بدافزار چند شکلی BlackMamba ChatGPT | یک مورد ترسناک یا یک زنگ هشدار برای امنیت سایبری؟

هوش مصنوعی در قلب رویکرد SentinelOne به امنیت سایبری از ابتدای پیدایش آن بوده است.اما همانطور که می دانیم امنیت همیشه یک مسابقه تسلیحاتی بین مهاجمان و مدافعان است. از زمان ظهور ChatGPT در اواخر سال گذشته، تلاش‌های زیادی برای بررسی اینکه آیا مهاجمان می‌توانند از این یا دیگر مدل‌های زبان بزرگ (LLM) استفاده کنند، صورت گرفته است.

آخرین مورد از این تلاش ها که توسط سازندگانش BlackMamba نامیده می شود، از هوش مصنوعی مولد برای تولید بدافزار چند شکلی استفاده می کند. ادعاهای مرتبط با این نوع ابزار مجهز به هوش مصنوعی سوالاتی را در مورد چگونگی تجهیز راه حل های امنیتی فعلی برای مقابله با آن ایجاد کرده است. آیا اثبات مفاهیمی مانند BlackMamba یک دسته تهدید کاملاً جدید را ایجاد می کند که سازمان ها را بدون ابزارها و رویکردهای کاملاً جدید برای امنیت سایبری بی دفاع می کند؟ یا اینکه «تهدید هوش مصنوعی» بیش از حد تبلیغاتی است و توسعه دیگری در TTPهای مهاجم مانند هر توسعه دیگری است که می‌توانیم با درک و چارچوب‌های کنونی خود با آن سازگار شویم و خواهیم کرد؟

ترس در مورد قابلیت‌های نرم‌افزار تولید شده توسط هوش مصنوعی همچنین به نگرانی‌های گسترده‌تری در مورد اینکه آیا فناوری هوش مصنوعی خود تهدیدی است و اگر چنین است، جامعه در کل چگونه باید واکنش نشان دهد، منجر شده است.

در این پست، ما به سوالات خاص و عمومی مطرح شده توسط PoCهایی مانند BlackMamba و LLMها مانند ChatGPT و موارد مشابه می پردازیم..

BlackMamba چیست؟

به گفته سازندگان آن، BlackMamba یک بدافزار اثبات مفهوم (PoC) است که از یک فایل اجرایی خوش‌خیم برای دسترسی به یک هوش مصنوعی با شهرت (OpenAI) در زمان اجرا و بازگرداندن کد مخرب ترکیبی و چند شکلی استفاده می‌کند که هدف آن سرقت کلیدهای کاربر آلوده است. .

استفاده از هوش مصنوعی برای غلبه بر دو چالشی است که نویسندگان آن را برای فرار از تشخیص اساسی می دانستند. اول، با بازیابی بارها از یک منبع راه دور “خوش خیم” به جای یک C2 غیرعادی، آنها امیدوارند که ترافیک BlackMamba به عنوان مخرب تلقی نشود. دوم، با استفاده از یک هوش مصنوعی مولد که می‌تواند بارهای بدافزار منحصربه‌فرد را در هر بار ارائه دهد، آنها امیدوار بودند که راه‌حل‌های امنیتی فریب بخورند و کدهای برگشتی را به عنوان مخرب تشخیص ندهند.

BlackMamba کدهای ایجاد شده به صورت پویا را که از هوش مصنوعی دریافت می کند در چارچوب برنامه خوش خیم با استفاده از Python اجرا می کند. exec() تابع. بخش پلی‌مورفیک مخرب در حافظه باقی می‌ماند، و این باعث شده که سازندگان BlackMamba ادعا کنند که راه‌حل‌های EDR موجود ممکن است قادر به شناسایی آن نباشند.

شناسایی بدافزارهای تولید شده توسط هوش مصنوعی مانند BlackMamba

با این حال، چنین چالش هایی در جامعه امنیت سایبری به خوبی درک شده است. در گذشته شاهد سوء استفاده از کانال‌های «خوش‌خیم» مانند Pastebin، Dropbox، Microsoft Azure، AWS و دیگر زیرساخت‌های ابری بوده‌ایم که به همین دلیل تلاش می‌کنند تا ترافیک مخرب را در نویز خدمات شبکه قانونی پنهان کنند.

