Специалисты по информационной безопасности профильной компании Palo Alto Networks по результатам проведённого исследования выяснили, что современные большие языковые модели способны с лёгкостью создавать новые варианты вредоносного JavaScript-кода для обхода средств обнаружения.
Эксперты подчёркивают, что, несмотря на то что большие языковые модели не могут разработать вредоносное программное обеспечение с нуля, злоумышленники всё равно их активно применяют, чтобы переписывать и маскировать уже существующий вредоносный код, что существенно осложняет процессы его обнаружения.
Киберпреступники применяют искусственный интеллект для осуществления трансформации, делающей вредоносный код максимально естественным на вид, что затрудняет процесс его классификации в качестве вредоносного. Подобные внесённые таким образом корректировки могут негативно воздействовать на функционирование систем анализа вредоносного программного обеспечения, из-за чего защитные решения попросту считают обнаруженный вредоносный код безвредным.
Несмотря на использование широкомасштабных мер безопасности разработчиками больших языковых моделей, киберпреступники продолжают активно применять альтернативные инструменты, например ИИ-модели, которые уже больше года применяются хакерами для создания фишинговых писем и модернизации вредоносного ПО.
В частности, специалисты из команды Unit 42 в ходе проведения собственного исследования показали, что большие языковые модели способны поэтапно переписать образцы вредоносного кода, которые в дальнейшем обойдут машинные модели обнаружения. В результате с помощью искусственного интеллекта эксперты создали около 10 000 вариантов JS-кода, сохраняющего свои функциональные возможности и не распознаваемого в качестве вредоносного.
Для модификации кода с помощью ИИ-моделей злоумышленники используют различные методы. Например, это может быть переименование переменных, разбиение строк, добавление лишнего, ничего не значащего кода, удаление пробелов или реимплементация.
Более того, модифицированные таким образом JS-скрипты без труда обходят анализаторы вредоносного программного обеспечения на площадке VirusTotal, что лишний раз свидетельствует об их высочайшем уровне маскировки.
Ещё по теме: