Cybersecurity-onderzoekers van Sentinelone hebben een nieuwe malware geïdentificeerd, Malerminal, die Openai’s GPT-4 gebruikt om in realtime kwaadaardige code te genereren. Deze functionaliteit vormt een nieuwe categorie bedreiging die grote taalmodellen rechtstreeks integreert in malwarebedrijven. De ontdekking introduceert LLM-compatibele malware, die Sentinelone beschrijft als een “kwalitatieve verschuiving in tegenstanders”. Malterminale functies als malwaregenerator. Na uitvoering vraagt het een aanvaller om een payload te selecteren, met keuzes zoals een ransomware -encryptor of een omgekeerde shell. Deze selectie wordt vervolgens verzonden als een prompt naar de GPT-4 AI, die reageert door Python-code te genereren die is afgestemd op het gevraagde kwaadaardige formaat. Een primair kenmerk van Malerminal is het ontwijkingsmogelijkheden. De kwaadaardige code wordt niet statisch opgeslagen in het malwarebestand, maar wordt tijdens runtime dynamisch gemaakt. Deze on-the-fly generatie compliceert detectie voor traditionele beveiligingstools die afhankelijk zijn van het scannen van statische bestanden op bekende kwaadaardige handtekeningen. Sentinelone-onderzoekers bevestigden de GPT-4-integratie door Python-scripts en een uitvoerbare Windows te ontdekken dat hardcode API-toetsen en specifieke snelle structuren bevatte voor het communiceren met de AI. De ontwikkeling van de malware is gedateerd voor vóór eind 2023. Onderzoekers kwamen tot deze conclusie omdat het API-eindpunt hardcode in de malware op dat moment werd gedeactiveerd, waardoor Malterminal het vroegst bekende voorbeeld van AI-aangedreven malware werd. Momenteel suggereert geen bewijs dat Malerminal ooit is ingezet in een live aanval. Dit geeft aan dat het mogelijk is gemaakt als een proof-of-concept of gebruikt als een hulpmiddel voor rode teamoefeningen. Het rapport van Sentinelone benadrukte de uitdagingen van dit nieuwe malwaretype.
“Met de mogelijkheid om kwaadaardige logica en opdrachten te genereren tijdens runtime, introduceert LLM-compatibele malware nieuwe uitdagingen voor verdedigers.”
Het rapport heeft ook de huidige situatie opgesteld als een kans voor de cybersecurity -gemeenschap. “Hoewel het gebruik van LLM-compatibele malware nog steeds beperkt en grotendeels experimenteel is, biedt deze vroege ontwikkelingsfase verdedigers de mogelijkheid om te leren van fouten van aanvallers en hun benaderingen dienovereenkomstig aan te passen.” De onderzoekers voegden eraan toe: “We verwachten dat tegenstanders hun strategieën aanpassen, en we hopen dat verder onderzoek kan voortbouwen op het werk dat we hier hebben gepresenteerd.”
