保定做网站电话,阿里巴巴做网站费用计入,网站建设是平面设计吗,加强服务保障 满足群众急需需求前言
近期ChatGPT火遍全球#xff0c;AI技术被应用到了全球各行各业当中#xff0c;国内外各大厂商也开始推出自己的ChatGPT#xff0c;笔者所在公司在前段时间也推出了自研的安全GPT#xff0c;AI技术在网络安全行业得到了很多的应用#xff0c;不管是网络安全研究人员、…前言
近期ChatGPT火遍全球AI技术被应用到了全球各行各业当中国内外各大厂商也开始推出自己的ChatGPT笔者所在公司在前段时间也推出了自研的安全GPTAI技术在网络安全行业得到了很多的应用不管是网络安全研究人员、安全厂商还是黑客组织都开始研究和使用AI技术通过AI技术降低防御成本和攻击成本。 笔者最开始研究AI在网络安全一些场景的应用是在2017年的时候当时AI技术最主要的应用就是利用AI进行WEB安全相关的检测以及利用AI进行恶意软件的分类、利用AI技术进行安全数据的分析等笔者趁机也了解学习了一下相关的AI技术以及涉及到的一些AI算法当时笔者学习的资源库
https://github.com/wtsxDev/Machine-Learning-for-Cyber-Security 前些年AI技术在安全领域的应用更多是用于一些安全威胁的检测随着AI技术的发展LLM模型的成熟AI技术不仅仅用于安全检测还可以应用到安全攻防方面它拥有了与人“对话”的能力不管是攻击者还是防御者都可以与AI进行简单的“对话”实现一些简单的自动化工作。 前不久国外某安全厂商使用AI技术生成了一种多态恶意软件PoC表明可以利用大型语言模型(LLM)即时合成多态键盘记录器功能从而可以逃避AV/EDR等安全产品的检测该PoC多态恶意软件利用大型语言模型即时合成多态键盘记录器功能在运行时动态修改良性代码并且无需任何命令和控制基础设施来交付或验证恶意键盘记录器功能。 先给大家普及一下免杀相关的基础知识点免杀主要分为两个层面样本层免杀、流量层免杀样本层免杀又分为两个层面静态免杀、动态免杀流量层免杀又分为两个层面通信流量免杀、基础设施免杀如下所示 上面仅仅是简单普及一下相关知识点免杀技术的研究是一个很复杂的专题也是高端黑客组织研究的重点免杀恶意软件是高端黑客组织最重要的攻击武器普通的免杀能坚持一到两周就很不错了高端的免杀可以坚持半年或一年以上更高极的免杀可以持续几年甚至十年以上不被发现基于供应链的免杀技术是最难发现的一种免杀技术免杀对抗技术是安全对抗的核心技术之一需要攻击者在样本层面和网络流量层面都能做到深度的隐藏才能在更长的时间里逃避全球安全厂商的检测和追踪。 近日卡巴斯基在使用卡巴斯基统一监控和分析平台(KUMA)监控其企业Wi-Fi网络的网络流量时发现了一个新的移动APT活动经过进一步分析该公司研究人员发现攻击者一直针对数十名公司的员工的iOS设备进行攻击随后俄罗斯政府指责苹果公司与美国国家安全局NSA进行勾结攻击了与俄罗斯用户相连的数千部iPhone以及外国驻幕斯科大使馆内的一些设备因为卡巴斯基的详细攻击报告和攻击样本都暂时没有发布笔者就不作过多分析了坐等后续详细分析报告了。 没有绝对的安全现在使用的各种各样的IT设备、应用软件和操作系统里面究竟有没有隐藏后门其实是未知的你的企业有没有被攻陷也是未知的但可以肯定的是全球高端的APT黑客组织一直没有闲着网络攻击行为时刻在发生。 AI多态恶意软件
让我们来详细分析一下国外安全厂商发布的基于AI的多态免杀恶意软件PoC。 动态行为免杀需要使用Transformer模型合成代码首先要在源代码示例的大型数据集上训练该模型训练完成之后可以根据提示或输入代码生成新代码运行时通过连接OpenAI的API接口返回窃取受感染用户按键的恶意代码然后再使用Python的exec()函数执行动态生成的代码生成多态恶意代码保留在内存中执行。 每次执行时它都会重新返回生成新的恶意代码然后在内存中执行从而实现多态变形。 基于OpenAI生成恶意代码如下所示 利用Python的EXEC函数动态加载执行恶意代码如下所示 通信流量免杀使用MS Teams webhook通信的方式通过webhook可信任流量将收集的数据发送到由攻击者控制的恶意Teams频道在那里可以对其进行分析、在暗网出售或用于其他恶意目的如下所示 MS Teams是一种被广泛使用的合法通信和协作工作因此恶意软件作者可以利用它来绕过安全产品的检测。 最后通过Python一款开源打包工具Auto-py-to-exe将上面生成的python多态键盘记录恶意软件Python代码生成为EXE程序如下所示 这就是一个简单的基于AI的多态恶意软件这个多态变形的关键在于AI模型的训练前期需要通过AI的LLM大语言模型学习大量的Python键盘记录相关功能代码然后才能自动生成相关功能的代码然后再动态加载执行生成的这些恶意代码即可实现多态变形。 引擎多态恶意软件
上面介绍了基于AI的多态恶意软件目前来看只是一个简单的PoC这里介绍一个多态引擎框架源代码地址https://github.com/frkngksl/Shoggoth多态引擎的设计框架如下所示 该引擎会可用于加密给定的PE和COFF文件执行第一次加密之后Shoggoth使用随机生成的分组密码进行第二次加密第二次加密它加密了RC4解密器和可选的存根存根包含有效负载、垃圾指令和用RC4加密的加载程序。 第一次加密如下所示 第二次加密如下所示 随机生成垃圾指令如下所示 生成的垃圾指令包含跳过随机字节、没有副作用的指令、虚假函数调用以及有副作用但保留初始值的指令等如下所示 垃圾指令是随机选取生成的通过调用AsmJit库的API函数生成如下所示 AsmJit是一个用C语言编写的用于机器代码生成的轻量级库它可以为X86、X86_64和AArch64架构生成机器代码并支持基线指令和所有最新的扩展AsmJit允许指定操作代码、寄存器、立即操作数、调用汇编操作数等只需要调用对应的API函数即可。 这就是一个多态引擎框架可以利用这个多态引擎自动生成多态恶意软件。 探讨网络安全与AI
关于网络安全与AI群里一些朋友一直想让笔者谈谈看法笔者基于自己十多年的安全工作经验同时也对AI技术有一定的研究就跟大家探讨几个可能是大家最关心的关于网络安全与AI的话题仅供大家参考。 AI安全可行吗
答案是肯定的AI技术在多少年前就已经被应用到了网络安全领域例如
使用AI进行数据分析
使用AI进行漏洞扫描
使用AI进行恶意软件的识别与归类
使用AI进行漏洞挖掘
使用AI对抗薅羊毛
使用AI进行钓鱼邮件的识别
基于数据情报AI完全可以实现安全运营自动驾驶等。
......
利用AI进行扫描检测和数据分析是AI的一些基础性应用场景未来AI技术在网络安全行业还会有更多高级的应用场景例如
如何利用AI进行自动化攻击渗透(例如自动化打点、自动化漏洞扫描、漏洞挖掘、漏洞攻击等)
如何利用AI辅助开发驱动程序不蓝屏(例如主动防御驱动文件过滤驱动、RootKit检测驱动等)
如何利用AI辅助开发高级恶意软件(例如RootKit、UEFI BootKit、Ebpf RootKit攻击样本等)
如何利用AI辅助开发高级免杀恶意软件(例如实现免杀对抗型样本的批量生成多态混淆变形、反调试反虚拟机、动态免杀加载执行、Bypass AV/EDR/XDR攻击样本等)
如何利用AI实现自动化脱一些高级壳(例如VMP、TMD、ZP之类的)
如何利用AI实现自动化去混淆(例如一些混淆的PS、JS、VBS脚本以及二进制混淆代码等)
如何利用AI实现自动化解密加密的恶意数据和流量(例如一些加密的远控流量、加密的恶意代码等)
如何利用AI分析高端APT攻击样本(例如一些多模块化高度混淆加密免杀的APT攻击样本系统底层硬件层攻击样本等)
如何利用AI进行自动化分析取证溯源(例如针对高端APT事件进行数字调查取证分析溯源等)
AI在学习和实现上面这些高级能力的时候需要安全研究人员不断地去纠错这是一个漫长的过程成本也是未知的也需要安全研究人员对上面的这些技术非常熟悉才能一点一点去教AI让AI慢慢学习和掌握这些专业知识达到更高级的应用水平。 安全研究人员需要学习AI技术吗
答案是肯定的AI技术目前来看是一项很成熟的技术现在很多中小学生都开始学习AI技术AI技术在未来会越来越成熟可以应用到各行各业对于网络安全行业来讲AI是一个很好的工具它可以帮助我们做很多事情我们不仅仅要了解AI技术、学习利用AI技术、还要深入的去研究AI技术深入研究黑客组织利用AI技术进行哪些新型的攻击活动比方前段时间报道的一些诈骗组织已经开始使用AI视频进行诈骗攻击通过使用AI“换脸”技术来欺骗受害者未来黑客组织通过让AI自主学习了各种网络攻击技术之后可能会使用AI技术进行网络攻击活动做为网络安全研究人员一定要去深入的AI技术在网络安全的应用场景作为一名专业的网络安全研究人员就是要时刻保持学习心态不断去学习新的攻击场景新的攻击技术新的攻击手法新的攻击武器与时俱进知已知彼才能更好的对应未来网络安全所面临的各种挑战。 安全研究人员会被安全AI替代吗
