Invisible C2 — 得益于 AI 驱动的技术

快速阅读: 据《安保大道》称，本文探讨了人工智能技术如何被用于创建隐蔽的指挥与控制（C2）通道，使网络攻击更难被检测。传统防御手段难以应对AI驱动的C2通信，因此需要采用行为分析和AI辅助检测等新方法来增强网络安全。

隐形C2——得益于人工智能技术

几乎每一个网络攻击都需要一个指挥与控制（C2）通道——一种让攻击者向被攻陷的系统发送指令并接收被盗数据的方式。这给了我们所有人一个机会去发现那些使我们处于风险之中的攻击。

大型语言模型有助于攻击者规避基于签名的检测。

传统上，C2流量可能伪装成普通的网页流量、DNS查询，或者通过已知平台如Slack或Telegram传输。现在，大型语言模型正帮助攻击者更巧妙地在公开通信中隐藏C2通信，甚至自动做出攻击者的决策，从而减少或消除对C2的需求。在这篇文章中，我探讨了如何利用AI模型来混淆C2，使得检测变得极其困难。基于上一篇文章关于多态攻击的内容，我查看了一些真实案例，分析了为什么更新的方法能够逃脱网络安全部门的检测，并简要探讨了自适应模型可能如何提供帮助。

再次强调，这不是一个深度节奏的推销。相反，我深入研究了一些高级和新兴的攻击模式。只有通过理解今天快速创新的对手，我们才能有效地应对。

AI隐蔽通道的出现

使用知名合法服务作为C2并不新鲜——“域名前置”和“利用现有资源”已经存在了一段时间。大型语言模型所增加的是灵活性和更高的可信度：

将AI API用作C2：正如我在上一篇博客中详细描述的，一些恶意软件作者已经意识到他们可以依靠AI API，包括OpenAI来获取指令或代码。对于防御者来说，访问api.openai.com并不会引起注意，而访问未知IP则会。恶意软件可以通过自然语言向AI请求指令，实际上将AI变成了攻击者的不知情代理。

自然语言隐写术：大型语言模型可以生成类似人类的文本，其中包含隐藏的指令。例如，攻击者可以提示大型语言模型生成一封看似无害的电子邮件或文档，其中包含编码命令，比如每句话的第一个字母或其他恶意软件知道解析的模式。对于人类或标准扫描器来说，文本看起来是合法的（甚至是有意义的）。只有恶意软件知道，“今天的天气在巴黎很宜人。新闻报道显示市场上涨。”实际上编码了一个像“下载更新”的命令。这是借助AI流利度的文字隐写术。

大型语言模型驱动的自主性：在更高级的变化中，威胁行为者正在试验将决策权委托给大型语言模型的恶意软件。与其由人工操作员手动输入命令，恶意软件可以咨询AI模型下一步该做什么。来自深度本能的研究人员展示了一个令人着迷的概念验证，即大型语言模型充当了行动的大脑——恶意软件会向大型语言模型发送情况描述，而大型语言模型会响应执行的动作，实际上成为了一个AI控制器。这不仅混淆了C2，因为“控制器”是一个AI聊天界面，而且由于不需要等待人工输入，还加快了攻击速度。

这些方法导致的C2通信对于传统的检测来说是非常不典型的：它们可能看起来像是无害的聊天机器人对话或随机文本数据，没有固定的签名。

一个有用的模式：BlackMamba的ChatGPT C2

我们之前介绍了BlackMamba作为一种多态恶意软件；它也是AI混淆C2的一个典型例子。以下是BlackMamba的命令与控制工作方式的一些方式——我们在野外也看到了类似的手段：

动态有效载荷交付：当BlackMamba想要记录击键时，它不会携带键盘记录器二进制文件。相反，它会向ChatGPT的API发送查询，请求一段捕获击键的代码（确切的查询可能是由恶意软件作者精心设计的）。ChatGPT会响应一段新的代码片段，可能是Python或PowerShell，用于执行键盘记录。

BlackMamba然后执行这段代码。下一次，为了数据外泄，它可能会要求ChatGPT提供一段通过HTTP发送数据的代码。每次这些交互都是一个命令交换，但看起来像是与AI正常的问答。

