Nieuwe AI-malware kan Microsoft Defender omzeilen
Een nieuw proof-of-concept (PoC) dat volgende maand op Black Hat Las Vegas wordt gepresenteerd laat zien hoe gemakkelijk een aanvaller Microsoft Defender for Endpoint kan omzeilen zodra hij een groot taalmodel (LLM) slim traint.
Het concept werd ontwikkeld door Kyle Avery, principal offensive specialist bij het Nederlandse computerbeveiligingsbedrijf Outflank. In drie maanden tijd en voor minder dan 1.600 dollar leerde Avery het open-source-model Qwen 2.5 precies één ding: malware schrijven die Defender niet ziet.
AI leert zichzelf betere malware maken
Voor het experiment werd gebruikgemaakt van “reinforcement learning”, een techniek die AI traint door het systeem te straffen wanneer een fout wordt gemaakt en te belonen wanneer het goed gaat. Vaak worden op deze manier veel sneller resultaten geboekt. Bovendien moet je het model in dat geval ook geen voorbeelden voeden van malware die je wil bekomen, wat sowieso al moeilijk is.
Bij deze techniek draait het LLM in een sandbox naast Defender. Elke keer dat de gegenereerde payload alarmen triggert, krijgt het model straf, en elke bijna onzichtbare variant levert een beloning op. Na duizenden iteraties produceert het model nu code die in ongeveer 8% van de pogingen volledig onder de radar van Microsoft Defender blijft. Eens om de ongeveer 12 pogingen wordt er dus een “perfecte hit” afgeleverd en dat is akelig efficiënt. Bovendien bleef het succespercentage nog doorstijgen, waardoor momenteel niet duidelijk is waar het plafond precies ligt.
Gevaarlijke ontwikkeling
Hoewel hiermee AI nog niet doorbreekt als het ultieme malwarewapen, is het wel een gevaarlijke ontwikkeling die aantoont dat AI wel degelijk een hele hulp kan zijn voor cybercriminelen. Zij kunnen immers relatief goedkoop een AI-model trainen om succesvol malware af te leveren, terwijl AI ook voor heel wat andere criminele activiteiten een meerwaarde kan zijn.
Wat dit PoC specifiek aantoont, is wel dat het meer oplevert om een AI-model uitgebreid voor heel specifieke soorten van malware te trainen. Gewoon ChatGPT de opdracht geven om wat malware te schrijven volstaat dus niet. Er moet een gerichte focus zijn aan de hand van reinforcement learning, waarbij het AI-model zichzelf steeds meer in staat stelt om de gevraagde malware te creëren.
Het nadeel van deze aanpak is dat het tijd kost en bovendien slechts één specifiek resultaat oplevert. Wil je malware die een ander beveiligingssysteem kan omzeilen, dan moet je een model daar helemaal opnieuw voor trainen. Dat zal cybercriminelen vermoedelijk echter niet tegenhouden om in de toekomst meer en meer op deze manier te werk te gaan, wat meteen ook aantoont dat we ons tegen zulke dreigingen beter zullen moeten wapenen.