随着AI技术的发展与应用普及在各行各业应用AI技术确实可能替代一些简单的工作在网络安全领域例如数据分析、日志分析、流量分析、样本运营、漏洞运营等安全运营未来都可以通过AI技术实现自动化处理实现自动驾驶同时一些专业的安全研究工作也可以运用AI技术来辅助提升工作效率像恶意软件开发、漏洞挖掘、红队渗透攻击、恶意样本逆向分析等所以目前AI确实是可以替代一些简单的安全运营人员的。 安全AI会不会替代自己其实大可不必过度担心正所上面所说的AI通过学习确实可以替代一些简单的安全运营工作实现自动化“无人驾驶”这是时代发展的必然趋势但是专业性的安全研究工作AI暂时还是无法完全替代的AI可以做为辅助工具提升效率同时AI自身也存在或者会带来很多问题包括AI学习成本、AI不可控、AI自身安全性、以及AI对抗等因素AI对于安全行业来说是一个很好的工具我们要善于利用这个工具帮助我们提升工作效率降低防御成本。 做安全技术研究能自动化的地方尽量自动化同样能使用AI的地方就尽量使用AI技术提升工作效率不管AI技术如何发展做安全的本质永远不会变安全对抗也一直会存在黑客会使用AI技术降低攻击成本安全厂商也会使用AI技术降低防守成本本质还是对抗同时AI技术的广泛使用可能也会带来一些新的安全问题同时也可能会让安全问题变的更复杂。 做安全就是需要不断学习不断进步如果不能保持一颗不断学习的心态持续积累与时俱进就算不被AI所替代也迟早会被时代所抛弃安全就是一条“不归路”安全对抗会一直存在做安全不忘初心与时俱进方得始终。 对于安全研究人员如果你担心自己会被AI所替代那就时刻与时俱进保持学习心态一些黑客组织已经在使用AI技术进行自动化攻击活动做安全也需要学习和研究AI技术通过AI技术进行简单的网络对抗同时还需要更深入的研究AI攻击技术和攻击武器做到知已知彼如果你的专业程度远高于AI同时你又对AI技术非常了解那又何必担心会被AI替代呢 AI安全与对抗网络安全AI会有哪些问题
AI未来可能面临哪些问题笔者也总结了一下
AI成本问题使用AI技术降低攻击成本或防御成本的时候更需要考虑AI的成本问题。
AI自身安全问题AI本身存在的安全漏洞还有AI被恶意利用等问题。
AI对抗与毒化安全对抗一直存在黑客组织可能会使用一些干扰数据和样本对抗AI模型的学习让AI产出不可预计的结果。
AI不确定不可控AI在学习了海量的知识库以后可能会出现“胡说八道”不可控的情况如何确保AI的输出是正确有用的这就需要有一定的“容错修正”机制能快速修正AI的结果尽量保证AI的可控性。 参考
https://www.hyas.com/blog/blackmamba-using-ai-to-generate-polymorphic-malware
https://github.com/frkngksl/Shoggoth 资料
上面笔者已经讲了作为网络安全从业者一定要了解、学习和应用AI技术而且还要深入的去研究AI技术在网络安全领域的各种攻防场景这里笔者也给大家分享一些AI与网络安全相关的资料供大家参考学习AI在网络安全的应用场景非常多大家选择自己感兴趣的方向深入研究即可例如笔者对AI进行高级武器化攻击和应用场景这个方向比较感兴趣如何利用AI实现高级攻击、高级武器库的开发、高级对抗等应用场景笔者就会在这个方向多研究时刻关注全球各大安全厂商发布的一些最新的安全研究技术报告或相关的研究成果例如最新的攻击事件攻击技术攻击武器安全工具等。
https://github.com/wtsxDev/Machine-Learning-for-Cyber-Security
https://github.com/jiep/offensive-ai-compilation
https://github.com/unica-mlsec/mlsec
https://github.com/XMoyas/AI_CyberSecurity_Resources
https://github.com/SkalskiP/courses
https://github.com/ustayready/cloudgpt
https://github.com/sdnewhop/AISec
https://github.com/NoDataFound/hackGPT
https://github.com/GreyDGL/PentestGPT
