点击上方蓝色文字关注我们

今日全球网安资讯摘要

特别关注

GitHub 推出全新 AI 功能，可自动修复代码漏洞
勒索软件为何总能“复活”？
从深度伪造到恶意软件：网络安全迎来AI新挑战

特别关注

GitHub 推出全新 AI 功能，可自动修复代码漏洞

标签：GitHub ,漏洞修复

近日，GitHub 推出了一项新的 AI 功能，能够有效提升编码时的漏洞修复速度。目前该功能已进入公开测试阶段，并在 GitHub 高级安全（GHAS）客户的所有私有软件源中自动启用。

该功能名为代码扫描自动修复，可利用 Copilot 与 CodeQL（注：CodeQL 是 GitHub 开发的代码分析引擎，用于自动执行安全检查）发现你的代码中可能存在漏洞或错误，并且对其进行分类和确定修复的优先级。可帮助处理 JavaScript、Typescript、Java 和 Python 中超过 90% 的警报类型。

值得一提的是，“代码扫描”需要消耗 GitHub Actions 的分钟数。

据介绍，“代码扫描”还可防止开发者引入新问题，还支持在特定日期和时间进行扫描，或在存储库中发生特定事件（例如推送）时触发扫描。

如果 AI 发现你的代码中可能存在漏洞或错误，GitHub 就会在仓库中进行告警，并在用户修复触发警报的代码之后取消告警。

要监控你的仓库或组织的“代码扫描”结果，你可以使用 web 挂钩和 code scanning API。此外，“代码扫描”也可与输出静态分析结果交换格式 (SARIF) 数据的第三方代码扫描工具互操作。

目前，对“代码扫描”使用 CodeQL 分析有三种主要方法：

使用默认设置在存储库上快速配置对“代码扫描”的 CodeQL 分析。默认设置自动选择要分析的语言、要运行的查询套件和触发扫描的事件，如果需要也可以手动选择要运行的查询套件以及要分析的语言。启用 CodeQL 后，GitHub Actions 将执行工作流运行以扫描代码。
使用高级设置将 CodeQL 工作流添加到存储库。这会生成一个可自定义的工作流文件，该文件使用 github / codeql-action 运行 CodeQL CLI。
直接在外部 CI 系统中运行 CodeQL CLI 并将结果上传到 GitHub。

GitHub 的 Pierre Tempel 和 Eric Tooley 表示：出现漏洞时，修复建议将包括对建议修复的自然语言解释，以及代码建议的预览，开发人员可以接受建议、编辑或驳回。该功能提供的代码建议和解释可以包括对当前文件、多个文件和当前项目依赖关系的修改。采用这种方法可以大大降低安全团队每天必须处理的漏洞频率。

GitHub 承诺，这一 AI 系统可以修复其发现的三分之二以上的漏洞，所以一般来说开发人员无需主动编辑代码。该公司还承诺，代码扫描自动修复将覆盖其支持的语言中超过 90% 的告警类型，目前包括 JavaScript、Typescript、Java 和 Python。该公司计划在未来几个月内增加对其他语言的支持，下一步将支持 C# 和 Go。

不过，还需要注意的是，开发人员应始终核实安全问题是否已得到解决，因为 GitHub 的 AI 功能很可能会建议仅部分解决安全漏洞的修复方法，或无法保留预期的代码功能。

Tempel和Tooley补充道：代码扫描自动修复功能使开发人员在编写代码时更容易修复漏洞，从而帮助企业减缓这种 "应用程序安全债务 "的增长。

上个月，该公司还为所有公共源默认启用了推送保护功能，以防止在推送新代码时意外暴露访问令牌和API密钥等机密。

安全资讯

勒索软件为何总能“复活”？

标签：LockBit，勒索软件

众所周知，臭名昭著的勒索软件LockBit最近栽了个跟头，被一起11国参与的联合执法行动查封了基础设施，勒索服务被迫下线。

英国国家犯罪局（NCA）局长格雷姆·比加尔（Graeme Biggar）表示，执法行动不仅摧毁了 LockBit 的攻击基础设施，还获取了 LockBit 的所有源代码。官方用“捣毁”一词，力图凸显这次行动的所取得的胜利。美国司法部长梅里克·加兰（Merrick B. Garland）也对外宣称，执法行动已经剥夺了LockBit实施犯罪的机会。

