用chatgpt編寫軟件_黑客簡單代碼怎么編寫_vb編寫腳本

自去年11月推出測試版以來,人工智能聊天機器人已經被各行業人士“玩壞了”,人們用寫詩、PPT、論文、小說、策劃活動,或者作為一種智能搜索和學習工具。

但真正危險的應用場景在網絡安全領域,研究者已經證實可以用于編寫惡意軟件,或者從事其他網絡犯罪活動(例如網絡釣魚)。

黑客首次用生成惡意軟件

根據網絡安全公司 研究人員上周五發布的報告,在上線的幾周內,網絡犯罪論壇的參與者,包括一些幾乎沒有編程經驗的“腳本小子”正在使用編寫可用于間諜、勒索軟件、惡意垃圾郵件和其他用于不法活動的軟件和電子郵件。報告列舉了不法分子用開發惡意軟件的三個案例:

“現在斷言是否會成為暗網不法分子最喜歡的新工具還為時過早,”研究人員寫道:“但顯然,網絡犯罪社區已經表現出極大的興趣,并正在紛紛嘗試用這個新工具來生成惡意代碼。”

上個月,一位暗網論壇活躍用戶()發布了其編寫的首個惡意軟件,編寫的多層加密工具(腳本),并稱贊AI聊天機器人()提供了“很好的幫助,腳本的完成度很高。”

用chatgpt編寫軟件_vb編寫腳本_黑客簡單代碼怎么編寫

vb編寫腳本_黑客簡單代碼怎么編寫_用chatgpt編寫軟件

黑客論壇用戶用生成代碼截圖

研究人員認為,該腳本結合了各種加密功能,包括代碼簽名、加密和解密。腳本的一部分使用橢圓曲線加密和曲線生成密鑰chatgpt編寫軟件,用于對文件進行簽名。另一部分使用硬編碼密碼使用和算法加密系統文件。第三個使用RSA密鑰和數字簽名,消息簽名和哈希函數來比較各種文件。

該腳本可用于:(1)解密單個文件并將消息身份驗證代碼(MAC)附加到文件末尾,以及(2)加密硬編碼路徑并解密它作為參數接收的文件列表。對于技術技能有限的“腳本小子”來說還不錯。

“上述所有代碼當然都可以以良性的方式使用,”研究人員寫道:“但是,攻擊者可以輕松修改此腳本以完全加密某人的機器,而無需任何用戶交互。例如,如果腳本和語法問題得到解決,完全可以用這些代碼開發出勒索軟件。”

在另一個案例中,一位具有更多技術背景的論壇用戶發布了兩個惡意軟件代碼示例,都是用編寫的。第一個是用于漏洞利用后進行信息竊取的腳本。它搜索特定的文件類型,如PDF,將它們復制到臨時目錄,壓縮后將它們發送到攻擊者控制的服務器:

用chatgpt編寫軟件_黑客簡單代碼怎么編寫_vb編寫腳本

生成的文件竊取程序

第二個惡意軟件的代碼用Java編寫,能偷偷下載SSH和客戶端,并使用運行它。研究人員認為,第二個發帖者似乎是一個技術導向的威脅行為者,他發布帖子的目的是向技術能力較差的網絡犯罪分子展示如何將用于惡意目的,并提供他們可以立即使用的真實例子。

黑客簡單代碼怎么編寫_用chatgpt編寫軟件_vb編寫腳本

編寫的Java惡意程序的屏幕截圖

制作犯罪軟件的另一個案例是創建一個自動化在線集市,用于購買或交易被盜用帳戶、支付卡數據、惡意軟件和其他非法商品或服務的憑據。該代碼使用第三方編程接口來檢索當前的加密貨幣價格,包括門羅幣、比特幣和以太幣。這有助于用戶在交易時設置價格。

黑客簡單代碼怎么編寫_vb編寫腳本_用chatgpt編寫軟件

用生成的網絡黑市腳本(含代碼)

研究人員用開發完整感染鏈

上周五的報告是在 研究人員嘗試開發具有完整感染流的AI生成的惡意軟件兩個月后發布的。當時他們沒有編寫任何代碼,就生成了一封合理令人信服的網絡釣魚電子郵件:

黑客簡單代碼怎么編寫_vb編寫腳本_用chatgpt編寫軟件

雖然在過去兩個月中不斷收緊內容安全策略,拒絕在一些網絡安全任務中貢獻專家知識(例如識別URL中的惡意負載或撰寫釣魚電子郵件),但的編輯不久前曾成功繞過內容安全策略生成一封世界杯主題的釣魚電子郵件:

用chatgpt編寫軟件_vb編寫腳本_黑客簡單代碼怎么編寫

有了釣魚電子郵件,感染鏈的下一個重要環節是生成惡意載荷。的研究人員用開發了一個惡意宏,該宏可能隱藏在附加到電子郵件的文件中。再一次,研究人員沒寫一行代碼。起初,輸出的腳本相當原始:

黑客簡單代碼怎么編寫_vb編寫腳本_用chatgpt編寫軟件

生成VBA腳本的第一次迭代截圖

然而,當研究人員指示多次迭代代碼時,代碼的質量大大提高了:

用chatgpt編寫軟件_黑客簡單代碼怎么編寫_vb編寫腳本

生成后續迭代的屏幕截圖

然后,研究人員使用一種名為的更先進的AI服務來開發其他類型的惡意軟件,包括反向和用于端口掃描,沙箱檢測以及將其代碼編譯為可執行文件的腳本。

“AI完成了整個感染流!”研究人員寫道:“我們創建了一個網絡釣魚電子郵件,包含一個文檔附件,其中包含惡意VBA代碼,該代碼將反向下載到目標計算機。人工智能完成了復雜的技術工作用chatgpt編寫軟件,而攻擊者需要做的工作很簡單:發送郵件,執行攻擊!”

雖然條款禁止將其用于非法或惡意目的,但研究人員毫不費力地調整了他們的請求成功繞過這些限制。當然,防御者也可以使用編寫代碼來搜索文件中的惡意URL,或查詢以獲取特定加密哈希的檢測次數。

總結

雖然在網絡安全領域的應用只是牛刀小試,嶄露頭角,甚至略顯稚嫩。但不可否認的是,在不久的將來用chatgpt編寫軟件,人工智能將徹底改變網絡攻防態勢和游戲規則,掀起一場圍繞人工智能技術的軍備競賽。

報告鏈接:

圖片歸屬:

/

免責聲明:本文系轉載,版權歸原作者所有;旨在傳遞信息,不代表本站的觀點和立場和對其真實性負責。如需轉載,請聯系原作者。如果來源標注有誤或侵犯了您的合法權益或者其他問題不想在本站發布,來信即刪。