‫ ilam_heydari بلاگ

مکنزی جکسون، توسعه‌دهنده و مدافع امنیت در GitGuardian، هفته گذشته در شهر Zagreb به حضار گفت: «هوش مصنوعی، در ابتدایی‌ترین سطح به مهاجمان مخرب توانایی یک ابرقدرت را داده است.
از زمان معرفی ChatGPT در نوامبر 2022، تاثیرهوش مصنوعی در افزایش حملات فیشینگ، SMS phishing و ویشینگ (فیشینگ تلفنی) توسط این ابر قدرت‌ها به چشم می‌خورد. و همچنین (large language model) LLM های مخربی مانند FraudGPT، WormGPT، DarkBARD و White Rabbit وجود دارند که به عوامل تهدید اجازه می‌دهند کد مخرب بنویسند، صفحات و پیام های فیشینگ تولید کنند، نشت‌ها و آسیب پذیری‌ها را شناسایی کنند، ابزارهای هک ایجاد کنند و موارد دیگر.... . هوش مصنوعی لزوماً حملات را پیچیده‌تر نکرده است، اما به گفته او حملات سایبری را برای تعداد بیشتری از مردم در دسترس‌ قرار داده است.

حملات مبتنی بر هوش مصنوعی

تصور انواع حملات مبتنی بر هوش مصنوعی که آینده برای ما در نظر گرفته غیرممکن است اما خی از حملات حال حاضر را  می‌توانیم تشریح کنیم. یکی از آنها حمله تزریق سریع علیه یک دستیار ایمیل مبتنی بر ChatGPT است که ممکن است به مهاجم اجازه دهد تا دستیار را برای اجرای اقداماتی مانند حذف همه ایمیل ها یا ارسال آنها به مهاجم دستکاری کند جکسون با الهام از یک پرس و جو که منجر به اختراع کامل بسته نرم افزاری توسط ChatGPT شد، جکسون همچنین اظهار داشت که یک مهاجم ممکن است با ایجاد بسته های مملو از بدافزار که بسیاری از توسعه دهندگان در جستجوی آن هستند در حملات خود استفاده کند.

تهدیدات کنونی
در حال حاضر با تهدیدهای بیشتری روبرو هستیم و یکی از آنها نشت داده‌های حساس است از آنجایی که مردم اغلب داده‌های حساس را در پیام‌ها درج می‌کنند، تاریخچه چت یک هدف جذاب برای مجرمان سایبری است متأسفانه، سیستم‌ها برای ایمن کردن داده‌ها طراحی نشده‌اند مواردی از ChatGTP وجود دارد که سابقه چت کاربران و حتی داده‌های شخصی و صورت‌ حساب را فاش کرده است همچنین، هنگامی که داده‌ها در سیستم‌ها وارد می‌شوند، می‌توانند در پایگاه‌های داده‌های مختلف «گسترش» پیدا کنند و نگهداری آن را دشوار می‌کند. اساسا، داده‌های وارد شده به سیستم‌های دارای هوش مصنوعی ممکن است برای همیشه در پلتفرم‌های مختلف قابل دسترسی باقی بمانند.

حتی اگر تاریخچه چت را غیرفعال کنید، هیچ تضمینی وجود ندارد که داده ها در جایی ذخیره نشوند ممکن است تصور شود که راه حل واضح ممنوعیت استفاده از LLM در محیط های تجاری است، اما این گزینه دارای اشکالات بسیار زیادی است کسانی که مجاز به استفاده از LLM برای کار (به ویژه در حوزه فناوری) نیستند، احتمالاً از توانایی های خود عقب می‌مانند ثانیاً، افراد گزینه‌های دیگری (VPN، سیستم‌های مختلف و غیره) را جستجو کرده و پیدا می‌کنند که به آنها اجازه می‌دهد از LLM در داخل شرکت‌ها استفاده کنند این کار به طور بالقوه می‌تواند درها را به روی حملات مهم دیگری برای سازمان‌ها باز کند این بدان معناست که LLM هنوز بخشی از سطح حمله سازمان است اما اکنون نامرئی است.

چگونه از سازمان خود محافظت کنیم؟
وقتی صحبت از محافظت از یک سازمان در برابر خطرات مرتبط با استفاده از هوش مصنوعی می شود، ما واقعاً باید به اصول اولیه امنیتی بازگردیم به افراد باید ابزارهای مناسب برای شغلشان داده شود، اما باید به آنها آموزش داده شود که اهمیت استفاده ایمن از LLM را درک کنند.

