Recent, cercetătorii în securitate au descoperit un malware ("MalTerminal") care folosește modelul lingvistic GPT-4 de la OpenAI pentru a genera în mod dinamic cod malițios. Această descoperire, alături de un alt malware similar, PromptLock, semnalează o schimbare majoră în peisajul amenințărilor cibernetice, unde atacatorii încep să integreze direct inteligența artificială în acțiunile lor.

Această nouă clasă de malware funcționează ca un generator de amenințări. La execuție, MalTerminal contactează API-ul GPT-4 pentru a crea, în timp real, cod de tip ransomware sau reverse shell. Deoarece logica atacului nu este stocată în fișierul inițial, metodele de detecție bazate pe semnături și analize statice devin ineficiente, permițând malware-ului să ocolească cu ușurință soluțiile de securitate tradiționale.

Apariția acestui tip de amenințări subliniază o nouă provocare pentru experții în securitate. Dependența de API-uri externe sau de modele locale, precum și utilizarea unor comenzi predefinite, deschid noi puncte de vulnerabilitate. Deși astfel de atacuri sunt încă considerate experimentale, ele reprezintă un semnal de alarmă, iar industria de securitate trebuie să se adapteze rapid și să se concentreze pe detectarea activităților anormale legate de AI și a utilizării API-urilor.

Sfaturi de Protectie

1. Monitorizarea Avansată a Traficului de Rețea și a API-urilor

Acest sfat este crucial deoarece malware-ul nu stochează codul periculos local, ci îl solicită prin intermediul unei conexiuni de rețea. Prin urmare, monitorizarea traficului este esențială pentru a detecta activitatea sa.

Pasul 1: Configurează un NIDS (Network Intrusion Detection System) sau SIEM.

• Acțiune: Instalează și configurează un NIDS (de exemplu, Suricata sau un modul de rețea dintr-un SIEM) pentru a scana continuu traficul de rețea.
• De ce: Aceste sisteme pot detecta conexiuni neobișnuite către adrese IP și domenii de API-uri AI.

Pasul 2: Creează reguli de alertă specifice în SIEM.

• Acțiune: Configurează o regulă de corelare care să alerteze atunci când un proces neobișnuit inițiază o conexiune către un API de inteligență artificială.
• Instrucțiuni tehnice: În consola SIEM, creează o regulă care combină un eveniment de creare de proces (event ID 4688) cu un eveniment de conexiune de rețea către un domeniu specific de AI, de exemplu api.openai.com.

2. Implementarea Soluțiilor de Securitate bazate pe Comportament (Behavioral-based)

Acest tip de malware nu are o semnătură fixă, ceea ce face ca detecția bazată pe comportament să fie singura metodă eficientă.

Pasul 1: Alege un EDR (Endpoint Detection and Response) Avansat.

• Acțiune: Optează pentru o soluție EDR de tip Next-Gen EDR care folosește inteligența artificială pentru a detecta anomaliile.
• De ce: Un EDR avansat poate detecta o succesiune de evenimente anormale, cum ar fi un proces care inițiază o conexiune de rețea și apoi încearcă să cripteze fișiere, chiar dacă fiecare pas pare inofensiv.

Pasul 2: Configurează regulile de detecție avansate.

• Acțiune: Creează politici de securitate care restricționează comportamentele neașteptate.
• Instrucțiuni tehnice: Accesează interfața de administrare a soluției EDR > Navighează la secțiunea Detection Rules sau Behavioral Policies.Creează o nouă regulă (de obicei, cu opțiunile New Rule sau Create Policy) > Definește condițiile > Regula va fi declanșată atunci când un proces de scripting (de exemplu, powershell.exe) inițiază o cerere de rețea către un domeniu care nu se află pe lista ta albă de API-uri aprobate. Pentru o acțiune și mai sigură, configurează regula să alerteze atunci când un proces de scripting încearcă să scrie date pe disc sau să modifice fișiere de sistem > Setați nivelul de alertă pe High sau Critical și acțiunea pe Alert Only (doar alertare) pentru a investiga, sau Block (blocare) pentru a preveni direct acțiunea.

3. Blochează Comunicarea cu API-uri Necunoscute

O măsură proactivă esențială este limitarea accesului la sursa de inteligență a malware-ului.

Pasul 1: Configurează un Firewall de Nouă Generație (NGFW).

• Acțiune: Folosește un NGFW pentru a aplica politici de "whitelisting" pentru traficul de rețea.
• De ce: O politică de whitelisting permite doar conexiunile către domenii și IP-uri esențiale pentru afacerea ta și blochează automat orice altă conexiune, inclusiv cele către API-uri de AI.

Pasul 2: Implementează filtrarea DNS și un proxy.

• Acțiune: Utilizează un proxy de rețea sau un DNS firewall pentru a filtra conexiunile.
• Instrucțiuni tehnice: Configurează toate sistemele să folosească un DNS server intern și blochează rezolvarea numelui de domeniu pentru api.openai.com și alte API-uri similare, dacă nu sunt necesare.

4. Restricționează Privilegiile Aplicațiilor și Utilizatorilor

Chiar și cel mai avansat malware are nevoie de privilegii pentru a-și desfășura activitățile, iar limitarea acestora este o barieră importantă.

Pasul 1: Implementează Application Whitelisting.