最难识别的C2是没有C2：在这种情况下，没有攻击者的IP或服务器域可以追踪。攻击者最初与ChatGPT或类似的破解版本进行交互，例如，通过设置提示工程，使得恶意软件的查询触发特定响应。实质上，AI服务充当了攻击者与恶意软件之间的中间媒介。

中继服务器：使用合法API如ChatGPT的想法当然也可以应用于中继服务器的使用。我们最近在野外看到了这种技术。黑客可以扩展他们的攻击范围，开发一系列合法的家庭服务器或物联网控制器作为中继服务器，然后使用它们。这也规避了基于规则和行为的检测机制。

另一个概念性的例子：如果攻击者使用Twitter与ChatGPT结合进行C2呢？例如，恶意软件从你的环境中发布一条看似随机引用的推文；同时，你有一个LLM监控Twitter提要，每当它看到这些模式时，就会回复一条直接消息，其中包含编码在故事中的命令。这就是混合AI与现有平台解锁的创造力。类似的方法已经在使用隐写术隐藏消息和模式的攻击中实施。

为什么LLM启用的C2困扰传统防御

通过LLM混淆的C2为传统的网络和主机防御创造了完美的风暴：

加密和受信任的域：大多数AI API流量是HTTPS，所以安全工具看不到有效负载。相反，许多工具依赖于域名声誉，它们将OpenAI或Azure或类似的公共服务视为良性。

缺乏签名：没有固定指标，比如“恶意软件连接到端口4444的192.168.1.100”。AI域名可能是其中之一。内容是动态的自然语言或代码，缺乏重复的字节模式。网络异常检测可能会注意到某台机器突然开始与之前从未联系过的API通信——但在如今许多应用程序都调用云API的时代，这通常不会立即引起警报，除非网络异常检测能够回溯足够长的时间以观察该实体或某些类别实体的其他奇怪行为。由于当今的机器学习系统很少回溯超过几个事件，它们非常不可能触发这样的警报。

IDS/IPS规避：传统的入侵检测签名可能会寻找已知的C2协议，如特定的HTTP模式或流量中的纯文本关键字。今天的AI适应的C2不符合这些模式。例如，IDS可能有一条规则“在HTTP上检测powershell关键字”；然而，这个powershell关键字可能只出现在加密的AI响应中。此外——也许甚至更简单——命令每次可能措辞不同，从而打乱模式匹配系统。

流量体积：虽然传统的规则和模式匹配ML常常寻找意外的流量增加，但更智能的AI启用的C2可以有更低的流量。由于更智能的恶意软件只在需要时调用AI，它可能是间歇性和低带宽的。“低且慢”的方法很难与正常的用户行为区分开来。

端点盲点：感觉有些威胁猎手喜欢从网络开始，逐步扩展到端点，而另一些则反向操作。那么，EDR能看到什么呢？一个进程，比如脚本或Office宏，会向允许的服务发出HTTPS请求，然后生成一些系统命令。一些EDR可能会将系统命令标记为可疑，例如，标记“为什么Word会生成cmd.exe？”但如果是恶意软件注入另一个进程或使用通用进程执行，比如通过可信服务二进制文件运行命令，就更难辨别了。如果没有理解AI正在指导这些操作的更长上下文，EDR可能会只看到一系列合法的操作。

缺乏操作员特征：在许多入侵中，人为C2表现出时间模式或错误，比如带有特定拼写错误的命令，或与工作时间相关的模式。AI驱动的C2可能是更加一致和持续的，或者在时间上难以预测的。这去除了威胁猎手寻找的一些特征，比如活动集群表明某一时区的人类操作员。另一个视角：如果一个组织试图阻止对AI服务的滥用，他们将面临困境。如果用户依赖这些服务进行工作，完全封锁可能不可行。而且，如何区分恶意使用和合法使用呢？除非你有内容检查或高级AI来分析对话，否则这会变得非常棘手。并且要分析对话，你需要有能力在一段时间内看到那段对话，并可能跨越上下文。

