Gerdab.IR | گرداب

"پایگاه رسانه‌ای گرداب جهت اطلاع و افزایش دانش و سواد فضای مجازی مخاطبان خود و به ویژه دانشجویان، پژوهشگران و تصمیم‌گیران، ترجمه‌هایی در این زمینه منتشر می‌کند. بدیهی است انتشار این مطالب، لزوما به معنای تایید محتوای آن نیست. "

به گزارش گرداب، یکی از کارکنان شرکت نرم‌افزاری فورس پوینت (Forcepoint) وبلاگی درباره نحوه استفاده از چت جی‌پی‌تی برای ساختن کد‌هایی نوشت که می‌توانند داده‌ها را از یک دستگاه آسیب‌پذیر و آلوده استخراج کنند. شاید به نظر موضوع نگران‌کننده‌ای باشد، اما در واقع این کاری نیست که حتی برنامه‌نویسان مبتدی نتوانند انجام دهند.

آزمایش او اولاً تا حدودی نشان داد که این ربات چت ساخته شده توسط OpenAI و پشتیبانی شده با مایکروسافت می‌تواند روند توسعه بدافزار را سرعت ببخشد یا فرآیند را خودکار کند. ثانیاً ثابت کرد که یک فرد کاملاً بی‌تجربه در زمینه کدنویسی با دادن دستوراتی خاص که ربات چت قادر به سانسور نیست، می‌تواند از آن برای ساختن یک بدافزار استفاده کند.

آرون مولگرو (Aaron Mulgrew) از شرکت فورس پوینت که به گفته خود تازه‌کار و بی‌تجربه است، سعی کرد بدون این که خودش کدی بنویسد برنامه بدافزاری بسازد که بتواند داده‌ها را از یک دستگاه که قبلاً هدف حمله قرار گرفته و آسیب‌پذیر است استخراج کند. عملکرد این برنامه بعد از ورود یک شخص مجرب به تنهایی و با تلاش خود به یک شبکه از طریق آسیب‌پذیری موجود در آن و به دست آوردن اطلاعات ورودی کاربر، آزمایش می‌شود. همچنین بدافزار بعد از ساخته شدن باید بتواند بر موارد امنیتی مانند defender ویندوز و خطوط کنترلی در نرم‌افزار‌های در حال اجرا غلبه کند.

مولگرو تصمیم گرفت که هدف برنامه استخراج داده‌ای که می‌سازد پیدا کردن فایل‌های بزرگ PNG در رایانه باشد و با استفاده از روش پنهان‌نگاری (استگانوگرافی) یک سند حساس را که مهاجم تمایل به استخراج آن دارد در PNG ذخیره کند و بعد فایل حاوی داده موردنظر را به یک حساب گوگل درایو تحت کنترل مهاجم ارسال کند. در اینجا گوگل درایو به این دلیل انتخاب شده است که بسیاری از سازمان‌ها به سرویس ابری متصل هستند.

از آن جایی که در چت جی‌پی‌تی نمی‌توان کلمه بدافزار را تایپ کرد، مولگرو برای توسعه ابزار موردنظر باید خلاقیت به خرج دهد. طبق گزارش‌ها، او بعد از فقط دو بار تلاش کردن موفق شده است که سانسوری چت بات را دور بزند.

مولگرو می‌گوید ساختن این برنامه فقط چند ساعت طول کشیده است. گزارشی که او روز سه شنبه ۴ آوریل ۲۰۲۳ نوشت در دسترس است، اما به نظر ما بهتر است قسمت مربوط به روز صفر و این که چطور ربات می‌تواند کدی بنویسد که برنامه‌نویسان برای نوشتن همان کد چند روز وقت صرف می‌کنند را نادیده بگیرید. چون هیچ روز صفری وجود ندارد و این ابزار‌ها را یک فرد تقریباً مجرب می‌تواند در حدود یک ساعت یا بیشتر و یک مبتدی در نصف روز بسازد.

