвигаться в своих эксплойтах. Как и во многих других случаях, LLM помогает тем, у кого благие намерения, но, к сожалению, помогает и тем, кто имеет злой умысел. В этом бюллетене Symantec раскрывает еще один случай использования почти наверняка сгенерированной LLM угрозы, функция которой заключается в облегчении этапа фишинга и этапа доставки полезной нагрузки. Угроза представлена в виде вредоносного вложения в электронное письмо в формате HTML. Ниже описаны события цепочки атак.
1. Первоначальный доступ: Пользователь получает составленное человеком фишинговое письмо с вложением, имитирующим уведомление от HR.
2. Выполнение сценария, сгенерированного LLM: При открытии вредоносного вложения запускается HTML-файл со встроенным JavaScript, который, скорее всего, сгенерирован LLM. Этот скрипт предназначен для загрузки и выполнения дополнительной полезной нагрузки, хотя отображаемая в данном случае веб-страница довольно проста, а HTML, лежащий в ее основе, невелик и быстро загружается.
Анализ HTML-файла, являющегося ключевым звеном цепочки атак, позволяет выявить характерные особенности LLM-файла:
Функции и переменные красиво отформатированы и снабжены ведущим однострочным комментарием, в котором с высокой точностью грамматики объясняется их использование. Сам файл может быть легко создан автоматически с помощью LLM, не требуя особых усилий со стороны человека.
3. Окончательная загрузка полезной нагрузки: К тому времени, когда пользователь увидит страницу с простым сообщением, показанным в шаге 2 выше, полезная нагрузка следующего этапа, которая является загрузчиком вредоносной программы Dunihi (H-Worm), уже будет загружена, если пользователь не настроил свой браузер на запрос разрешения на загрузку.
Проактивная защита от Symantec
Компания Symantec находится на переднем крае кибербезопасности, предлагая надежную защиту от нескончаемой волны новых угроз, в том числе и тех, которые недавно были замечены и, скорее всего, сгенерированы LLM. Решения безопасности Symantec оснащены передовыми функциями обнаружения, которые блокируют угрозы, генерируемые искусственным интеллектом LLM. Эксперты по поиску угроз Symantecё постоянно отслеживают ландшафт угроз, собирают новые угрозы, проводят детальный анализ, обновляют модели автоматизации и обеспечивают постоянную защиту своих клиентов.
Symantec защищает вас от этой угрозы, которая идентифицируется следующим образом:
File-based (файловый)
- Scr.Phish!gen7
- Scr.Heuristic!gen12
- ISB.Downloader!gen52
- ISB.Downloader!gen53
- Backdoor.Trojan
- VBS.Dunihi
- VBS.Heur.SNIC
- Scr.Malscript!gen16
- Scr.Malcode!gen123
Behavior-based (поведенческий)
- SONAR.SuspScript!g44
- AGR.Terminate!g2
Источник: Protection Highlight: Symantec Proactively Monitor and Defend Against LLM-Facilitated Attacks
