Virus y Gusanos Informáticos «Powered with LLMs» infectando redes
Hoy os iba a hablar de otra cosa, pero saqué ayer una hora tonta después de comer mientras esperaba para una reunión, y decidí leerme este paper que tenía marcado en mi RSS para lectura, y me ha gustado tanto que os he hecho este artículo. El trabajo de investigación está centrado en lo que os pongo en el título, que no es más que tener un Agente IA para crear un Worm que infecte y controle el mayor número de máquinas en una organización.
Al final se trata de mezclar dos cosas, por un lago, un Agente AI que es capaz de hackear una organización completa, como ya vimos en el trabajo de «On the Feasibility of Using LLMs to Execute Multistage Network Attacks» del que os hablé hace tiempo, junto con las capacidades de infectar con un código mutante que cambia y se reescribe para tener un malware controlando una máquina que elude todas las protecciones de seguridad.
El trabajo, que ha sido publicado la semana pasada habla de Agentes de AI utilizando LLMs para ayudar a las fases de explotación, infección, y replicación, que es la base de cualquier virus de tipo gusano. Es decir, explotar una vulnerabilidad, conseguir ejecutarse en la máquina infectada de manera permanente, y replicarse para infectar otras máquinas. Y para todas esas fases vamos a utilizar un Agente AI soportado por LLMs.
Como se puede ver en la imagen anterior, el Agente AI utiliza un LLM para tomar sus decisiones – un LLM de pesos abiertos, es decir, modelos OpenSource -, que le da la inteligencia para luego utilizar las herramientas y elegir qué hacer en cada momento. Por supuesto, con Memory para poder avanzar correctamente en el proceso completo.
A partir de ese momento, el AI-Worm – que no quiere decir que se una Worm para modelos de AI, sino «Worms Powered by AI» – primero busca explotar una vulnerabilidad en la superficie de la red expuesta desde su situación actual, para luego infectar la máquina vulnerada utilizando técnicas de persistencia y mutación, con el objetivo siguiente de replicarse a otros nuevos objetivos.
Como se puede ver en el gráfico anterior, el AI-Worm instala también los modelos LLMs en aquellas máquinas en las que hay capacidad para hacerlo, crea un cliente de infección en cada máquina y dispositivo infectado, teniendo en cuenta el hardware y el sistema operativo en el que está, pudiendo crear en tiempo real una versión especial para impresoras, dispositivos IoT, o servidores de cualquier sistema operativo.
Y, además, para evitar los problemas de segmentación y tráfico, cada uno de los bots hace de nodo de interconexión de mensajes con los que ha replicado cada uno, permitiendo tener un servicio de Proxy encadenado que llevé las necesidades de inteligencia en forma de Prompt que cada agente tenga, hasta un LLM disponible dentro de la red. Precioso.
En el gráfico anterior tenéis los datos de éxito de este proceso en las pruebas experimentales, pero sobre todo es importante ver el ciclo de trabajo. Primero se identifica la vulnerabilidad, para después explotarla, y conseguir replicarse.
escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord
En un escenario de ejemplo, si viéramos estas fases encadenadas, teniendo en cuenta que cada vez que se produce una replicación el AI-Worm comienza otra vez el ciclo para replicarse en una nueva víctima, lo veríamos como se ve en el la siguiente tabla, donde se ve su evolución temporal.
Viendo esta gráfica, de forma agrupada en todas las pruebas realizadas en todos los escenarios, podemos ver cómo en varias iteraciones (Gen-erations) se consigue la infección completa de los equipos de la red, detectando las vulnerabiliades existentes en todos los equipos de los escenarios.
Claro, si pensamos en que con la llegada de modelos de IA cada vez más inteligentes, y más hábiles en la búsqueda y explotación de vulnerabilidades conocidas, de 1-Day en base a CVEs, e incluso en la búsqueda de debilidades y 0-Days, como el caso de Mythos, el escenario se pone peligroso. En el siguiente gráfico se puede ver cómo cada equipo se ha ido infectando desde un equipo distinto, como las versiones de los sistemas operativos son diferentes, y cómo las vulnerabilidades explotadas son cada vez diferentes.
En cada escenario el AI-Worm va buscando su camino, explotando diferentes vulnerabilidades, pero además adapta cada equipo para tener nuevos objetivos desde ese nuevo equipo infectado. Esto muestra diferentes rutas según las fases de explotación, la velocidad, el tipo de sistema, la vulnerabilidad, etcétera. El gráfico siguiente muestra otra infección de red en un proceso de cinco generaciones.
Figura 12: Otro ejemplo de infección del sistema
Para cada infección, el AI-Worm debe utilizar la inteligencia del Agente AI usando el LLM para crear un proceso que permita realizar las tres fases de cada infección. El siguiente gráfico – haz clic sobre él para hacerlo más grande – permite ver cómo explota una vulnerabilidad en un objetivo.
Figura 13: Ejemplo de una fase completa de infección
Y el último gráfico muestra otra variación de otro escenario, con sistemas operativos, dispositivos, y elementos de la red totalmente diferentes, heterogéneos y con capacidades distintas, que fuerzan al AI-Worm a adaptarse a cada escenario. Espectacular.
El trabajo este deja claro que con la llegada de la IA, los Virus y Gusanos van a evolucionar a unos «bichos» mucho más adaptados y adaptables a cualquier objetivo. Los Gusanos y Virus centrados en un único código, un único vector de infección, y un único proceso de replicación van a pasar a la historia de la informática como reliquias, con la llegada de estos AI-Worms.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Powered by WPeMatico
