推送恶意软件的恶意 PowerShell 脚本看起来是人工智能编写的

本文主要是介绍推送恶意软件的恶意 PowerShell 脚本看起来是人工智能编写的,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

威胁行为者正在使用 PowerShell 脚本,该脚本可能是在 OpenAI 的 ChatGPT、Google 的 Gemini 或 Microsoft 的 CoPilot 等人工智能系统的帮助下创建的。

攻击者在 3 月份的一次电子邮件活动中使用了该脚本,该活动针对德国的数十个组织来传播 Rhadamanthys 信息窃取程序。

基于 AI 的 PowerShell 部署 infostealer

网络安全公司 Proofpoint 的研究人员将这次攻击归因于追踪为 TA547 的威胁行为者,该行为者被认为是初始访问代理 (IAB)。

TA547,也称为 Scully Spider,至少自 2017 年以来一直活跃,为 Windows(ZLoader/Terdot、Gootkit、Ursnif、Corebot、Panda Banker、Atmos)和 Android(Mazar Bot、Red Alert)系统提供各种恶意软件。

最近,威胁行为者开始使用 Rhadamanthys 模块化窃取程序,该程序不断扩展其数据收集功能(剪贴板、浏览器、cookie)。

Proofpoint 自 2017 年以来一直在跟踪 TA547,并表示该活动是观察到威胁行为者使用 Rhadamanthys 恶意软件的第一个活动。

自 2022 年 9 月以来,该信息窃取程序已通过恶意软件即服务 (MaaS) 模式分发给多个网络犯罪组织。

TA547 在最近的一次电子邮件活动中冒充德国 Metro 现购自运品牌,利用发票作为诱惑“德国各行业的数十家组织”。

TA547 冒充 Metro Cash & Carry 的网络钓鱼电子邮件

这些邮件包含一个受密码“MAR26”保护的 ZIP 存档,其中包含恶意快捷方式文件 (.LNK)。访问快捷方式文件会触发 PowerShell 运行远程脚本。

这个 PowerShell 脚本解码了存储在变量中的 Base64 编码的 Rhadamanthys 可执行文件,并将其作为程序集加载到内存中,然后执行程序集的入口点。

研究人员解释说,这种方法允许恶意代码在内存中执行,而无需接触磁盘。

通过分析加载 Rhadamanthys 的 PowerShell 脚本,研究人员注意到它包含一个井号/井号 (#),后跟每个组件的特定注释,这在人类创建的代码中并不常见。

TA547 攻击中使用的疑似 AI 生成的 PowerShell 脚本

研究人员指出,这些特征是源自 ChatGPT、Gemini 或 CoPilot 等生成式 AI 解决方案的代码的典型特征。

虽然他们不能绝对确定 PowerShell 代码来自大型语言模型 (LLM) 解决方案,但研究人员表示,脚本内容表明 TA547 使用生成式 AI 编写或重写 PowerShell 脚本的可能性。

虽然开发人员擅长编写代码,但他们的评论通常含糊不清,或者至少不清楚,并且存在语法错误。

疑似 LLM 生成的 PowerShell 脚本经过精心注释,语法无可挑剔。几乎每一行代码都有一些相关的注释。

此外,根据 LLM 生成代码的实验输出,研究人员对电子邮件活动中使用的脚本 TA547 是使用此类技术生成的具有高到中的置信度。

媒体使用 ChatGPT-4 创建了一个类似的 PowerShell 脚本,输出代码与 Proofpoint 看到的类似,包括变量名称和注释,进一步表明该脚本很可能是使用 AI 生成的。

使用 ChatGPT 源生成的示例 PowerShell 脚本

另一种理论是,他们从依赖生成人工智能进行编码的来源复制了它。

人工智能用于恶意活动

自 OpenAI 在 2022 年底发布 ChatGPT 以来,出于经济动机的威胁行为者一直在利用 AI 的力量来创建定制或本地化的网络钓鱼电子邮件、运行网络扫描以识别主机或网络上的漏洞,或构建高度可信的网络钓鱼页面。

与国家相关的一些民族国家行为体在研究目标、网络安全工具、建立持久性和逃避检测的方法以及脚本支持时也转向生成式人工智能来提高生产力。

2 月中旬,OpenAI 宣布封锁与国家资助的黑客组织相关的账户,这些组织滥用 ChatGPT 进行恶意攻击目的。

由于大多数大型语言学习模型都试图限制可用于恶意软件或恶意行为的输出,威胁行为者已经 为网络犯罪分子推出了自己的人工智能聊天平台。

这篇关于推送恶意软件的恶意 PowerShell 脚本看起来是人工智能编写的的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/905325

