悪意ある行為者は、悪意あるコードを急速に書き直すために、大規模言語モデルをますます利用しています。「プロンプトモルフィズム」と名付けられたこの戦略は、事実上無限の新規の初期段階ローダーの合成を促進します。従来の防御アーキテクチャが主に繰り返されるシグネチャとファイル間の構造的同質性を求めているため、このような戦術的操作は悪意あるキャンペーンの検出を深刻に混乱させます。
キネティックストライクの基本的なメカニクスは変わりません。キルチェーンの最初のコンポーネントはホスト上で発火し、一連の環境検証を実行してから、主要な悪意あるペイロードをダウンロードします。ただし、このローダーは現在、極めて使い捨て可能な機器と見なされています。キャンペーンの構築者の命令下で、大規模言語モデルは同一の基礎となるコードの新しい反復を絶えず生成します。最終的な目的が確固として同じままであるにもかかわらず、各離散的反復は、そのアーキテクチャ、関数の命名法、API呼び出しの順序構成、および実行ロジックにおいてわずかに異なります。
Gen Digitalの脅威研究チームの分析的先駆者は、「ローダー・アズ・ア・サービス」エコシステムに関する彼らの観察について説明します。ここで、単一の配信層は永続的な変異を経験し、異なるハッカー集団によってサポートされています。このようなデジタルルートを通じて、Wincirおよびstealcのような有害なアーキテクチャが豊富に配布されています。法医学的な解剖は、初期段階の運用ロジックが統一されたままであるが、そのデジタルパッケージは文字通り数日ごとに変態を経ていることを明らかにします。
異なるバリアント全体で、ペイロードは暗号化されたシール状態で実行可能なアーティファクト内に隔離されました。その後、16進数エンコーディングを使用した反復が登場し、後にペイロードは複数のシャードに分割され、実行の崖の上でのみ細心に再組み立てされました。別の反復では、テレメトリーは移動可能な実行可能(PE)ファイルの補足セクターに移動されるか、x64実行可能コードに直接組み込まれました。1つの特定の例では、アーキテクトは暗号化アルゴリズムを完全に変換するまで行き、AESの代わりにChaChaを使用しました。
このパラダイムは従来のポリモーフィズムから大きく異なります。歴史的には、デジタルな略奪者は主にコードの表面的なプレゼンテーションを変更し、パッカー、暗号化シール、または迷宮のような難読化で層状化しました。一方、プロンプトモルフィズムは、コード自体の包括的で基礎的なアーキテクチャの再構築を義務付けています。大規模言語モデルは、完全に異なるアーキテクチャの経路を通じて同一の機能を合成する力を持っており、それにより、バイトレベルの相同性を大幅に低下させ、悪意あるアーティファクトの自動クラスタリングを深刻に複雑化させます。
それにもかかわらず、このテクノロジーは、これらの有害なアーキテクチャを完全に無敵にはしません。このコード書き換えの痛烈な迅速性は、しばしばアーキテクチャエラーを生成し、運用の安定性を低下させ、不注意に余分な機能を注入します。その結果、専門家の先駆者は戦略的なピボットをアドバイスします。焦点はローダーの表面的な外観から離れ、キャンペーン全体の全体的な行動の振り付けに向けられるべきです。これには、ネットワークインフラストラクチャ、外部呼び出しのシーケンス、二次段階の取得を統治するメカニズム、およびその拡散の特異性が含まれます。
ドシエの設計者は、プロンプトモルフィズムを悪意のある操作の容赦ない超産業化の明白な前触れとして認識しています。無限の多くの第1段階バリアントの自動合成により、攻撃者は時間的な利点を精巧に独占することができ、一方、防御アーキテクチャは検出の堅牢なルールを形成するために異なるアーティファクトを結び付けることに苦しんでいます。
