ما ChatGPT را آزمایش کردیم: سوالات خود را در اینجا بدون حساب بپرسید

کارشناسان امنیتی با استفاده از ChatGPT موفق به ایجاد بدافزار چند شکلی «بسیار گریزان» شدند.
این بدافزار می تواند از محصولات امنیتی فرار کند
در 20 ژانویه 2023 ساعت 14:31 بعد از ظهر توسط بیل فاسینو



محققان شرکت امنیت سایبری CyberArk ادعا می‌کنند که روشی را برای تولید بدافزار چند شکلی با استفاده از ChatGPT، ربات چت هوش مصنوعی OpenAI توسعه داده‌اند. محققان ادعا می کنند که بدافزار تولید شده توسط ChatGPT می تواند به راحتی از محصولات امنیتی فرار کند و اقدامات کاهشی را دست و پا گیر کند. همه اینها با تلاش یا سرمایه گذاری بسیار کم از طرف دشمن. محققان در مورد آنچه که آنها "موج جدیدی از بدافزارهای چند شکلی ارزان و آسان که قادر به فرار از برخی محصولات امنیتی هستند" هشدار دادند.

تا کنون، تبلیغات پیرامون ChatGPT حول توانایی های قابل توجه آن در پاسخ به سوالات مختلف کاربران بوده است. به نظر می رسد ChatGPT در همه چیز، از جمله نوشتن مقاله، آیات و کد برای حل مشکلات برنامه نویسی خاص، خوب است. با این حال، محققان شروع به هشدار در مورد توانایی های چت بات برای تولید کد کاری کرده اند. در واقع، در حالی که ChatGPT می تواند کد کار تولید کند، این توانایی می تواند توسط عوامل تهدید برای ایجاد بدافزار مورد سوء استفاده قرار گیرد. از ماه دسامبر چندین گزارش از این دست منتشر شده است.

اخیراً تیمی از محققان امنیتی به نام اران شیمونی و عمر تسارفاتی از CyberArk شواهدی در این باره ارائه کردند. محققان می گویند روشی را برای تولید بدافزار از پیام های ارائه شده به ChatGPT ایجاد کرده اند. در گزارشی، تیم توضیح داد که چگونه می توان از چت بات OpenAI برای تولید کد تزریق و جهش آن استفاده کرد. اولین قدم در ایجاد بدافزار دور زدن فیلترهای محتوا بود که از ایجاد ابزارهای مضر ChatGPT جلوگیری می کرد. برای انجام این کار، محققان به سادگی اصرار کردند و همان سوال را به روشی معتبرتر مطرح کردند.


این تیم گفت: «جالب است که با درخواست از ChatGPT برای انجام همان کار با استفاده از محدودیت‌های متعدد و درخواست از آن برای اطاعت، کد کاری دریافت کردیم. علاوه بر این، محققان خاطرنشان کردند که هنگام استفاده از نسخه API ChatGPT (برخلاف نسخه وب)، به نظر نمی رسد که سیستم از فیلتر محتوای خود استفاده کند. آنها گفتند: «دلیل این امر مشخص نیست، اما این کار را برای ما آسان‌تر کرد، زیرا نسخه وب تمایل دارد در جستجوهای پیچیده‌تر گرفتار شود. سپس محققان از ChatGPT برای جهش کد اصلی استفاده کردند و انواع مختلفی از بدافزار را ایجاد کردند.

«به عبارت دیگر، ما می‌توانیم نتیجه را به یک هوس تغییر دهیم و هر بار آن را منحصر به فرد کنیم. علاوه بر این، افزودن محدودیت‌هایی مانند تغییر استفاده از یک تماس API خاص، عمر محصولات امنیتی را دشوارتر می‌کند.» گزارش مطالعه توضیح می‌دهد. به لطف توانایی ChatGPT برای ایجاد و جهش مداوم انژکتورها، محققان توانستند یک برنامه چند شکلی بسیار گریزان و دشوار را ایجاد کنند. برای یادآوری، بدافزار چند شکلی نوعی بدافزار است که توانایی تغییر مداوم ویژگی‌های قابل شناسایی خود را برای فرار از شناسایی دارد.