相关文章

微信公众号脚本-获取热搜自动新建草稿并发布文章

《微信公众号脚本-获取热搜自动新建草稿并发布文章》本来想写一个自动化发布微信公众号的小绿书的脚本,但是微信公众号官网没有小绿书的接口,那就写一个获取热搜微信普通文章的脚本吧,:本文主要介绍微信公众... 目录介绍思路前期准备环境要求获取接口token获取热搜获取热搜数据下载热搜图片给图片加上标题文字上传图片

通过Python脚本批量复制并规范命名视频文件

《通过Python脚本批量复制并规范命名视频文件》本文介绍了如何通过Python脚本批量复制并规范命名视频文件,实现自动补齐数字编号、保留原始文件、智能识别有效文件等功能,听过代码示例介绍的非常详细,... 目录一、问题场景:杂乱的视频文件名二、完整解决方案三、关键技术解析1. 智能路径处理2. 精准文件名

基于.NET编写工具类解决JSON乱码问题

《基于.NET编写工具类解决JSON乱码问题》在开发过程中,我们经常会遇到JSON数据处理的问题,尤其是在数据传输和解析过程中,很容易出现编码错误导致的乱码问题,下面我们就来编写一个.NET工具类来解... 目录问题背景核心原理工具类实现使用示例总结在开发过程中,我们经常会遇到jsON数据处理的问题,尤其是

web网络安全之跨站脚本攻击(XSS)详解

《web网络安全之跨站脚本攻击(XSS)详解》:本文主要介绍web网络安全之跨站脚本攻击(XSS)的相关资料,跨站脚本攻击XSS是一种常见的Web安全漏洞,攻击者通过注入恶意脚本诱使用户执行,可能... 目录前言XSS 的类型1. 存储型 XSS(Stored XSS)示例:危害:2. 反射型 XSS(Re

Python3脚本实现Excel与TXT的智能转换

《Python3脚本实现Excel与TXT的智能转换》在数据处理的日常工作中,我们经常需要将Excel中的结构化数据转换为其他格式,本文将使用Python3实现Excel与TXT的智能转换,需要的可以... 目录场景应用:为什么需要这种转换技术解析:代码实现详解核心代码展示改进点说明实战演练:从Excel到

Python脚本实现图片文件批量命名

《Python脚本实现图片文件批量命名》这篇文章主要为大家详细介绍了一个用python第三方库pillow写的批量处理图片命名的脚本,文中的示例代码讲解详细,感兴趣的小伙伴可以了解下... 目录前言源码批量处理图片尺寸脚本源码GUI界面源码打包成.exe可执行文件前言本文介绍一个用python第三方库pi

shell脚本自动删除30天以前的文件(最新推荐)

《shell脚本自动删除30天以前的文件(最新推荐)》该文章介绍了如何使用Shell脚本自动删除指定目录下30天以前的文件,并通过crontab设置定时任务,此外,还提供了如何使用Shell脚本删除E... 目录shell脚本自动删除30天以前的文件linux按照日期定时删除elasticsearch索引s

10个Python自动化办公的脚本分享

《10个Python自动化办公的脚本分享》在日常办公中,我们常常会被繁琐、重复的任务占据大量时间,本文为大家分享了10个实用的Python自动化办公案例及源码,希望对大家有所帮助... 目录1. 批量处理 Excel 文件2. 自动发送邮件3. 批量重命名文件4. 数据清洗5. 生成 PPT6. 自动化测试

使用Java实现一个解析CURL脚本小工具

《使用Java实现一个解析CURL脚本小工具》文章介绍了如何使用Java实现一个解析CURL脚本的工具,该工具可以将CURL脚本中的Header解析为KVMap结构,获取URL路径、请求类型,解析UR... 目录使用示例实现原理具体实现CurlParserUtilCurlEntityICurlHandler

redis防止短信恶意调用的实现

《redis防止短信恶意调用的实现》本文主要介绍了在场景登录或注册接口中使用短信验证码时遇到的恶意调用问题,并通过使用Redis分布式锁来解决,具有一定的参考价值,感兴趣的可以了解一下... 目录1.场景2.排查3.解决方案3.1 Redis锁实现3.2 方法调用1.场景登录或注册接口中,使用短信验证码场