ChatGPT kann polymorphe Malware erstellen, und nun?
ChatGPT unterstützt Anwender mittlerweile bei einer Vielzahl von Aufgaben. Und trotz der von OpenAI auferlegten Sicherheitskontrollen, die einem Missbrauch der KI-Funktionalität vorbeugen sollen, finden Cyberkriminelle immer wieder neue Wege, die Technologie zum eigenen Vorteil auszuspielen.
So haben beispielsweise Untersuchungen gezeigt, dass sich mithilfe der generativen künstlichen Intelligenz relativ leicht polymorphe Malware entwickeln lässt – aufgrund der Vielseitigkeit von ChatGPT war die Erstellung von Code, der sich zum Aufbau von Malware eignet, überhaupt kein Hexenwerk. Die Content Filter, die genau dies eigentlich verhindern sollen, haben sich hier als ziemlich wirkungslos erwiesen. Somit verwundert es kaum, dass die Zahl potenzieller Angreifer weiter wächst – schließlich wird es immer leichter, fortschrittliche Bedrohungen auf den Weg zu bringen – selbst ohne tiefgreifende technische Kenntnisse. Durch kontinuierliche Abfragen und die nach der ersten Ablehnung erfolgte Aufforderung an das Programm, die Anweisung umzusetzen, konnten die Forscher ChatGPT dazu zu bringen, einzigartigen funktionalen Code zu erzeugen, der sich für böswillige Zwecke eignet. Hierbei wurde die Python-API anstelle der Webversion genutzt – für konsistentere Ergebnisse und ein Umgehen der Content Filter. Anschließend waren die Forscher mithilfe von ChatGPT zudem in der Lage, den Code zu mutieren. Das Ergebnis: Polymorphe Malware, die aufgrund ausweichender Taktik für IT-Security-Systeme schwer zu fassen ist.
Funktionsweise und Merkmale von polymorpher Malware
Polymorphe Malware gehört heute aufgrund ihrer Hartnäckigkeit und der Fähigkeit, ihr Aussehen und Verhalten zu verändern, zu den am schwierigsten erkenn- und abwehrbaren Bedrohungen. Antiviren-Programme – zumindest solche, die sich zu sehr auf Signaturen oder Muster verlassen – haben hier kaum eine Chance. Kommt diese Malware zum Ziel, kann dies verheerende Auswirkungen auf Computersysteme haben. Der Diebstahl sensibler Informationen und irreparable Schäden sind nicht selten die Folge. Aber was genau macht polymorphe Malware so gefährlich?
- Verändertes Erscheinungsbild bei jeder Ausführung: Polymorphe Viren sind so konzipiert, dass sie ihre Struktur und ihr „digitales“ Aussehen bei jeder Ausführung ändern: Ihre Codes werden durch Verschlüsselung von Dateien komplett neu geschrieben und Signaturen entsprechend modifiziert, so dass sie von Antivirenprogrammen, deren Erkennungsmechanismen auf dem Abgleich mit bekannten Virensignaturen basieren, nur schwer identifiziert werden können.
- Quellcode-Umwandlung: Diese Art der Malware verwendet fortschrittliche Code-Verschleierungstaktiken, wie z.B. Verschlüsselungs- und Dekomprimierungstechniken, um der Erkennung zu entgehen. Oder sie fügt nutzlosen oder irrelevanten Code ein, um die Analyse zumindest zu erschweren.
- Umgehungstechniken: Polymorphe Malware kann Sandboxen umschiffen und andere Umgehungstechniken anwenden, um sich dem Radar der Analyse zu entziehen.
- Anpassungsfähigkeit: Sie kann hochgradig personalisiert und zielgerichtet sein, so dass ihre Verhaltensmuster einzigartig sind und von Programmen, die sich auf die Mustererkennung bei der Verhaltensanalyse verlassen, nur schwer entdeckt werden können.
Um zu demonstrieren, wozu KI-basierte Malware in der Lage ist, hat eine Gruppe von Forschern Anfang 2023 im Zuge eines Proof-of-Concept eine Keylogger-Variante namens BlackMamba kreiert. Die Keylogging-Fähigkeit ermöglicht es Angreifern, sensible Informationen von jedem beliebigen Gerät zu sammeln. Sobald die Malware von diesem Besitz ergriffen hat, werden die Daten unter Zuhilfenahme einer gängigen und vertrauenswürdigen Collaboration-Plattform in die falschen Hände gespielt – nun können die Informationen entweder im Dark Web verkauft oder für neue Angriffe genutzt werden.
Dank der Open-Source-Programmiersprache Python ist es Entwicklern möglich, Skripte in eigenständige ausführbare Dateien verwandeln, die auf verschiedenen Betriebssystemen Wirkung entfalten. Einer Anpassung von Malware an jede Netzwerkumgebung steht mittels KI nichts im Wege. Potenzielle Sicherheitskontrollen werden von dieser erkannt und ausgetrickst, damit die Malware unbehelligt passieren kann.
Wie man KI-basierte Malware entschärft
Polymorphe Malware an sich stellt bereits eine offensichtliche IT-Security-Herausforderung dar. Wenn deren Entwicklung und Verbreitung nun auch noch von der KI befeuert wird, steigt die Gefahr weiter. Selbst wenn klassische Sicherheitslösungen bereits auf mehrschichtigen Data-Intelligence-Systemen beruhen, um einige der raffiniertesten Bedrohungen von heute mit automatisierten Kontrollen zu bekämpfen: Manchmal ist auch das nicht genug. Hier kann eine XDR-Lösung (Extended Detection and Response, XDR) zusätzlichen Mehrwert bringen und entscheidend dazu beitragen, entsprechende Angriffe abzuwehren.
XDR-Lösungen, wie z.B. ThreatSync von Watchguard, sorgen für noch mehr Einblick und Kontrolle. Dank der Korrelation von Telemetriedaten aus verschiedenen Sicherheitslösungen sind Security-Verantwortliche hinsichtlich der Zusammenhänge von Bedrohungsszenarien stets im Bilde und können schnell sowie adäquat reagieren. Das Risiko, Opfer polymorpher Malware zu werden, verringert sich dadurch deutlich.
Wer mehr über XDR und seine Funktionsweise erfahren möchte, findet zahlreiche Informationen in diesen Blogbeiträgen:
Wodurch unterscheidet sich XDR von EDR?
XDR: Hintergründe, Funktionsweise und Vorteile