از آن جایی که مولگرو نمی‌توانست مستقیماً از چت جی‌پی‌تی بخواهد که کد بدافزار بنویسد، از آن خواست به صورت بخش بخش کد Go بنویسد تا بعداً خودش آن‌ها را کنار هم قرار دهد. ربات چت با قدرت هوش مصنوعی خود می‌توانست به کتابخانه استگانوگرافی Auyer دسترسی پیدا کند و کار مخفی کردن فایل در یک PNG بزرگ پنج مگابایتی و بیشتر را که برنامه روی دیسک قرار داده بود انجام دهد.

برای پیدا کردن اسناد باارزش جهت سرقت، مولگرو از هوش مصنوعی خواست تا روی پوشه‌های دسکتاپ، documents و فایل‌های AppData در جعبه ویندوز کاربر مجددا کدی بنویسد و فایل‌های PDF یا DOCX با حداکثر حجم یک مگابایت را پیدا کند، چون از این طریق بدون این که کسی یا چیزی به شک بیفتد، کل سند را می‌توان در یک فایل تصویری جاسازی و داده‌ها را استخراج کرد.

او در گزارش خود می‌نویسد: «ساده‌ترین بخش، کنار هم گذاشتن تکه‌های مختلف کد بود که چت جی‌پی‌تی به طور جداگانه تولید می‌کرد». با این حال، از آن جایی که غالب اسناد مهمی که هدف مهاجمان قرار می‌گیرند احتمالاً بزرگ‌تر از یک مگابایت هستند، مولگرو از چت جی‌پی‌تی خواست کدی بنویسد که یک فایل PDF را به بخش‌های صد کیلوبایتی تقسیم کند و هر قسمت را در PNG خودش قرار دهد، که همه این‌ها نهایتاً در فضای ذخیره‌سازی ابری مهاجم قرار می‌گیرند و استخراج می‌شوند. به گفته او کل این عمل با دادن ۴ یا ۵ دستور به ربات انجام شده است.

در مرحله بعد مولگرو برای این که از عملکرد برنامه تازه ساخته شده خود مطمئن شود با VirusTotal آن را آزمایش کرد. VirusTotal فایل‌های ارسالی را با انواع آنتی ویروس‌ها چک می‌کند و مولگرو می‌خواست ببیند که آیا باینری مخرب شناسایی می‌شود یا که مخفی باقی می‌ماند.

با کمک چند ترفند مانند درخواست از چت جی‌پی‌تی برای ایجاد تأخیر دو دقیقه‌ای در زمان شروع برنامه، مبهم کردن کد و دستکاری‌های کوچک دیگر نهایتاً توانست کاری کند که برنامه او توسط VirusTotal شناسایی نشود.

این مورد تا حدودی قابل درک است، چون VirusTotal در درجه اول برنامه‌هایی را تشخیص می‌دهد که قبلاً به عنوان مخرب شناسایی شده‌اند. بدافزار‌های کاملاً جدید بلافاصله قابل شناسایی نیستند. بعضی از این موتور‌های تشخیص از سندباکسینگ برای شناسایی فعالیت‌های مخرب در نمونه‌های جدید استفاده می‌کنند که می‌تواند باعث فعال شدن هشدار‌ها شود، اما این موارد را هم افرادی که مهارت کافی دارند می‌توانند به راحتی دور بزنند.

قابل ذکر است که چت جی‌پی‌تی دستوراتی مانند مبهم کردن کد برای جلوگیری از شناسایی را غیراخلاقی تشخیص می‌دهد و مسدود می‌سازد. پس مهاجمانی که می‌خواهند از این چت بات استفاده کنند باید خلاقیت بیشتری به خرج دهند.

منبع: The Register
این مقاله نوشته جسیکا لایونز هاردکسل است که در ۴ آوریل سال جاری در وب‌سایت The Register منتشر شده است.