همچنین نکات ذیل توصیه می‌شود:

• حفاظت‌های فیشینگ را در جای خود قرار دهید.
• برای جلوگیری از باج گیری، به صورت مستمر نسخه پشتیبان تهیه کنید.
• مطمئن شوید که PII برای کارمندان قابل دسترسی نیست.
• از ذخیره اسناد محرمانه در شبکه برای جلوگیری از نشت اطلاعات خودداری کنید.
• از ابزارهای تجزیه و تحلیل ترکیب نرم افزار (SCA) برای جلوگیری از سوء استفاده از هوش مصنوعی استفاده کنید.
•  پیاده سازی LLM های دوگانه، همانطور که توسط برنامه نویس Simon Willison پیشنهاد شده است، ممکن است ایده خوبی باشد.

علیرغم خطرات گفته شده، هوش مصنوعی آنقدر ارزشمند است که نمی توان از آن فاصله گرفت پیش‌بینی می‌شود شرکت‌ها و استارت‌آپ‌هایی که از مجموعه ابزارهای هوش مصنوعی استفاده می‌کنند، منجر به نقض احتمالی داده‌ها و حملات زنجیره‌ای شود این حوادث ممکن است نیاز به قوانین بهبود یافته، ابزارهای بهتر، تحقیقات و درک مفاهیم هوش مصنوعی را که در حال حاضر به دلیل تکامل سریع آن وجود ندارد، ایجاد کند همگام شدن با آن به یک چالش تبدیل شده است.

محققان Securonix هشدار می‌دهند هکرها سرورهای پایگاه داده MS SQL را مجبور به دریافت باج‌افزار Mimic می‌کنند.

درباره باج افزار Mimic

باج افزار Mimic برای اولین بار در ژوئن 2022 مشاهده شد و در ژانویه 2023 توسط محققان Trend Micro مورد تجزیه و تحلیل قرار گرفت.

از APIهای متعلق به موتور جستجو برای جستجوی فایل‌هایی که باید در ویندوز رمزگذاری شوند سوء استفاده می‌کند و توانایی حذف کپی‌ها، توقف فرآیندها و سرویس‌ها (مانند Windows Defender)، خارج کردن درایوهای مجازی و موارد دیگر را دارد فایل های رمزگذاری شده پسوند فایل .QUIETPLACE را دریافت می‌کنند.

از تجزیه و تحلیل‌ها به نظر می‌رسد برخی از بخش‌های کد مبتنی بر باج‌افزار Conti است که در مارس 2022 فاش شد و دارای شباهت‌های متعددی با آن است برای مثال، شمارش تمام حالت‌های رمزگذاری برای Mimic و Conti یک عدد صحیح را به اشتراک می‌گذارد محققان Trend Micro خاطرنشان کردند که MIMIC کاربران روسی و انگلیسی زبان را هدف قرار می دهد.

کمپین تهدیدهای آنالیز شده

در این کمپین اخیر هکرها موفق شدند از طریق حملات brute force به سرورهای MS SQL دسترسی پیدا کنند هنگامی که یک حساب مدیر در معرض خطر قرار می‌گیرد، از رویه xp_cmdshell برای اجرای دستورات استفاده می‌کنند سپس ابزار Cobalt Strike یک ابزار دسترسی از راه دور تجاری می‌باشد را برای اجرای کد و همچنین ابزار دسترسی از راه دور AnyDesk را مستقر کردند.

هکرها با ایجاد یک اکانت کاربری و افزودن آن به گروه "مدیران" ماندگاری پیدا می کنند آنها اقدام به کشف سیستم کردند و در نهایت با استفاده از AnyDesk باج افزار را مستقر کردند محققان Securonix خاطرنشان کردند: "جدول زمانی رویدادها نشان می‌دهد حدود یک ماه از استقرار باج‌افزار Mimic در دامنه قربانی گذشته است." به نظر می‌رسد هکرها انگیزه مالی داشته و کشورهای آمریکا، اتحادیه اروپا و LATAM را هدف قرار داده‌اند.

سرورهای MS SQL تحت حمله

در آخرین کمپین تهدیدهای آنالیز شده، چیزی که محققان Securonix در سال گذشته مشاهده کردند، باج‌افزار Mimic سرورهای MS SQL را هدف قرار دادند در کمپین دیگری که توسط محققان در اوایل سال 2020 ثبت شد، مهاجمان از سرورهای MS SQL دارای امنیت ضعیف برای نصب ماینرهای ارزهای دیجیتال Vollar و Monero استفاده کردند.