• Acțiune: Folosește o soluție de control aplicații (de exemplu, AppLocker în Windows) pentru a permite rularea doar a programelor autorizate.
• De ce: Această metodă previne executarea oricărui fișier necunoscut sau malițios, blocând automat și un malware de tip generator.

Pasul 2: Aplică principiul "cel mai mic privilegiu".

• Acțiune: Asigură-te că utilizatorii nu au drepturi de administrator pe sistemele lor de operare.
• Instrucțiuni tehnice: În Active Directory sau în Local Computer Management, verifică apartenența utilizatorilor la grupul Administrators și trece toate conturile la statutul de Standard user.

5. Creează și Monitorizează Jurnalele de Procese

Monitorizarea detaliată a proceselor este esențială pentru a detecta o activitate suspectă, mai ales când un proces legitim este folosit ca armă.

Pasul 1: Instalează Sysmon pe toate sistemele.

• Acțiune: Descarcă și instalează Sysmon (System Monitor) de la Microsoft Sysinternals.
• Instrucțiuni tehnice: Folosește un fișier de configurare pentru a monitoriza evenimente critice, în special Event ID 1 (crearea de procese), Event ID 3 (conexiuni de rețea) și Event ID 22 (utilizarea WMI).

Pasul 2: Analizează jurnalele de Sysmon în SIEM.

• Acțiune: Corelează evenimentele Sysmon cu alte jurnale de activitate.
• Instrucțiuni tehnice: Caută evenimente în care un proces (de exemplu, un script PowerShell) inițiază o conexiune la rețea și, ulterior, scrie un nou fișier pe disc.

6. Folosește Sandboxing pentru Fișierele Suspecte

Sandboxing-ul oferă un mediu izolat în care poți analiza un fișier pentru a-i descoperi comportamentul real.

Pasul 1: Configurează o soluție de Sandboxing.

• Acțiune: Integrează un sandbox (de exemplu, Cuckoo Sandbox) cu gateway-ul de e-mail și cu firewall-ul.
• De ce: Orice fișier executabil atașat la un e-mail sau descărcat de pe internet va fi trimis automat în sandbox pentru o analiză amănunțită înainte de a ajunge la utilizator.

Pasul 2: Stabilește o politică de izolare.

• Acțiune: Utilizează sandbox-ul pentru a emula comportamentul unui fișier în mediul izolat.
• Instrucțiuni tehnice: Analizează jurnalele de activitate ale sandbox-ului pentru a detecta dacă fișierul suspect încearcă să se conecteze la internet, să modifice fișiere de sistem sau să inițieze alte acțiuni malițioase.

7. Realizează Backupuri Izolate

În cazul unui atac de tip ransomware, singura ta șansă de recuperare este un backup curat.

Pasul 1: Alege o soluție de backup eficienta

• Acțiune: Implementează o soluție care permite crearea de copii de rezervă care nu pot fi modificate sau șterse pentru o perioadă determinată de timp.
• De ce: Acest lucru previne ca atacatorii să cripteze sau să șteargă copiile de rezervă.

Pasul 2: Stochează backupurile în locații izolate.

• Acțiune: Respectă regula 3-2-1 pentru backupuri.
• Instrucțiuni tehnice: Asigură-te că ai cel puțin o copie a datelor stocată offline.

8. Realizează Audituri de Securitate și Penetration Testing

Evaluează periodic eficiența măsurilor tale de securitate.

Pasul 1: Planifică un audit de securitate periodic.

• Acțiune: Contractează o firmă de securitate externă.
• De ce: Un audit poate identifica vulnerabilitățile în rețea, în configurațiile de securitate și în politicile interne.

Pasul 2: Realizează un exercițiu de Red Teaming.

• Acțiune: Cere unei echipe de etică de hacking să simuleze un atac real, folosind tehnici avansate, inclusiv cele bazate pe AI.
• Instrucțiuni tehnice: Fă o analiză a atacului simulat pentru a identifica lacunele în procedurile de răspuns la incidente și în sistemele de detecție.

9. Implementează un E-mail Gateway Avansat

E-mailul rămâne una dintre principalele căi de atac.

Pasul 1: Folosește un E-mail Gateway avansat.

• Acțiune: Alege un produs de securitate e-mail care oferă funcționalități de detecție a anomaliilor și sandboxing.
• De ce: Gateway-ul poate bloca fișierele atașate cu extensii riscante (de exemplu, .exe, .js) și poate rescrie URL-urile din e-mailuri, direcționându-le printr-un filtru care verifică reputația domeniului.

Pasul 2: Activează filtrarea avansată a amenințărilor.

• Acțiune: Setează gateway-ul să verifice toate fișierele atașate în cloud sau în sandbox pentru a detecta orice comportament suspect.

10. Educa Angajații prin Programe de Conștientizare Continuă

Linia de apărare umană este la fel de importantă ca și cea tehnologică.

Pasul 1: Organizează sesiuni de training despre amenințările bazate pe AI.

• Acțiune: Explică angajaților cum funcționează noile tipuri de malware și cum pot fi recunoscute.
• De ce: Fii transparent cu angajații și folosește exemple concrete de e-mailuri de phishing generate de AI, care par foarte credibile.

Pasul 2: Simulează atacuri de phishing avansate.

• Acțiune: Trimite e-mailuri de phishing personalizate și analizează rezultatele.

Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro

Sursa