資安事件分析報告提供了對於特定漏洞(已被或可能被利用的漏洞)、惡意程式傳遞機制以及規避技術的全面洞察,雖然這種透明度對於資安社群來說至關重要,能幫助企業組織建立更有效的防禦措施,但同時也逐漸成為一把雙面刃。
資安公司經常發布詳細的資安事件分析,讓攻擊者的攻擊手法、技巧與程序(TTP)廣為人知並清晰可見。這些報告通常提供了對於特定漏洞(已被或可能被利用的漏洞)、惡意程式傳遞機制以及規避技術的全面洞察。雖然這種透明度對於資安社群來說至關重要,能幫助企業組織理解不斷演變的威脅環境並建立更有效的防禦措施,但同時它也逐漸成為一把雙面刃。
製造仿冒的攻擊活動產物
由於以下要點,發佈詳細資安報告的好處遠大於風險,包括:
‧提供防禦者最新的TTP,能促使採取前瞻性的安全措施。
‧提升整個資安社群的意識,強化集體防禦力。
‧推動並改進資安平台與偵測能力,至關重要。
‧促進威脅情報共享,惠及整個生態系統。
‧以可操作的情報支援事件回應團隊,提升其效能。
眾所周知,攻擊者會關注資安部落格,並閱讀有關自身或其他威脅行為者的文章。例如,在Conti資安外洩事件中,就包含了許多針對這類公開貼文的討論。攻擊者常常藉由這些貼文了解防禦方的技術,並利用這些資訊進行演進與改良。
為了測試這個產業提供詳細TTP的做法是否會促使惡意程式本身的誕生,本文進行了一項實驗。利用趨勢科技所發布的Earth Alux威脅行為者間諜工具組分析,嘗試使用AI輔助的「氛圍編碼」(Vibe-coding)來重建類似的能力。
在這個實驗中,使用Claude AI(Claude-4-Opus)結合Visual Studio Code以及Cline。這個平台很快就開始生成模擬攻擊者通訊模式的程式碼,包括第一階段VARGEIT後門的仿真、持續性機制以及RAILLOAD元件,如圖1~圖3所示。
圖1 使用Cline解讀報告中的TTP並開發程式碼。
圖2 AI程式生成工具接受任務並規劃惡意腳本的開發。
圖3 生成的惡意Python腳本。
初步檢視時,這種做法非常直接。繞過反惡意程式的防護機制同樣相當簡單,只需要透過一些在Hugging Face等平台上隨手可得的未過濾模型即可。第一個版本是以Python生成,之後為了增加彈性,又使用C語言重製程式碼。那麼它是否與原始程式碼相似?是的!至少在實際部落格文章中揭露的程度上,確實相當接近。
更重要的是,即使更為詳細的技術報告能幫助大型語言模型(LLM)生成更精準的程式碼,生成結果依舊不是完美的。對於大多數的資安報告來說,要將程式碼最終轉換為可運作的工具,仍需要一定程度的技術能力與理解。AI可以提供一個重要的起點,但要建立功能完整的惡意程式,專業技術依然不可或缺。
以攻擊文件作為假旗歸因的「配方」
在凸顯AI輔助程式碼生成的風險後,還必須思考這種能力如何讓歸因(Attribution)變得更加混亂。能夠直接複製資安報告中描述的惡意程式特徵,對威脅獵人與調查人員帶來重大挑戰。
在資安領域,歸因一直以來都是困難的。攻擊者長期以來就使用各種手法來混淆調查人員,例如:
‧重複利用軟體元件:使用與其他團體相關的工具。
‧基礎設施重用:故意使用與其他威脅行為者相關的網域與主機。
‧模仿TTP:抄襲其他團體的作業模式。
‧假旗行動:刻意添加誤導性的線索,例如北韓的APT團體會在其二進位檔中加入俄文相關的痕跡。
‧「就地取材」(Living-off-the-land)技術:只使用目標機器上現成的工具。
隨著氛圍編碼(Vibe-coding)工具的出現,建立仿冒型的攻擊行動變得更加容易。即便是非程式設計人員,也能透過簡單的文字指令生成某種程度上可運作的程式碼。這種「惡意程式開發民主化」對防禦者來說是全新的挑戰。
我們已經觀察到部分APT集團成為AI與LLM技術的早期採用者。隨著氛圍編碼工具(能基於文字描述快速建立軟體原型)不斷演進,這個趨勢很可能會加速。
總結來說,當今AI時代下,資安部落格可能帶來的兩大問題是:
‧讓攻擊者更容易複製其他團體的技術,並迅速追上進度。
‧讓歸因工作更加模糊,特別是當分析師僅依賴TTP或IoC(入侵指標)時。
威脅情報的發布應該停止嗎?
不!威脅情報的發布比以往任何時候都更為關鍵,但需要適應新的環境。對於防禦同仁與更廣泛的產業而言,這意味著:
‧犯罪集團採用AI讓資安防禦更加複雜。產業比以往更需要積極教育與支援讀者。來自部落格、由LLM生成的程式碼對攻擊者來說雖然是個不錯的起點,雖然它不完美。出版者在發表時應該考量LLM可能被濫用的方式,並測試其詳細描述會如何被利用。
‧氛圍編碼的複製讓歸因更模糊。這僅適用於那些對歸因持「原始觀點」、僅依靠TTP或IoC的人。建議遵循最佳實務,例如入侵分析的鑽石模型(Diamond Model of Intrusion Analysis),以及在對手、基礎設施、受害者與能力等維度上建立清晰的行為者建模。精密的歸因必須超越單純的指標比對。
‧威脅報告仍然至關重要。資安報告是為了強化先進資安平台防禦能力而開展研究的副產品,而這些平台永遠是第一道防線。透過這些報告進行的知識共享,能強化整個資安生態系統。
氛圍編碼(Vibe Coding或Vibe Programming)代表了一種由AI輔助程式碼生成所帶來的軟體開發範式轉移。這種方式大幅簡化並加速了可執行程式碼的撰寫過程,降低了非程式設計人員的門檻。然而,正如這裡示範的,它同時也讓所謂的「Prompt Kiddies」(缺乏深厚技術知識的使用者)濫用這項技術進行惡意行為。
在本文中,僅僅觸及了氛圍編碼生成工具在惡意用途上的潛在濫用。這些工具的演進為威脅獵人與防禦者帶來新的挑戰。單純依靠TTP進行攻擊關聯或盲目比對,將不再有效。防禦者需要採用領先的方法,依據攻擊者的意圖、目標與鎖定對象來進行攻擊群組化與歸因。
將歸因技術轉向專注於攻擊者的主要目標,可能會讓攻擊者更難植入假旗。不過,資安永遠是一場「貓捉老鼠」的遊戲,每向前一步,都意味著我們將進入另一個創新與調適的循環。
<本文作者:Trend Micro Research 趨勢科技威脅研究中心本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>