https://github.com/LiLittleCat/awesome-free-chatgpt
https://github.com/travistangvh/ChatGPT-Data-Science-Prompts
https://github.com/kingthreestones/Malicious-URL-Detection-Deep-Learning
https://github.com/fabriciojoc/ml-cybersecuritiy-course
https://github.com/dtonomy/Awesome-Security-ML
https://github.com/tuff96/Malware-detection-using-Machine-Learning
AI Cyber Security Books
https://github.com/abdullah-patwary/Books
训练AI成为一句网络安全专家
https://github.com/sechelper/awesome-chatgpt-prompts-cybersecurity
微软最近推出一系列AI相关的入门基础知识库如下
https://microsoft.github.io/AI-For-Beginners/
https://microsoft.github.io/ML-For-Beginners/#/
https://microsoft.github.io/Data-Science-For-Beginners/#/ 总结结尾
国外厂商发布的基于AI的多态变形恶意软件只是一个非常简单的PoC目前来看基于AI的高级攻击应用场景还处于非常初级的阶段未来要走的路还很长AI还需要学习更多的相关知识让AI学习上面的多态变形引擎框架然后再利用AI来生成恶意软件就可能自动化开发实现基于引擎的多态恶意软件不过这是一个漫长的学习过程而且还要保证学习的过程中不会出现错误的结果有一定的容错修正机制不然可能生成的代码无法正常执行虽然上面基于AI的多态变形仅仅是一个很简单的PoC然而利用ChatGPT来生成简单的恶意软件无疑是大大降低了攻击成本一些初级的黑客组织完全能够使用ChatGPT去开发一些简单的勒索病毒、挖矿病毒、木马、远控、后门等恶意软件ChatGPT被一些黑客组织当成了一个类似的自动化的MAAS平台来使用极大的降低了攻击成本不懂代码开发的黑客都可以通过ChatGPT自动化开发一些恶意软件攻击样本。 AI技术的普及在一定程度上确实会降低了安全攻击的成本一些黑客组织已经开始使用AI技术来进行简单的自动化攻击活动然而高端的黑客组织攻击行为目前来讲短时间内还是无法通过AI实现AI还需要学习更多的专业安全知识其实这就是一个长期的过程把AI当成一个人来看待它从对安全知识其实是一无所知我们需要不断训练它让它学习慢慢它就可能成长为一名专业的安全研究人员本身就是一个漫长的学习过程在这个学习的过程中就需要专业的安全人员不断给它传输更专业的知识让它学习更专业的安全知识AI需要不断学习安全研究人员需要不断学习黑客组织也在不断更新自己的攻击技术和攻击武器安全对抗会持续升级。 总结未来随着AI技术进一步成熟AI技术会被应用到各行各业当中而不仅仅是在网络安全行业我们要积极的拥抱AI技术学习AI技术善于利用AI技术帮助我们改进和提升工作效率还要深入的学习和研究AI技术在网络安全行业的各种高级应用场景黑客组织使用AI技术会产生哪些新型的安全攻击活动以及AI技术可能带来的新型安全问题等作为一名专业的网络安全研究人员就是要不断学习不断进步永远保持学习的心态与时俱进不断丰富自己的专业知识时代在进步未来会有更多新型的攻击技术和攻击武器要快速学习和接受新的事物并从更专业的角度去深度分析和研究这些新事物取其所长避其所短知已知彼。 笔者一直从事与恶意软件威胁情报APT等相关安全分析与研究工作包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS)通过跟踪分析全球最新的各种安全攻击事件、攻击样本、漏洞利用和攻击技巧等可以了解全球黑客组织最新的攻击技术和攻击趋势做到知已知彼。 各位读者朋友如果有遇到什么新型恶意软件家族样本、最新的家族变种以及各种高端的攻击样本都可以私信发给笔者提供的样本越高端越好提供的攻击事件线索越新越好感谢给笔者提供样本的朋友们 做安全不忘初心与时俱进方得始终
