首個透過聊天機器人生成的惡意程式在野外散播
- 發布單位:TWCERT/CC
- 更新日期:2024-10-29
- 點閱次數:771

HP Wolf Security 的資安研究人員在今年6月的事件調查中,揭露了一項新興的攻擊手法。調查顯示,駭客運用人工智慧聊天機器人生成 VBScript 和 JavaScript 的惡意腳本,並通過這些腳本成功傳播名為 AsyncRAT 的惡意程式。此次調查的起始點是一封來自法國的可疑電子郵件,該郵件引起了資安人員的高度關注。
AsyncRAT 是一種開源的遠端存取工具,可透過安全加密連線遠端監視,並控制他人的電腦,由於擁有鍵盤紀錄器、遠端桌面控制等多種對受害者電腦造成損害的功能,因此經常被利用做為攻擊鏈的最後環節。該工具可以透過各種方式傳播,例如魚叉式網路釣魚、惡意廣告、漏洞利用工具包等。
圖 1 為此次事件的攻擊鏈,首先,駭客透過釣魚信件夾帶一個HTML檔案,當受害者開啟HTML檔案時,即觸發由VBScript寫的惡意腳本,該腳本將惡意程式相關的資料寫入註冊表,並在受駭者的資料夾中創建一個JavaScript腳本。接者,透過工作排程實現持久化並執行JavaScript惡意腳本。JavaScript 腳本會讀取先前寫入註冊表的資料,以執行Powershell腳本內容,最後,Powershell腳本會解碼在註冊表中的資料,獲取最終駭客想要執行的惡意程式AsyncRAT。
圖1: GenAI 產生惡意程式散播 AsyncRAT,圖片取自HP Wolf Security研究報告
資安研究人員認為此次事件中,圖1的VBScript和JavaScript惡意腳本可能是透過AI生成。一般來說,惡意程式會儘可能混淆使分析更加困難,但是,這次事件中的VBScript和JavaScript惡意腳本,不僅沒有進行混淆,還包含大量的註解。圖2為此次事件的VBScript惡意腳本內容,大量的註解似乎是為了要讓AI 聊天機器人能夠理解其需求。
圖2: VBScript 惡意腳本內容,圖片取自HP Wolf Security研究報告
隨著人工智慧的發展,人們普遍認為駭客可以利用AI撰寫惡意程式,但目前幾乎沒有實質證據顯示由AI生成的惡意程式在實際環境中散播。然而,這次的駭客攻擊提供充分的證據,展示人工智慧如何加速駭客進行惡意攻擊,降低駭客感染電腦需要的技術門檻。
從防禦的角度而言,攻擊者開始使用AI開發惡意程式,企業應該將AI整合至防禦體系,以識別由AI生成的威脅,同時簡化防禦人員的工作負擔,這樣不僅可以提升企業的整體安全性,還能更有效應對不斷演變的攻擊手法。