Key takeaways

• Grote taalmodellen (LLM’s) kunnen worden gebruikt om talloze variaties van kwaadaardige JavaScript-code te genereren.
• Aanvallers kunnen LLM’s gebruiken om bestaande malware aan te passen of onleesbaar te maken, waardoor traditionele detectiemethoden effectief worden omzeild.
• Dit voortdurend herschrijven van malwarevarianten kan de prestaties van malwareclassificatiesystemen mogelijk verslechteren.

Onderzoekers hebben ontdekt dat grote taalmodellen (large language models, LLM’s) kunnen worden gebruikt om talloze variaties van kwaadaardige JavaScript-code te genereren, waardoor het moeilijker wordt voor detectiesystemen om deze te identificeren. Hoewel LLM’s moeite hebben om malware vanuit het niets te creëren, kunnen cybercriminelen ze gebruiken om bestaande malware aan te passen of te verdoezelen, waardoor traditionele detectiemethoden effectief worden omzeild.

Door LLM’s specifieke transformaties te laten uitvoeren, kunnen aanvallers nieuwe malwarevarianten maken die er natuurlijker en minder verdacht uitzien voor beveiligingssoftware. Na verloop van tijd kan dit constante herschrijven de prestaties van malwareclassificatiesystemen aantasten, waardoor ze kwaadaardige code verkeerd identificeren als goedaardig.

WormGPT en malwaregeneratie

Ondanks inspanningen van LLM-providers om beveiligingsmaatregelen te implementeren en misbruik te voorkomen, hebben kwaadwillende actoren tools zoals WormGPT ontwikkeld om het proces van het maken van overtuigende phishing-e-mails op maat van specifieke doelwitten te automatiseren en zelfs nieuwe malware te genereren. Deze techniek bestaat uit het herhaaldelijk herschrijven van bestaande malwarevoorbeelden met behulp van verschillende methoden zoals het hernoemen van variabelen, het splitsen van tekenreeksen en het opnieuw implementeren van code.

Elke iteratie wordt teruggevoerd naar het systeem, wat resulteert in een nieuwe variant die de oorspronkelijke functionaliteit behoudt, maar vaak de kwaadaardige score aanzienlijk verlaagt. In sommige gevallen ontsnappen deze herschreven varianten zelfs aan detectie door andere malwareanalisten wanneer ze worden geüpload naar platforms zoals VirusTotal.

Voordelen van op LLM gebaseerde obfuscatie

Deze op LLM gebaseerde verduistering biedt verschillende voordelen ten opzichte van traditionele methoden. Het produceert natuurlijker ogende code, waardoor het moeilijker te detecteren is in vergelijking met technieken die worden gebruikt door bibliotheken zoals obfuscator.io. Bovendien vormt de enorme hoeveelheid nieuwe malwarevarianten die door dit proces worden gegenereerd een aanzienlijke uitdaging voor beveiligingsonderzoekers en ontwikkelaars.

Ondanks deze uitdagingen onderzoeken onderzoekers ook manieren om LLM’s te gebruiken om de robuustheid van ML-modellen te verbeteren. Door LLM-gegenereerde voorbeelden van tegenstanders te gebruiken als trainingsgegevens, willen ze veerkrachtigere systemen maken die geavanceerde bedreigingen kunnen identificeren en beperken.

Wil je toegang tot alle artikelen, geniet tijdelijk van onze promo en abonneer je hier!

Verwant

Polen versterkt defensie met nieuwe ballistische raket en geavanceerde technologie

Grote Amerikaanse banken klagen Federal Reserve aan over jaarlijkse stresstests

Russische inflatie stijgt naar 9,5 procent door stijging voedselprijzen

Denemarken verhoogt defensie-uitgaven voor Groenland

Marokko krijgt 86 miljoen dollar Amerikaans contract voor aankoop precisiebommen

Japanse premier Ishiba geeft prioriteit aan VS-betrekkingen te midden van regionale spanningen

China veroordeelt Amerikaanse militaire hulp aan Taiwan als “roekeloze escalatie”

AI verandert de farmaceutische industrie: Snellere medicijnontwikkeling

EIB financiert 200 miljoen euro voor groene revolutie van Electrolux

België lanceert ‘Koop bewuster’-campagne om lokale landbouw te ondersteunen

Lexus bouwt eerste onafhankelijke EV-fabriek in China

Rusland versterkt strategische raketcapaciteiten met Avangard hypersonische wapens