防御展望：再次用AI对抗AI

对抗AI隐藏的C2通信很可能需要行为和AI辅助检测——更具体地说是深度学习：

网络异常检测：工具可以为每个主机通常连接的外部服务建立基线。如果一台从未使用过AI API的桌面电脑开始这样做，那值得调查，特别是结合其他上下文信息时。显然，现有的异常检测系统以高误报率著称。

终端上的AI API使用分析：在终端上，企业可能会针对特定库调用进行监控或告警——例如，如果一个进程加载了OpenAI SDK，或者如果一个PowerShell脚本开始向已知的AI主机名发起网页请求。这些可能是某些不寻常事情的高保真信号，因为很少有商业应用程序会从宏或脚本中动态查询AI。尽管如此，每种变化都需要另一种基于签名的响应。

网络异常检测：工具可以为每个主机通常连接的外部服务建立基线。如果一台从未使用过AI API的桌面电脑开始这样做，那值得调查，特别是结合其他上下文信息时。显然，现有的异常检测系统以高误报率著称。

AI驱动的安全运营中心——有些过于炒作？

安全运营中心可以部署自己的LLM和AI SOC工具来协助分析师。分析师可能会问AI助手：“我看到进程Y正在发出这一系列网页请求，然后执行命令，这种模式是否匹配任何已知的基于AI的攻击？”AI可能会将其与已知案例如BlackMamba或其他威胁报告中的案例相关联，加速威胁搜寻。然而，“这种模式是否匹配”这个无害短语比看起来更难实现。你的LLM会尝试匹配IP地址吗？这种匹配是如何发生的？在DeepTempo，我们正是这样做的匹配，但为了做到这一点，我们首先将日志嵌入到“超空间”中，并在768个维度上比较超过3000个事件。然后用户只需简单地询问——给我找出与这个序列最相似的前50个序列，系统就会寻找那些看起来最相似的序列。这里没有查询涉及——而且在传统SIEM中构造这样的查询几乎是不可能的。

更广泛的防御策略可能涉及自适应策略。如果基于AI的C2变得普遍，组织可能会限制服务器访问外部AI服务，或者要求使用内部批准的带日志的AI。零信任原则也应适用：仅仅因为调用是针对OpenAI并不意味着它是安全的——我们可以强制只有某些应用程序/用户可以进行此类调用。

如果我们能像攻击者一样富有创意地想象出这些创造性攻击的防御措施，那么关于一种从所有环境中所有行为中学习的深度学习解决方案如何？我想到了边沁的全景监狱理论。我们离那种乌托邦/反乌托邦还很远。如今，防御者试图通过规则和人工设计的机器学习系统分享我们需要警惕的内容。如果我们也能添加一层深度学习，从我们所有人那里学习什么是合法的，从而快速辨别什么是问题所在，那会怎样？

现在应该怎么做？

为了对抗隐藏的AI C2，安全团队应更新其威胁模型。也许更重要的是，你需要现在就开始一个过程，逐渐摆脱对基于规则的指标的单一依赖。Darpa和其他专家一直在警告说，使用人为编写的规则使我们容易受到更高级攻击的威胁。而现在调查显示，安全专业人员越来越担心AI驱动的攻击——例如，一项研究表明，74%的人认为他们已经受到攻击，类似比例的人承认他们可能没有准备。

正如我们的一位大客户所说，我们需要用深度学习和集体防御来对抗AI。当然我们同意！

在下一个博客中，我计划深入探讨AI如何被用来掩盖攻击并规避传统的防御方法。

您的反馈和建议深表感谢。

谢谢您的阅读。

隐形C2——多亏了AI驱动的技术

最初发布于Medium上的DeepTempo，在那里人们通过突出显示和回应这个故事继续讨论。

***

这是来自Medium上Evan Powell的故事的Security Bloggers Network转载文章，由Evan Powell撰写。

请阅读原始文章：

***

这是来自Medium上Evan Powell的故事的Security Bloggers Network转载文章，https://medium.com/deeptempo/invisible-c2-thanks-to-ai-powered-techniques-462ef2624c8a?source=rss-36584a5b84a——2

(以上内容均由Ai生成)