Эксперты из американской компании Palo Alto Networks, которая занимается разработкой инструментов в области информационной безопасности, провели эксперимент, в ходе которого выяснили, что с помощью нейросетей можно модифицировать вредоносное ПО. Этим исследованием они хотели доказать, что злоумышленники могут генерировать разные вариации существующего кода и находить наиболее неуязвимые версии перед системами обнаружения фрода.
С чего всё началось
В 2023 году в СМИ появилась информация о том, что кибермошенники начали использовать большие языковые модели для создания вредоносных программ, написания фишинговых писем и выполнения других мошеннических задач. Однако, по их мнению, эти заявления оказались отчасти беспочвенными.
Как поясняется в отчете компании, даже нейросети с закрытым исходным кодом в настоящее время требуют значительных усилий для создания любого нетривиального вредоносного ПО, что ограничивает их полезность для злоумышленников. Именно поэтому они провели эксперимент не по созданию сызнова вредоносного кода, а по оптимизации уже готового и генерации наиболее неузявимых вариативностей.
Что было сделано в процессе эксперимента
Эксперты создали алгоритм на базе машинного обучения, который использует большие языковые модели, и с помощью него генерировали разные варианты вредоносного JavaScript-кода. Какие методы применялись для переписывания:
- переименование переменных;
- вставка «мертвого» (неисполняемого) кода;
- разделение строк;
- удаление ненужных пробелов;
- альтернативная перереализация функции.
После генерации различных вариантов вредоноса специалисты тестировали программу на поведенческие метрики и «скармливали» код анализатору VirusTotal, а затем выбрали лучшие из тех, которые смогли пройти поверку. Эксперты пришли к тому, что в 88% случаев такой метод обфускации кода позволял определять его как безвредный.
Полезный результат
Поскольку компания занимается разработкой инструментов киберзащиты, то целью был поиск таких вариантов кода, которые проходят проверку на безопасность. Это позволило экспертам компании усовершенствовать собственные алгоритмы обнаружения вредоносного ПО для повышения качества защиты различных систем.
