Inhaltsverzeichnis

    KI-gesteuerte Malware: Hype oder Realität?

    Bösartige E-Mails sind oft der erste Schritt in einem Cyberangriff - wie der erste Zug in einem Schachspiel mit hohem Einsatz. Und wenn diese E-Mail an den eingebauten Sicherheitsvorkehrungen vorbeikommt, kann das Spiel schnell aus dem Ruder laufen. Neben dem Phishing von sensiblen Informationen lieben es Angreifer nach wie vor, Malware, insbesondere Infostealer, direkt in ahnungslose Posteingänge einzuschleusen. Im Laufe der Jahre haben sich die Malware-Nutzlasten ständig weiterentwickelt - angefangen bei einfachen EXE-Anhängen über Office-Dokumente mit Makros und passwortgeschützten Archiven bis hin zu SVG-Dateien, die HTML und JavaScript einschleusen. Jetzt kommt die generative KI hinzu und wirbelt die Dinge noch einmal auf.

    Sicherheitsforscher haben bereits E-Mail-Kampagnen in freier Wildbahn mit Skript-Nutzdaten gefunden, die mit übermäßigen Kommentaren vollgestopft waren - wahrscheinlich das Werk einer KI, das ein unerfahrener Angreifer hinterlassen hat, der vergessen hat, es zu bereinigen. Die eigentliche Frage ist jedoch: Inwieweit wird generative KI die Malware-Landschaft für Unternehmen tatsächlich verändern? Was ist für Cyberkriminelle heute machbar, was passiert bereits, und was ist nur ein von den Medien genährter Mythos?

    KI-generierte Malware: Was ist Fakt und was ist Fiktion?

    An der diesjährigen Insomni'Hack-Konferenz im März (Lausanne) werden wir uns mit diesem Thema befassen. Candid Wüest wird mit unserer Session "The Rise of AI-Driven Malware" die Bühne betreten: Bedrohungen, Mythen und Abwehrmechanismen". Unser Ziel? Die Unterschiede zwischen KI-generierter, KI-unterstützter und KI-gesteuerter Malware zu verdeutlichen und Fakten von Fiktion zu trennen.

    Sicherlich ist es einfach, einfache Malware mit Code-fokussierten Large Language Models (LLMs) zu generieren - zumindest, wenn man die Leitplanken mit Prompt Injections umgeht oder ein ungefiltertes Modell verwendet. Aber die Sache ist die: Malware-Generator-Kits in Untergrundforen bieten schon seit Jahrzehnten ähnliche Dienste an. Die KI macht den Prozess zwar zugänglicher, ist aber keine bahnbrechende Innovation. Wenn sich eine Nutzlast auf die gleiche Weise verhält - ob sie nun eine Bitcoin-Brieftasche stiehlt oder Dateien verschlüsselt - werden moderne Sicherheitslösungen mit verhaltensbasierter Erkennung und Anomalieanalyse sie immer noch erkennen und stoppen. Was sich durch KI wirklich ändert, ist das Ausmaß der Angriffe, wodurch mehr Cyberkriminelle Malware in einem schnelleren Tempo generieren und verbreiten können.

    AImalware_types

    Das Alte wird wieder neu: polymorphe und metamorphe Malware

    Erinnern Sie sich an den Tequila-Virus aus den frühen 90er Jahren? Er nutzte eine polymorphe Verschlüsselungs-Engine, um der Erkennung zu entgehen. Heute sehen wir eine ähnliche Strategie mit einer modernen Wendung. Nehmen Sie zum Beispiel ChattyCaty- diese Malware verwendet LLMs, um ihren Code während der Infektion im laufenden Betrieb umzuschreiben und jede Instanz einzigartig zu machen. Indem sie einfach einen LLM in einfachem Englisch auffordern, funktional gleichwertigen Code zu erzeugen, können Angreifer die Erkennung statischer Signaturen umgehen.

    Allerdings gibt es einen Haken. Auch wenn diese Taktik die herkömmliche statische Analyse umgeht, gibt das Gesamtverhalten der Malware dennoch Anlass zu Bedenken. Wenn eine Bedrohung plötzlich alle Persistenztechniken des MITRE ATT&CK-Frameworks anwendet, leuchtet jedes anständige Endpoint Detection and Response (EDR)-System wie ein Weihnachtsbaum auf.

    KI-gestützte Cyberkriminalität: der Realitätscheck

    Ja, KI wurde bereits zur Erstellung von Malware für reale Angriffe eingesetzt. So wurde beispielsweise im vergangenen Oktober ein Mann in Japan verhaftet und zu drei Jahren Gefängnis verurteilt, weil er mit KI generierte Ransomware eingesetzt hatte. Seine angebliche Aussage bei der Polizei? "Ich wollte mit Ransomware Geld verdienen. Ich dachte, ich könnte alles tun, wenn ich KI darum bitte." Er brauchte etwa sechs Stunden, um die Ransomware zu erstellen - aber die Tatsache, dass er erwischt wurde, deutet darauf hin, dass es nicht so einfach ist, ein KI-gestützter Cyberkrimineller zu sein, wie er dachte.

    Mit der Weiterentwicklung von KI-Tools wird auch die Raffinesse von KI-gestützten Angriffen zunehmen. Und auch hier geht es weniger darum, dass KI die Malware selbst neu erfindet, sondern vielmehr darum, wie sie diese Angriffe beschleunigt und erweitert.

    Der Aufstieg von KI-Agenten in der Cyberkriminalität

    Da KI-Agenten in diesem Jahr überall auftauchen, haben Angreifer eine ganz neue Spielwiese, die sie erkunden können. Wir haben bereits Proof-of-Concept (PoC)-Bedrohungen gesehen, die Microsofts CoPilot zum Datendiebstahl nutzen, und dabei wird es nicht bleiben. Indirekte Prompt Injection ist ein heißes Thema, auch in der Malware-Community. Dies wirft eine wichtige Frage auf: Wie können Sie feststellen, ob Ihr KI-Agent abtrünnig geworden ist?

    Prävention ist immer noch die beste Verteidigung

    Letztendlich ist es immer noch die beste Strategie, bösartige E-Mails zu stoppen, bevor sie überhaupt den Posteingang erreichen. Deshalb ist eine ausgefeilte E-Mail-Sicherheitslösung als frühe Verteidigungsschicht ein Muss.

    In der Zwischenzeit behält unser Forschungsteam bei xorlab die Trends bei KI-gestützter Malware genau im Auge, damit wir neuen Bedrohungen immer einen Schritt voraus sind. Wenn Sie sich fragen, ob KI-Agenten im Matrix-Stil in Ihre IT-Systeme eindringen werden, besuchen Sie uns auf dem Insomni'Hack - oder sprechen Sie uns einfach an. Wir würden uns gerne mit Ihnen unterhalten.

    T A L K

    The Rise of AI-Driven Malware: Threats, Myths, and Defenses

    Candid Wüest

    Insomni’Hack  I  March 14, 10:30

    insomniahack_image