攻擊者開始使用CHATGPT技術發起攻擊

2022年11月底，OpenAI發布了用于其大型語言模型（LLM）的新界面ChatGPT，這立即引發了人們對AI及其可能用途的關注。這就意味著，ChatGPT也可以被應用到現代網絡攻擊，因為代碼生成可以幫助技術不太熟練的攻擊者毫不費力地發動網絡攻擊。

在上一篇文章《爆火出圈的chatGPT如何在逆向和惡意軟件分析中發揮作用》中，我們描述了ChatGPT如何成功地進行了完整的感染流程，從創建令人信服的魚叉式釣魚電子郵件到運行能夠接受英語命令的反向shell。目前的問題是，這是否只是一個假設的威脅，或者是否已經有攻擊者使用OpenAI技術進行惡意攻擊了。

CPR對幾個主要地下黑客社區的分析表明，已經有攻擊者使用OpenAI開發惡意工具了。正如我們所懷疑的，一些示例清楚地表明，許多使用OpenAI的攻擊者根本沒有開發技能。盡管我們在本報告中介紹的工具非常基礎，但基于AI的工具改在成復雜的威脅只是時間問題。

示例1：創建Infostealer

2022年12月29日，一個名為“ChatGPT——惡意軟件的好處”的帖子出現在一個流行的地下黑客論壇上。該帖子的發布者透露，他正在使用ChatGPT進行實驗，以重現在那些被報道過的攻擊技術。為此，他分享了一個基于Python的竊取器的代碼，它搜索常見的文件類型，將它們復制到Temp文件夾中的一個隨機文件夾中，將它們壓縮并上傳到硬編碼的FTP服務器。

攻擊者展示他如何使用ChatGPT創建infostealer

我們對示例的分析證實了攻擊者的說法，這確實是一個很簡單的竊取器，它在整個系統中搜索12種常見的文件類型，如MS Office文檔、PDF和圖像。如果發現任何感興趣的文件，惡意軟件會將這些文件復制到一個臨時目錄中，將其壓縮并通過網絡發送。值得注意的是，攻擊者并沒有對文件進行加密或安全地發送，因此這些文件也可能落入第三方手中。

這個攻擊者使用ChatGPT創建的第二個示例是一個簡單的Java代碼片段。它下載PuTTY(一種非常常見的SSH和telnet客戶端)，并使用Powershell在系統上秘密運行它。當然，可以修改此腳本以下載和運行任何程序，包括常見的惡意軟件家族。

證明他如何創建Java程序下載PuTTY，并使用Powershell運行它

該攻擊者之前的論壇也共享過幾個腳本，比如后利用階段的自動化，以及一個試圖釣魚獲取用戶憑據的c++程序。此外，他還積極分享SpyNote的破解版本，這是一款Android RAT惡意軟件。因此，總的來說，他似乎是一個以技術為導向的攻擊者，他的帖子旨在向技術能力較弱的攻擊者展示如何利用ChatGPT進行惡意攻擊，并提供他們可以立即使用的真實示例。

示例2：創建加密工具

2022年12月21日，一位名叫USDoD的攻擊者發布了一個Python腳本，他強調這是他創作的第一個腳本。

被稱為USDoD的攻擊者發布的多層加密工具

當另一名攻擊者評論代碼的風格類似于openAI代碼時，USDoD證實openAI給了他一個“很好的幫助，以一個很好的范圍完成腳本。”

確認多層加密工具是使用Open AI創建的

我們對腳本的分析驗證了它是一個執行加密操作的Python腳本。更具體地說，它實際上是不同簽名、加密和解密功能的大雜燴。乍一看，該腳本似乎是良性的，但它實現了多種不同的功能：

腳本的第一部分生成用于簽名文件的加密密鑰（具體使用橢圓曲線密碼和曲線ed25519）；

腳本的第二部分包括一些函數，這些函數使用硬編碼的密碼以混合模式同時使用Blowfish和Twofish算法對系統中的文件進行加密。這些函數允許用戶加密特定目錄或文件列表中的所有文件。

該腳本還使用RSA密鑰，使用PEM格式的證書，MAC簽名和blake2哈希函數來比較哈希值等。

需要注意的是，加密函數的所有解密對應項也都在腳本中實現。該腳本包括兩個主要函數：一個用于加密單個文件并將消息認證碼（MAC）附加到文件末尾，另一個加密硬編碼路徑并解密其作為參數接收的文件列表。

當然，上述所有代碼都可以良性使用。然而，可以很容易地修改此腳本，以完全加密某人的計算機，而無需任何用戶交互。例如，如果腳本和語法問題得到解決，它可能會將代碼變成勒索軟件。

雖然USDoD似乎不是一個開發人員，技術技能有限，但他是地下社區中一個非常活躍且聲望很高的成員。USDoD從事各種非法活動，包括出售被入侵公司和被盜數據庫的訪問權。USDoD最近共享的一個著名被盜數據庫據稱是泄露的InfraGard數據庫。

USDoD之前涉及發布InfraGard數據庫的非法活動

示例3：使用ChatGPT進行欺詐活動

另一個使用ChatGPT進行欺詐活動的示例是在2022年新年前夕發布的，它展示了一種不同類型的網絡犯罪活動。雖然前兩個示例更多地關注于面向惡意軟件的ChatGPT使用，但本示例顯示了一個標題為“濫用ChatGPT創建暗網市場腳本”的討論。在這篇文章中，攻擊者展示了使用ChatGPT創建暗網市場是多么容易。該市場在地下非法經濟中的主要作用是提供一個平臺，用于自動交易非法或被盜物品，如被盜賬戶或支付卡，惡意軟件，甚至毒品和彈藥，所有支付都使用加密貨幣。為了說明如何使用ChatGPT實現這些目的，攻擊者發布了一段代碼，該代碼使用第三方API來獲取最新的加密貨幣(門羅幣、比特幣和以太坊)價格，作為暗網市場支付系統的一部分。

攻擊者使用ChatGPT創建暗網市場腳本

2023年初，幾個攻擊者在其他地下論壇上展開了討論，討論的重點是如何將ChatGPT用于欺詐攻中。其中大部分集中于使用另一種OpenAI技術（DALLE2）生成隨機藝術品，并通過Etsy等合法平臺在線銷售。在另一個示例中，攻擊者解釋如何為特定主題生成電子書或短章節(使用ChatGPT)，并在網上銷售這些內容。

地下論壇中關于如何使用ChatGPT進行欺詐活動的多個線程

總結

現在就認定ChatGPT功能是否會成為暗網攻擊者最喜歡的新工具還為時過早。然而，生成惡意代碼的新趨勢已經出現。