بسیاری از اشکال رایج بدافزارها می توانند چند شکلی باشند، از جمله ویروس ها، کرم ها، ربات ها، تروجان ها یا کی لاگرها. تکنیک‌های چند شکلی متشکل از ویژگی‌های قابل شناسایی است که به طور مکرر تغییر می‌کنند، مانند نام‌ها و انواع فایل‌ها یا کلیدهای رمزگذاری، تا بدافزار را برای چندین روش شناسایی غیرقابل تشخیص کنند. پلی مورفیسم برای فرار از تشخیص الگوی مورد استفاده قرار می گیرد که راه حل های امنیتی مانند نرم افزار آنتی ویروس به آن تکیه دارند. با این حال، هدف عملکردی آنها از برنامه یکسان است.


با استفاده از توانایی ChatGPT برای ایجاد تکنیک‌های پایداری، ماژول‌های Anti-VM [Anti Virtual Machine] و سایر بارهای مخرب، امکان توسعه بدافزار بسیار زیاد است. اگرچه ما جزئیات ارتباط با سرور C&C را بررسی نکرده‌ایم، راه‌های مختلفی برای انجام محتاطانه و بدون ایجاد شک وجود دارد. بر اساس این گزارش، آنها هفته ها طول کشید تا یک اثبات مفهومی برای این بدافزار بسیار گریزان ایجاد کنند، اما در نهایت راهی برای اجرای payload با استفاده از اعلان های متنی در رایانه شخصی ارائه کردند.

با آزمایش این روش بر روی ویندوز، محققان گزارش دادند که امکان ایجاد یک بسته نرم افزاری مخرب حاوی مفسر پایتون وجود دارد که می تواند برنامه ریزی شود تا به طور دوره ای از ChatGPT ماژول های جدید بخواهد. این ماژول‌ها می‌توانند حاوی کدی باشند - به شکل متنی - که عملکرد بدافزار را تعریف می‌کند، مانند تزریق کد، رمزگذاری فایل یا ماندگاری. سپس بدافزار مسئول بررسی اینکه آیا کد مطابق انتظار بر روی سیستم هدف کار می کند یا خیر. این را می توان با تعامل بین نرم افزار و سرور فرمان و کنترل (C&C) به دست آورد.

از آنجایی که بدافزار بارهای دریافتی را به‌جای دودویی، متنی تشخیص می‌دهد، محققان CyberArk گفتند که این بدافزار هیچ منطق مشکوکی در حافظه ندارد، به این معنی که می‌تواند از اکثر محصولات فرار کند. این به ویژه محصولاتی را که به تشخیص امضا متکی هستند و معیارهای رابط تجزیه و تحلیل بدافزار (AMSI) را دور می زند دور می زند. شیمونی می‌گوید: «این بدافزار حاوی هیچ کد مخربی بر روی دیسک نیست، زیرا کد را از ChatGPT دریافت می‌کند، سپس آن را تأیید و اجرا می‌کند بدون اینکه هیچ اثری در حافظه باقی بگذارد.


«برخورد با بدافزار چند شکلی برای محصولات امنیتی بسیار دشوار است زیرا واقعاً نمی توانید آن را امضا کنید. همچنین، آنها معمولا هیچ ردی بر روی سیستم فایل باقی نمی گذارند، زیرا کد مخرب آنها فقط در حافظه دستکاری می شود. همچنین، اگر فردی فایل اجرایی را مشاهده کند، احتمالاً خوش خیم به نظر می رسد. تیم تحقیقاتی گفت که حمله سایبری با استفاده از این روش ارسال بدافزار "فقط یک سناریوی فرضی نیست، بلکه یک نگرانی بسیار واقعی است." شیمونی از مسائل مربوط به تشخیص به عنوان نگرانی اصلی یاد کرد.

«بیشتر محصولات ضد بدافزار از این بدافزار آگاه نیستند. تحقیقات بیشتری برای راه‌حل‌های ضد بدافزار مورد نیاز است تا در برابر آن مؤثرتر باشد.» محققان گفتند که آنها این تحقیق را بیشتر گسترش خواهند داد و همچنین قصد دارند برخی از کد منبع بدافزار را برای اهداف یادگیری منتشر کنند. گزارش آنها چند هفته پس از آن منتشر شد که تحقیقات Check Point کشف کرد که ChatGPT برای توسعه ابزارهای مخرب جدید از جمله دزدان اطلاعات استفاده می شود.

منبع: CyberArk

izentrop نوشت:یک مثال احمقانه ChatGPT:
...