Polymorphe Malware: KI stellt IT-Sicherheitslösungen vor neue Herausforderungen

ChatGPT erweist sich auch für Cyberkriminelle als nützliches Werkzeug. Mithilfe des Chatbots lässt sich beispielsweise eine polymorphe Malware entwickeln, die sich vor gängigen EDR-Lösungen (Endpoint Detection and Response) versteckt, worauf Tom's Hardware hinweist. Und das, obwohl derartige Sicherheitstools ja eigentlich gerade dazu da sind, bösartige Software zu erkennen und unschädlich zu machen.

Als polymorph wird eine Malware bezeichnet, wenn sie so programmiert ist, dass sie ihr Erscheinungsbild oder ihre Signaturdateien ständig verändert. Es kommt also laufend zu dynamischen Mutationen im Code, was oftmals ebenso in Veränderungen des Dateinamens, der Größe und des Speicherortes der Software resultiert. Ihre ursprüngliche Funktionalität bleibt dabei jedoch vollständig erhalten.

Für herkömmliche Sicherheitstools, die auf einer signaturbasierten Erkennung beruhen, bleibt eine solche Schadsoftware folglich unsichtbar. In dem Moment, in dem eine EDR-Lösung die Signatur der polymorphen Malware kennt, ist diese längst wieder mutiert und verfügt über eine neue Signatur. Bekannte Vertreter dieser Gattung von bösartiger Software sind beispielsweise The Storm Worm, Virlock oder Beebone.

Schutzmaßnahmen seitens ChatGPT sind unzureichend

Dass ChatGPT bei der Entwicklung von Schadsoftware Unterstützung bietet, ist von OpenAI gewiss nicht vorgesehen. Ganz im Gegenteil: Der Entwickler versucht seit jeher, die Erzeugung unangemessener Inhalte durch den Chatbot anhand spezieller Filter zu unterdrücken. Doch wie beispielsweise Sicherheitsforscher von Cyberark schon im Januar dieses Jahres zeigten, lassen sich diese Filter oftmals aushebeln.

Obendrein kann die KI in einigen Fällen auch gar keine zuverlässigen Rückschlüsse auf die Absichten des jeweiligen Anwenders ziehen. Fordert ein Benutzer zum Beispiel den Code für eine Verschlüsselungsfunktion von ChatGPT an, so lässt sich kaum abschätzen, ob er diese für die Entwicklung einer Malware oder einer legitimen Sicherheitssoftware einsetzen will.

Kriminelle mit Entwicklerkenntnissen können dem Chatbot also mit Leichtigkeit einzelne, auf den ersten Blick harmlose Codebausteine entlocken und diese anschließend zu einer vollwertigen Schadsoftware zusammenfügen. Auch dem Sicherheitsexperten Jeff Sims von HYAS Infosec gelang es schon im vergangenen März, einen polymorphen Keylogger namens Blackmamba zu entwickeln. Dabei ließ er die Software dynamisch zur Laufzeit per API neue Funktionen von ChatGPT erzeugen, mit denen er die Tastenanschläge des infizierten Systems erfassen konnte.