KI-generierte Malware: Was ist Fakt und was ist Fiktion?
An der diesjährigen Insomni'Hack-Konferenz im März (Lausanne) werden wir uns mit diesem Thema befassen. Candid Wüest wird mit unserer Session "The Rise of AI-Driven Malware" die Bühne betreten: Bedrohungen, Mythen und Abwehrmechanismen". Unser Ziel? Die Unterschiede zwischen KI-generierter, KI-unterstützter und KI-gesteuerter Malware zu verdeutlichen und Fakten von Fiktion zu trennen.
Sicherlich ist es einfach, einfache Malware mit Code-fokussierten Large Language Models (LLMs) zu generieren - zumindest, wenn man die Leitplanken mit Prompt Injections umgeht oder ein ungefiltertes Modell verwendet. Aber die Sache ist die: Malware-Generator-Kits in Untergrundforen bieten schon seit Jahrzehnten ähnliche Dienste an. Die KI macht den Prozess zwar zugänglicher, ist aber keine bahnbrechende Innovation. Wenn sich eine Nutzlast auf die gleiche Weise verhält - ob sie nun eine Bitcoin-Brieftasche stiehlt oder Dateien verschlüsselt - werden moderne Sicherheitslösungen mit verhaltensbasierter Erkennung und Anomalieanalyse sie immer noch erkennen und stoppen. Was sich durch KI wirklich ändert, ist das Ausmaß der Angriffe, wodurch mehr Cyberkriminelle Malware in einem schnelleren Tempo generieren und verbreiten können.
Das Alte wird wieder neu: polymorphe und metamorphe Malware
Erinnern Sie sich an den Tequila-Virus aus den frühen 90er Jahren? Er nutzte eine polymorphe Verschlüsselungs-Engine, um der Erkennung zu entgehen. Heute sehen wir eine ähnliche Strategie mit einer modernen Wendung. Nehmen Sie zum Beispiel ChattyCaty- diese Malware verwendet LLMs, um ihren Code während der Infektion im laufenden Betrieb umzuschreiben und jede Instanz einzigartig zu machen. Indem sie einfach einen LLM in einfachem Englisch auffordern, funktional gleichwertigen Code zu erzeugen, können Angreifer die Erkennung statischer Signaturen umgehen.
Allerdings gibt es einen Haken. Auch wenn diese Taktik die herkömmliche statische Analyse umgeht, gibt das Gesamtverhalten der Malware dennoch Anlass zu Bedenken. Wenn eine Bedrohung plötzlich alle Persistenztechniken des MITRE ATT&CK-Frameworks anwendet, leuchtet jedes anständige Endpoint Detection and Response (EDR)-System wie ein Weihnachtsbaum auf.
KI-gestützte Cyberkriminalität: der Realitätscheck
Ja, KI wurde bereits zur Erstellung von Malware für reale Angriffe eingesetzt. So wurde beispielsweise im vergangenen Oktober ein Mann in Japan verhaftet und zu drei Jahren Gefängnis verurteilt, weil er mit KI generierte Ransomware eingesetzt hatte. Seine angebliche Aussage bei der Polizei? "Ich wollte mit Ransomware Geld verdienen. Ich dachte, ich könnte alles tun, wenn ich KI darum bitte." Er brauchte etwa sechs Stunden, um die Ransomware zu erstellen - aber die Tatsache, dass er erwischt wurde, deutet darauf hin, dass es nicht so einfach ist, ein KI-gestützter Cyberkrimineller zu sein, wie er dachte.
Mit der Weiterentwicklung von KI-Tools wird auch die Raffinesse von KI-gestützten Angriffen zunehmen. Und auch hier geht es weniger darum, dass KI die Malware selbst neu erfindet, sondern vielmehr darum, wie sie diese Angriffe beschleunigt und erweitert.
Der Aufstieg von KI-Agenten in der Cyberkriminalität
Da KI-Agenten in diesem Jahr überall auftauchen, haben Angreifer eine ganz neue Spielwiese, die sie erkunden können. Wir haben bereits Proof-of-Concept (PoC)-Bedrohungen gesehen, die Microsofts CoPilot zum Datendiebstahl nutzen, und dabei wird es nicht bleiben. Indirekte Prompt Injection ist ein heißes Thema, auch in der Malware-Community. Dies wirft eine wichtige Frage auf: Wie können Sie feststellen, ob Ihr KI-Agent abtrünnig geworden ist?
Prävention ist immer noch die beste Verteidigung
Letztendlich ist es immer noch die beste Strategie, bösartige E-Mails zu stoppen, bevor sie überhaupt den Posteingang erreichen. Deshalb ist eine ausgefeilte E-Mail-Sicherheitslösung als frühe Verteidigungsschicht ein Muss.
In der Zwischenzeit behält unser Forschungsteam bei xorlab die Trends bei KI-gestützter Malware genau im Auge, damit wir neuen Bedrohungen immer einen Schritt voraus sind. Wenn Sie sich fragen, ob KI-Agenten im Matrix-Stil in Ihre IT-Systeme eindringen werden, besuchen Sie uns auf dem Insomni'Hack - oder sprechen Sie uns einfach an. Wir würden uns gerne mit Ihnen unterhalten.