بدافزار چند شکلی نیز به سختی جدید است. در میان چیزهای دیگر، این یکی از تعدادی از عواملی است که به صنعت کمک کرد تا فراتر از راه حل های قدیمی AV و به سمت راه حل های مبتنی بر هوش مصنوعی نسل بعدی مانند SentinelOne حرکت کند.

با توجه به جداسازی کدهای مخرب در حافظه، این نیز یک رویکرد جدید یا جدید برای ساخت بدافزار نیست. ایده ننوشتن کد یا داده روی دیسک (و در نتیجه اجتناب از اقدامات امنیتی که برای آن رویدادها نظارت می‌کنند) مدت‌هاست که برای عوامل تهدید جذاب بوده است. با این حال، فروشندگان امنیتی مدرن به خوبی از این تاکتیک آگاه هستند. SentinelOne و تعدادی دیگر از فروشندگان EDR/XDR، دید لازم را نسبت به این رفتارها در سیستم های محافظت شده دارند. صرفاً محدود کردن کدهای مخرب به حافظه مجازی (چند شکلی یا غیر چند شکلی) از راه حل امنیتی نقطه پایانی خوب فرار نمی کند..

این سوال را ایجاد می کند: آیا بدافزار تولید شده توسط هوش مصنوعی می تواند نرم افزار امنیتی مبتنی بر هوش مصنوعی را شکست دهد؟ در واقع، همانطور که در ابتدا گفته شد، این یک مسابقه تسلیحاتی است و برخی از فروشندگان در صورتی که قبلاً این کار را نکرده باشند، باید به عقب بروند. در SentinelOne تصمیم گرفتیم بدافزار تولید شده توسط ChatGPT را آزمایش کنیم.

آیا هوش مصنوعی طبقه جدیدی از تهدید ایجاد می کند؟

گسترش بحث فراتر از BlackMamba، که بدون شک در چرخه اخبار هفته آینده یا ماه آینده توسط برخی دیگر از PoCهای تولید شده توسط هوش مصنوعی جایگزین خواهد شد، با توجه به اینکه ChatGPT4 و سایر مدل های به روز شده در دسترس قرار گرفته اند، سازمان ها چقدر باید نگران تهدید ناشی از هوش مصنوعی باشند. بدافزار و حملات؟

رسانه های محبوب و برخی از فروشندگان امنیت، هوش مصنوعی را هیولایی فرانکشتاین معرفی می کنند که به زودی علیه سازندگانش خواهد چرخید. با این حال، هوش مصنوعی مانند هر فناوری دیگری نه ذاتاً شر است و نه خوب. این افرادی هستند که از آن استفاده می کنند می توانند آن را خطرناک کنند. اثبات مفاهیمی مانند BlackMamba ما را در معرض خطرات جدید هوش مصنوعی قرار نمی‌دهد، اما نشان می‌دهد که مهاجمان از ابزارها، تکنیک‌ها یا رویه‌هایی که در دسترس آنها هستند برای اهداف مخرب سوء استفاده می‌کنند – وضعیتی که هر کسی در حوزه امنیت از قبل با آن آشنا است. ما نباید به فناوری حمله کنیم، بلکه مانند همیشه به دنبال جلوگیری و جلوگیری از کسانی باشیم که از آن برای اهداف مخرب استفاده می کنند: مهاجمان.

درک آنچه که هوش مصنوعی می تواند و نمی تواند انجام دهد

اساس بسیاری از نگرانی‌هایی که پیرامون بحث‌های هوش مصنوعی می‌چرخند، اغلب نیاز به روشن شدن این است که هوش مصنوعی چیست و چگونه کار می‌کند. اثربخشی هر سیستم هوش مصنوعی یا LLM مانند ChatGPT به کیفیت و تنوع مجموعه داده آن بستگی دارد. مجموعه داده مورد استفاده برای آموزش مدل، قابلیت ها و محدودیت های آن را تعیین می کند.

مدافعان می‌توانند با ایجاد مجموعه داده‌های خود، زمین بازی را هموار کنند، که می‌تواند برای آموزش مدل‌ها برای شناسایی و پاسخ به تهدیدات استفاده شود، چیزی که SentinelOne سال‌ها در آن تخصص دارد.

با وجود این، هوش مصنوعی یک فناوری جادویی نیست که بتواند همه کارها را انجام دهد. برای کارهایی که هوش مصنوعی می تواند انجام دهد، محدودیت هایی وجود دارد، به خصوص در امنیت سایبری. سیستم‌های مبتنی بر هوش مصنوعی را می‌توان با حملات پیچیده، مانند حملات خصمانه، که از دفاع دور می‌زند، فریب داد. علاوه بر این، هوش مصنوعی نمی تواند قضاوت کند و اگر مجموعه داده متنوع نباشد، می تواند سوگیری را آشکار کند.

