自去年11月推出测试版以来,人工智能聊天机器人ChatGPT已经被各行业人士"玩坏了",人们用ChatGPT写诗、PPT、论文、小说、策划活动,或者作为一种智能搜索和学习工具。
但ChatGPT真正危险的应用场景在网络安全领域,研究者已经证实ChatGPT可以用于编写恶意软件,或者从事其他网络犯罪活动(例如网络钓鱼)。
黑客首次用ChatGPT生成恶意软件
根据网络安全公司Check Point研究人员上周五发布的报告,在ChatGPT上线的几周内,网络犯罪论坛的参与者,包括一些几乎没有编程经验的"脚本小子"正在使用ChatGPT编写可用于间谍、勒索软件、恶意垃圾邮件和其他用于不法活动的软件和电子邮件。报告列举了不法分子用ChatGPT开发恶意软件的三个案例:
-
生成信息窃取工具
-
生成多层加密工具
-
生成暗网市场脚本
"现在断言ChatGPT是否会成为暗网不法分子最喜欢的新工具还为时过早,"研究人员写道:"但显然,网络犯罪社区已经表现出极大的兴趣,并正在纷纷尝试用这个新工具来生成恶意代码。"
上个月,一位暗网论坛活跃用户(USDoD)发布了其编写的首个恶意软件,Python编写的多层加密工具(脚本),并称赞AI聊天机器人(OpenAI)提供了"很好的帮助,脚本的完成度很高。"
黑客论坛用户用ChatGPT生成代码截图
研究人员认为,该脚本结合了各种加密功能,包括代码签名、加密和解密。脚本的一部分使用椭圆曲线加密和曲线ed25519生成密钥,用于对文件进行签名。另一部分使用硬编码密码使用Blowfish和Twofish算法加密系统文件。第三个使用RSA密钥和数字签名,消息签名和blake2哈希函数来比较各种文件。
该脚本可用于:(1)解密单个文件并将消息身份验证代码(MAC)附加到文件末尾,以及(2)加密硬编码路径并解密它作为参数接收的文件列表。对于技术技能有限的"脚本小子"来说还不错。
"上述所有代码当然都可以以良性的方式使用,"研究人员写道:"但是,攻击者可以轻松修改此脚本以完全加密某人的机器,而无需任何用户交互。例如,如果脚本和语法问题得到解决,完全可以用这些代码开发出勒索软件。"
在另一个案例中,一位具有更多技术背景的论坛用户发布了两个恶意软件代码示例,都是用ChatGPT编写的。第一个是用于漏洞利用后进行信息窃取的Python脚本。它搜索特定的文件类型,如PDF,将它们复制到临时目录,压缩后将它们发送到攻击者控制的服务器:
ChatGPT生成的Python文件窃取程序
第二个恶意软件的代码用Java编写,能偷偷下载SSH和telnet客户端PuTTY,并使用Powershell运行它。研究人员认为,第二个发帖者似乎是一个技术导向的威胁行为者,他发布帖子的目的是向技术能力较差的网络犯罪分子展示如何将ChatGPT用于恶意目的,并提供他们可以立即使用的真实例子。
ChatGPT编写的Java恶意程序的屏幕截图
ChatGPT制作犯罪软件的另一个案例是创建一个自动化在线集市,用于购买或交易被盗用帐户、支付卡数据、恶意软件和其他非法商品或服务的凭据。该代码使用第三方编程接口来检索当前的加密货币价格,包括门罗币、比特币和以太币。这有助于用户在交易时设置价格。
用ChatGPT生成的网络黑市脚本(含代码)
研究人员用ChatGPT开发完整感染链
上周五的报告是在Check Point研究人员尝试开发具有完整感染流的AI生成的恶意软件两个月后发布的。当时他们没有编写任何代码,就生成了一封合理令人信服的网络钓鱼电子邮件:
虽然ChatGPT在过去两个月中不断收紧内容安全策略,拒绝在一些网络安全任务中贡献专家知识(例如识别URL中的恶意负载或撰写钓鱼电子邮件),但GoUpSec的编辑不久前曾成功绕过内容安全策略生成一封世界杯主题的钓鱼电子邮件:
有了钓鱼电子邮件,感染链的下一个重要环节是生成恶意载荷。CheckPoint的研究人员用ChatGPT开发了一个恶意宏,该宏可能隐藏在附加到电子邮件的Excel文件中。再一次,研究人员没写一行代码。起初,输出的脚本相当原始:
ChatGPT生成VBA脚本的第一次迭代截图
然而,当研究人员指示ChatGPT多次迭代代码时,代码的质量大大提高了:
ChatGPT生成后续迭代的屏幕截图
然后,研究人员使用一种名为Codex的更先进的AI服务来开发其他类型的恶意软件,包括反向shell和用于端口扫描,沙箱检测以及将其Python代码编译为Windows可执行文件的脚本。
"AI完成了整个感染流!"研究人员写道:"我们创建了一个网络钓鱼电子邮件,包含一个Excel文档附件,其中包含恶意VBA代码,该代码将反向shell下载到目标计算机。人工智能完成了复杂的技术工作,而攻击者需要做的工作很简单:发送邮件,执行攻击!"
虽然ChatGPT条款禁止将其用于非法或恶意目的,但研究人员毫不费力地调整了他们的请求成功绕过这些限制。当然,防御者也可以使用ChatGPT编写代码来搜索文件中的恶意URL,或查询VirusTotal以获取特定加密哈希的检测次数。
总结
虽然ChatGPT在网络安全领域的应用只是牛刀小试,崭露头角,甚至略显稚嫩。但不可否认的是,在不久的将来,人工智能将彻底改变网络攻防态势和游戏规则,掀起一场围绕人工智能技术的军备竞赛。
关于黑客&网络安全学习指南
学好 网络安全不论是就业还是做副业赚钱都不错,但要学会 网络安全 还是要有一个学习规划。最后给大家分享一份全套的 网络安全学习资料,给那些想学习网络安全的小伙伴们一点帮助!
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础等教程,带你从零基础系统性的学好网络安全。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.网络安全视频教程600集和配套电子书
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
温馨提示:篇幅有限,已打包文件夹,获取方式在:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
"工欲善其事必先利其器"我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF...
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享