但好景不长，仅仅过了不到一周时间，LockBit便从这一重创中光速复活，不仅重新上线勒索网站，并挂出5名受害者，还扬言要对政府部门打击报复。可见，这起执法行动虽然猛戳了一下LockBit的痛处，但从其自身角度出发，似乎只不过是吃一堑长一智的“成长经历”。

这也再一次印证了想要彻底铲除勒索软件，其难度之大，让世界都为之头痛。

光速复活的LockBit到底何德何能

LockBit勒索软件组织最初于2019年左右出现，自成立以来经历了两次重大迭代，不断改进其勒索软件功能和攻击手段，从最初的1.0版本演化为目前的3.0版本。SecureWorks 反威胁部门副总裁唐·史密斯（Don Smith）称LockBit已占据勒索软件市场四分之一的份额，而最主要的竞争对手BlackCat占有率仅为8.5%。美国国土安全部曾发布报告称，在2020年1月至2023年5月期间，黑客使用LockBit软件一共在美国作案1700余起，从中敲诈得手9100万美元。

而在今年2月，由英国国家犯罪局（NCA）牵头、代号为“克罗诺斯”的这起11国联合执法行动无疑是LockBit自诞生以来遭遇的一次重大打击。虽然目前看来，这场行动大概是以“失败”收场，但通过一些行动细节，仍能旁敲侧击地看出LockBit的厉害之处。

“克罗诺斯”行动细节

2024年2月20日， NCA在一份声明中宣布，通过渗透LockBit的网络，克罗诺斯行动成功控制了LockBit的服务，进而捣毁了整个犯罪团伙。NCA指出，执法机构已接管该组织用于构建和实施攻击的主要管理环境，以及该组织在暗网发布勒索信息和公开受害者文件的网站，该网站将成为执法机构发布LockBit调查信息的平台。

执法机构还对外释放了 LockBit 后端管理面板截图、与受害者谈判的截图，试图证明执法行动对 LockBit 的打击全面且深入。

LockBit勒索软件构建工具

执法人员同时还获得了大量与该组织相关的情报，包括与其合作过的组织，以及利用LockBit服务危害全球网络安全的信息。他们还在服务器中发现一些已支付赎金的受害者数据，可见尽管该组织声称删除数据后收取赎金，但显然该组织在背地里还留了一手。

此外，两名LockBit的参与者在波兰和乌克兰被捕，同时超过两百个与该组织有关的加密货币账户被冻结。执法机构还总共获取了超过1000条解密密钥。

作为该行动的主要参与者，美国司法部长梅里克·加兰发表视频称，在本次执法行动中，美国司法部以涉及使用勒索软件发动攻击等行为，对多名犯罪嫌疑人提出了指控。

无论是从技术还是人员，这项执法行动都堪称对LockBit实施了全方位的打击，但就是在这样的力度之下，LockBit仍能快速打赢复活赛，其“城府”之深可见一斑。

LockBit的复活赛

就在官方宣布“克罗诺斯”行动取得重大成果后不到一周的时间，LockBit就高调宣布回归，其管理员LockbitSupp “谦虚”地反思了自身为何会被攻击，将原因归结于“偷懒“没有及时修复系统中存在的漏洞，让执法人员钻了空子，并“感谢”这次执法行动让他幡然醒悟。

根据LockbitSupp透露的消息，执法人员利用了组织内的受害者管理和聊天面板服务器以及博客服务器所运行的PHP 8.1.2版本漏洞，该漏洞被追溯为CVE-2023-3824。LockBit表示已经更新了PHP服务器，并宣布将奖励在新版本中找到漏洞的人。

