Los investigadores de ciberseguridad han descubierto que es posible utilizar modelos de lengua grandes (LLM) para crear nuevas variantes de código JavaScript ladino a escalera de una forma que pueda esquivar mejor la detección.
«Aunque los LLM luchan por crear malware desde cero, los delincuentes pueden usarlos fácilmente para reescribir u ofuscar el malware existente, lo que lo hace más difícil de detectar», dijeron los investigadores de la Mecanismo 42 de Palo Parada Networks en un nuevo investigación. «Los delincuentes pueden incitar a los LLM a realizar transformaciones que tienen un aspecto mucho más natural, lo que hace que la detección de este malware sea más difícil».
Con suficientes transformaciones a lo abundante del tiempo, el enfoque podría tener la superioridad de degradar el rendimiento de los sistemas de clasificación de malware, engañándolos haciéndoles creer que un fragmento de código nefasto es en existencia indulgente.
Si aceptablemente los proveedores de LLM han diligente cada vez más barreras de seguridad para evitar que se descarrilen y produzcan resultados no deseados, los malos actores han anunciado herramientas como WormGPT como una forma de automatizar el proceso de elaboración de correos electrónicos de phishing convincentes que se dirigen a posibles objetivos e incluso crean nuevos malware.
En octubre de 2024, OpenAI reveló que había bloqueado más de 20 operaciones y redes engañosas que intentaban utilizar su plataforma para gratitud, investigación de vulnerabilidades, soporte de secuencias de comandos y depuración.
Unit 42 dijo que aprovechó el poder de los LLM para reescribir iterativamente muestras de malware existentes con el objetivo de eludir la detección mediante modelos de formación instintivo (ML) como Innocent Until Proven Guilty (IUPG) o PhishingJS, allanando efectivamente el camino para la creación de 10,000 JavaScript novedosos. variantes sin alterar la funcionalidad.
La técnica adversaria de formación instintivo está diseñada para cambiar el malware utilizando varios métodos (a entender, cambio de nombre de variables, división de cadenas, inserción de código basura, exterminio de espacios en blanco innecesarios y una reimplementación completa del código) cada vez que se introduce en el sistema como aporte.
«El resultado final es una nueva modificación del JavaScript ladino que mantiene el mismo comportamiento del script diferente, aunque casi siempre tiene una puntuación maliciosa mucho más devaluación», dijo la compañía, agregando que el cálculo codicioso invirtió el veredicto de su propio maniquí de clasificación de malware de ladino. a indulgente el 88% de las veces.
Para empeorar las cosas, estos artefactos de JavaScript reescritos incluso evaden la detección de otros analizadores de malware cuando se cargan en la plataforma VirusTotal.
Otra superioridad crucial que ofrece la ofuscación basada en LLM es que sus muchas reescrituras parecen mucho más naturales que las logradas por bibliotecas como obfuscator.io, estas últimas son más fáciles de detectar y tomar huellas digitales de forma confiable correcto a la forma en que introducen cambios en el código fuente.
«La escalera de nuevas variantes de códigos maliciosos podría aumentar con la ayuda de la IA generativa», afirmó la Mecanismo 42. «Sin requisa, podemos utilizar las mismas tácticas para reescribir código ladino y ayudar a crear datos de entrenamiento que puedan mejorar la solidez de los modelos de formación instintivo».
La divulgación se produce cuando un especie de académicos de la Universidad Estatal de Carolina del Finalidad ideó un ataque de canal contiguo denominado TPUXtract para realizar ataques de robo de modelos en las Unidades de procesamiento tensoriales (TPU) de Google Edge con una precisión del 99,91%. Esto podría luego explotarse para suministrar el robo de propiedad intelectual o ataques cibernéticos posteriores.
«Específicamente, mostramos un ataque de robo de hiperparámetros que puede extraer todas las configuraciones de capas, incluido el tipo de capa, la cantidad de nodos, los tamaños del kernel/filtro, la cantidad de filtros, los avances, el relleno y la función de activación», dijeron los investigadores. «Lo más trascendental es que nuestro ataque es el primer ataque integral que puede extraer modelos nunca antiguamente vistos».
El ataque de caja negra, en esencia, captura señales electromagnéticas emanadas por la TPU cuando se están realizando inferencias de redes neuronales (una consecuencia de la intensidad computacional asociada con la ejecución de modelos de formación instintivo fuera de carrera) y las explota para inferir hiperparámetros del maniquí. Sin requisa, depende de que el adversario tenga comunicación físico a un dispositivo objetivo, sin mencionar la posesión de equipos costosos para investigar y obtener rastros.
«Como robamos la obra y los detalles de las capas, pudimos distraer las características de detención nivel de la IA», dijo Aydin Aysu, uno de los autores del estudio. «Luego utilizamos esa información para distraer el maniquí eficaz de IA, o un sustituto muy cercano de ese maniquí».