ما باید از محدودیت های هوش مصنوعی آگاه باشیم و از آن به عنوان بخشی از یک استراتژی امنیتی جامع استفاده کنیم. به همین دلیل است که SentinelOne یک رویکرد چند لایه را به کار می گیرد که هوش مصنوعی را با سایر فناوری های امنیتی و هوش انسانی ترکیب می کند.

در مورد هوش انسانی چطور؟

در دنیای امروزی مبتنی بر هوش مصنوعی، می‌توانیم به راحتی درگیر آخرین پیشرفت‌های فناوری باشیم و اهمیت هوش انسانی را نادیده بگیریم. حتی با وجود توانایی هوش مصنوعی در تجزیه و تحلیل حجم وسیعی از داده‌ها و شناسایی الگوها، لمس انسان اگر مهم‌تر نباشد، ضروری است. ما به توانایی افراد برای استدلال، تفکر خلاق و انتقادی برای تکمیل قابلیت‌های هوش مصنوعی نیاز داریم.

هم مهاجمان و هم مدافعان از هوش مصنوعی برای خودکارسازی عملیات خود استفاده می‌کنند، اما تنها از طریق هوش انسانی است که می‌توانیم راهبردها و اقدامات امنیتی مؤثری را به کار بگیریم و در مورد چگونگی و زمان استفاده از هوش مصنوعی برای جلوتر ماندن از بازی تصمیم بگیریم.

رویدادهای اخیر، مانند استراتژی ملی امنیت سایبری، نشان داده است که دفاع از کسب و کار و جامعه در برابر تهدیدات تنها به استفاده از یک ابزار یا استخدام استعدادهای درجه یک نیست. اینترنت، دقیقاً مانند هوش مصنوعی، بحث‌های زیادی را در مورد مزایا و معایب آن برانگیخته است و امنیت سایبری را به یک چالش جمعی تبدیل کرده است که نیازمند همکاری بین سهامداران مختلف از جمله فروشندگان، مشتریان، محققان و سازمان‌های مجری قانون است.

با اشتراک گذاری اطلاعات و همکاری با یکدیگر، می توانیم یک سیستم دفاعی قوی تری بسازیم که قادر به مقاومت در برابر حملات مبتنی بر هوش مصنوعی است. برای موفقیت، باید از ذهنیت رقابتی فاصله بگیریم و روحیه همکاری را بپذیریم، تخصص خود را در بدافزارها، درک طرز فکر مهاجم، و با استفاده از هوش مصنوعی برای ایجاد محصولاتی که بتواند با چشم انداز تهدید در حال تغییر مقابله کند، ترکیب کنیم. در پایان، هوش انسانی میخ روی کیک است که دفاع مبتنی بر هوش مصنوعی ما را واقعاً مؤثر می‌سازد.

نتیجه

امنیت سایبری یک بازی موش و گربه بین مهاجمان و مدافعان است. مهاجمان راه های جدیدی را برای دور زدن خط دفاعی امتحان می کنند، در حالی که مدافعان همیشه سعی می کنند یک قدم جلوتر بمانند. استفاده از هوش مصنوعی در بدافزارها فقط یک پیچ دیگر در این بازی است. در حالی که جایی برای رضایت وجود ندارد، فروشندگان امنیت چندین دهه این بازی را انجام داده اند و برخی در آن بسیار خوب شده اند. در SentinelOne، ما پتانسیل عظیم هوش مصنوعی را درک می کنیم و بیش از ده سال است که از آن برای محافظت از مشتریان خود استفاده می کنیم.

ما معتقدیم که هوش مصنوعی و LLM های مولد، از جمله ChatGPT، فقط ابزاری هستند که مردم می توانند برای خوب یا بد از آن استفاده کنند. به جای ترس از تکنولوژی، باید روی بهبود دفاع و پرورش مهارت های مدافعان تمرکز کنیم.

برای کسب اطلاعات بیشتر در مورد اینکه چگونه SentinelOne می‌تواند به محافظت از سازمان شما در سطوح پایانی، ابری و هویتی کمک کند، با ما تماس بگیرید یا یک نسخه نمایشی درخواست کنید.