与之伴随的是新数据泄露网站的上线，LockBit列出了5名受害者的信息及数据泄露倒计时器，并在显著位置留了一篇给美国FBI的“小作文”，称由FBI参与的此次行动属于“狗急跳墙”，因为他们还未掌握组织核心成员的重要线索时“草草”发动了攻势，并推测这次执法行动与1月LockBit针对美国富尔顿县的攻击有关，该攻击很可能泄露了前总统唐纳德·特朗普的敏感信息，并将对即将到来的美国大选构成影响。而执法行动的目的之一就是封锁消息，阻止特朗普的文件被泄露。

LockBit写给FBI的“小作文”

LockBit还在文章中称执法行动获得的 1000 个解密密钥只是其“未受保护的解密器”库的一小部分。该类型解密器被用于低赎金攻击行动，总共约 20000 个，占整体密钥库的一半左右。换句话说，该组织觉得损失这1000个密钥无伤大雅。

为了避免被再次攻破，LockBit 计划升级其基础设施的安全性，改用手动发布解密器和试用文件解密，并在多个服务器上托管附属面板，根据信任级别为其合作伙伴提供访问权限。同时，为了出被联合执法行动针对的这口恶气，LockBit叫嚣未来攻击行动将集中针对政府网站，尤其是美国联邦调查局。

从深度伪造到恶意软件：网络安全迎来AI新挑战

标签：AI，恶意软件

如今，有越来越多的恶意行为者开始利用AI大语言模型开发能够绕过 YARA 规则的自我增强型恶意软件。

根据近日Recorded Future 发布的一份新报告：AI可以通过增强小型恶意软件变种的源代码来规避基于字符串的 YARA 规则，从而有效降低检测率。

目前，已经有威胁行为者在尝试使用AI技术来创建恶意软件代码片段、生成网络钓鱼电子邮件以及对潜在目标进行侦查。

这家网络安全公司称，它向一个大模型提交了一款与 APT28 黑客组织有关联的名为 STEELHOOK 的已知恶意软件，同时还提交了其 YARA 规则，要求它修改源代码以躲避检测，这样就能保持原有功能不变，而且生成的源代码在语法上没有错误。有了这种反馈机制，由大模型生成的经过修改的恶意软件就有可能躲过基于字符串的简单 YARA 规则的检测。

但这种方法也有局限性，比如大模型一次可处理的输入文本量，这使得它很难在较大的代码库中运行。

除了修改恶意软件以外，这种人工智能工具还可用于创建假冒高级管理人员和领导人的深度假冒程序，并大规模模仿合法网站开展影响行动。

此外，生成式AI还有望加快威胁行为者对关键基础设施进行侦察和收集信息的能力，这些信息可能在后续攻击中具有战略用途。

该公司表示：通过利用多模态模型，除了航拍图像外，ICS 和制造设备的公共图像和视频也可被解析和丰富，以找到更多的元数据，如地理位置、设备制造商、型号和软件版本。

事实上，微软和OpenAI上个月就警告称，APT28利用LLMs 获取了卫星通信协议、雷达成像技术和特定技术参数，这说明他们正在深入了解卫星能力。因此，微软和OpenAI建议各组织仔细检查可公开访问的描述敏感设备的图片和视频，并在必要时删除它们，以降低此类威胁带来的风险。

就在这项研究取得进展的同时，还有学者发现，有可能通过传递 ASCII 艺术形式的输入（例如，"如何制造炸弹"，其中 BOMB 一词是用字符 "*"和空格写成的），越狱 LLM 驱动的工具并生成有害内容。

这种实际攻击被称为 ArtPrompt，它利用 LLM 在识别 ASCII 艺术方面的低劣性能，绕过安全措施，从而诱发 LLM 的不良行为。

信源：From Deepfakes to Malware: AI's Expanding Role in Cyber Attacks (thehackernews.com)

资讯来自全球范围内媒体报道

版权归作者所有
文章内容仅代表作者独立观点

不代表网络盾牌立场
转载目的在于传递更多信息

如有侵权，请公众号后台联系