图:恶意软件PromptLock的Lua代码生成请求示例
ESET发现一个正在开发阶段的新型勒索软件PromptLock,其恶意行为代码由一个私有部署的大模型动态生成,预计未来有可能根据失陷环境量身定制攻击代码。
一种新型勒索软件日前被发现。据称这是首个利用本地AI模型生成恶意组件的勒索软件变种。
该恶意软件由ESET研究团队发现并命名为“PromptLock”。它通过Ollama API调用OpenAI的gpt-oss:20b模型,生成定制化、跨平台的Lua脚本,用于其攻击链。
目前,这款恶意软件仍处于概念验证(PoC)阶段,尚未在真实攻击中被部署。然而,其新颖的架构代表了恶意软件设计出现重大变化,令人担忧。它揭示了威胁行为者如何开始集成本地大模型(LLM),打造更具动态性、更难以检测的攻击手段。
动态代码生成
PromptLock由Golang编写,在VirusTotal数据库中发现了其Windows和Linux两个变种。
与传统勒索软件不同,PromptLock的核心机制并非依赖预编译的恶意逻辑。它在程序中内置了硬编码的提示词(prompt),并将这些提示词输入到本地运行的gpt-oss:20b模型中。对其网络流量的分析显示,恶意软件会向本地Ollama API端点(172.42.0[.]253:8443)发送POST请求。这些请求包含的指令要求AI模型充当“Lua代码生成器”。
图:恶意软件PromptLock的Lua代码生成提示词
这些提示词驱动模型生成用于特定恶意活动的脚本,包括:
系统枚举:生成Lua代码以收集系统信息,如操作系统类型、用户名、主机名和当前工作目录。提示词特别要求具备Windows、Linux和macOS的跨平台兼容性。
文件系统检查:编写脚本扫描本地文件系统,识别目标文件并分析内容,指令明确要求定位个人身份信息(PII)或敏感数据。
数据渗出与加密:在识别到目标文件后,AI生成的脚本会被执行,以完成数据窃取并进行后续加密。
选择Lua语言是一个重大决策。由于Lua轻量且易于嵌入,所生成的脚本能够在多种操作系统上无缝运行,尽量扩大恶意软件的潜在攻击范围。
在加密模块方面,PromptLock采用SPECK 128位分组加密算法。这是一种轻量级算法,非常适合此类灵活的攻击模型。
尚处于开发阶段
ESET研究人员指出,多项迹象显示PromptLock仍处于开发阶段。例如,其中定义了一个用于数据销毁的函数,但尚未真正实现。
更引人注目的是,在某些提示词中竟然出现了一个异常信息:一个比特币地址,看似与比特币匿名创始人中本聪有关。虽然这极有可能只是一个占位符或混淆手段,但也为这一早期阶段的恶意软件增添了独特的“标记”。
尽管恶意软件仍处于概念验证阶段,ESET依然选择公开相关发现。研究人员表示:“我们有责任将此类发展趋势及时告知网络安全社区”,并强调必须积极应对这一新兴威胁路径。
随着本地大模型日益强大且更易获取,安全团队必须为未来做好准备:恶意软件将不再是静态的,而是能够在受害者机器上动态生成。
参考资料:cybersecuritynews.com
卫星网络遭精准攻击!伊朗关键货运船队海上失联细节披露
图:披露材料显示,遭遇攻击时部分船只位于公海上
知名黑客组织Lab-Dookhtegan披露了近期袭击伊朗64艘邮轮与货轮的大量数据,揭示了一起以网络攻击实施战略打击的高水平行动。
黑客组织Lab-Dookhtegan连续数月对伊朗基础设施展开系统性攻击。近日,他们主动联系独立网络间谍调查员Nariman Gharib,披露了一起最新行动的细节。就在8月,他们发动了一轮大规模打击。
今年3月,他们曾对116艘伊朗船只发起攻击破坏通信,以此展示了自己的实力。他们公布的新一轮行动证据更为惊人:64艘船彻底与外界失联,导航系统被清空,数字化破坏如此严重,以至于部分船只可能数月内都无法恢复。
此次攻击目标涵盖39艘油轮和25艘货轮,这些船只均隶属于受制裁的伊朗航运巨头伊朗国家油运公司(NITC)和伊朗国家航运公司(IRISL)。尽管媒体仅以“船只通讯受干扰”作为标题,但技术证据揭示的却是一段更黑暗的故事。
入侵技术细节
黑客们并未直接入侵船只系统。那几乎不可能实现,因为必须同时攻破分布在全球数十艘船上的终端。相反,他们选择了更好的突破口:Fanava集团,一家伊朗IT公司,正好为整个船队提供卫星通讯服务。
图:Fanava集团数据
黑客分享的截图显示,他们在运行iDirect卫星软件的Linux终端上取得了root权限。该系统使用的是2.6.35版本的内核。这在网络安全标准下几乎是“古董级”的存在。软件漏洞之多,甚至超过了老年人使用的Internet Explorer浏览器。
有趣的是,他们并未止步于一次入侵。数据库转储文件显示,他们绘制了整个船队的通信全景图,对每艘船的调制解调器逐一标记。MySQL查询记录中提取了包括Touska、Mahnam、Zardis在内的数十艘船的相关数据。每条记录都包含船只的调制解调器序列号、网络ID等关键信息。这几乎相当于掌握了一份完整的伊朗海事通信网络蓝图。
在系统清单中,他们特别盯上了一款名为“Falcon”的软件。这是维系所有卫星链路的核心程序,可以认为是船只通信系统的核心。一旦Falcon停摆,船只便会彻底与外界失联:无法收发邮件、无法更新天气、无法与港口协调,什么都没有。
邮件日志揭示了此次攻击行动细节。时间戳显示,他们最早在5月和6月就已取得访问权限。这意味着Lab-Dookhtegan并非3月短暂行动后便抽身离去,而是在伊朗的海事网络中整整潜伏了5个月。他们不仅保持着持久访问,还能够随时开关系统,甚至可能实时监控所有经过的通信。
从数月间不同时间点触发的“节点宕机通知”可以看出,黑客们在反复测试控制权,确认自己始终握有“钥匙”。然而到了8月,他们不再只是测试,而是选择发动一次真正的“火力打击”。
海上焦土战术
攻击者的目的远不止干扰运营,而是企图制造不可逆的损毁。部分日志显示了具有系统性数据清除效果的命令:
dd if=devzero of=devmmcblk0p1 bs=1M
对非技术人员而言,这几乎等同于用铁锤砸烂船上的通信设备。黑客用零覆盖了6个不同的存储分区,所有内容都被彻底抹除,包括导航日志、消息存档、系统配置,甚至用于远程修复的恢复分区。
图:概念验证(PoC)
想象一下,一名航行在印度洋深处的船长,突然发现卫星终端不仅离线,甚至整个系统“失去了大脑”。他无法修复,岸上的IT团队也无法远程解决,最近的港口可能还需要几天航程才能抵达。
更糟糕的是,黑客不仅切断数据通信,还窃取了整个IP电话系统的配置。黑客提供的一份电子表格中包含电话号码、IP地址,以及最令人尴尬的部分:以明文存储的密码,例如“1402@Argo”和“1406@Diamond”。
凭借这些数据,攻击者完全可能监听船只与港口之间的对话,冒充船只身份,甚至直接切断语音通信,从而制造更大的混乱。
事件影响极大
NITC和IRISL绝非普通航运公司,而是伊朗规避制裁体系的核心支柱。NITC的油轮常常关闭追踪系统,暗中将石油运往他国;而IRISL被大多数国家与组织(美国、欧盟、联合国)列入制裁名单,理由是它参与支持伊朗的核计划。
这些船只本就隐匿于阴影之中,而如今它们更是被困在阴影里:无法向国内传递信息,无法正常导航,甚至在遇险时也无法发出求救信号。
图:攻击发生时的船只位置
这是Lab-Dookhtegan今年的第二次攻击。该组织声称,早在3月他们就曾干扰过116艘船只,并将行动时间与美国在也门打击胡塞武装的军事行动刻意同步。而这一次,攻击则与美国财政部将13家涉伊朗石油交易的公司列入制裁名单的时点高度重合。
恢复难度极高
公开报道中遗漏的关键细节在于:这类损坏并非简单重启即可恢复。船只必须经过物理层面的修复。修复工作需要技术人员登船,在港口对整个通信系统进行从零开始的重装。每艘船的停运周期以周计,甚至可能长达数月。
对于一支长期被制裁压迫、依赖低调与精密协调以避免遭扣押的船队而言,这无疑是毁灭性打击。没有通信,就无法规避制裁;没有导航,就无法运输石油;若遭遇事故,更是连求救信号都无法发出。
黑客们非常清楚自己在做什么。这是一次精准打击,目的就是在最不利的时刻,令伊朗的海上行动全面瘫痪。
根据现有证据,他们的成功远远超过了外界公开报道所揭示的程度。
参考资料:narimangharib.com
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...