СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
15 марта
#ИБ

Promptmorphism: LLM‑генерация загрузчиков усложняет обнаружение

Авторы вредоносного ПО внедряют новый подход — promptmorphism — который использует возможности больших языковых моделей (LLM) для итеративного обновления и радикального изменения реализации загрузчиков этапа 1. В результате защитникам приходится пересматривать привычные методы обнаружения и переходить от сигнатур к более глубокой поведенческой аналитике.

В чем суть promptmorphism?

Promptmorphism — это не просто очередной вариант полиморфизма. В отличие от классического server-side polymorphism, который фокусируется на изменении внешнего представления артефакта (упаковка, шифрование), promptmorphism фундаментально меняет реализацию загрузчика. Злоумышленники с помощью LLM реорганизуют структуры кода, заменяют API-интерфейсы и переписывают вспомогательную логику, сохраняя при этом функциональное поведение вредоносной цепочки.

Как это работает

  • Использование LLM для генерации новых реализаций кода на основе подсказок;
  • Итеративные изменения: небольшие правки подсказок или выборки приводят к множеству вариаций благодаря вероятностной природе LLM;
  • Перепрофилирование общих загрузчиков — создание «одноразовых» (one-shot) версий, которые выступают оболочкой для более сложных payload;
  • Смена API и реорганизация логики вместо простого обфускирования или применения packer’ов.

«Разработчики вредоносного ПО используют promptmorphism для создания “одноразовых” загрузчиков, которые служат просто оболочкой для более сложных полезных нагрузок.»

Где уже наблюдаются эффекты

Наиболее типичное проявление promptmorphism встречается в экосистемах loader-as-a-service (LaaS), где общий загрузчик постоянно обновляется и перепрофилируется в рамках разных кампаний. Такая тактика позволяет злодеям размывать границы обнаружения — файлы выглядят слегка по‑разному, но выполняют те же задачи: доставка и запуск вредоносных модулей. В качестве примеров атак, куда интегрируются такие загрузчики, упоминаются Wincir и Stealc.

Последствия для защитников

Promptmorphism значительно усложняет работу систем, основанных на статических сигнатурах и классическом детектировании по артефактам. Однако это не делает обнаружение невозможным. Переход к генерации множества уникальных реализаций потребовал переосмысления подходов к аналитику и мониторингу.

Рекомендации по защите

  • Сфокусироваться на поведенческом анализе: выявлять последовательности действий, характерные для доставки, закрепления и исполнения;
  • Искать устойчивые привязки (behavioral anchors) — элементы поведения, которые остаются неизменными при разных итерациях загрузчиков;
  • Сопоставлять инфраструктуру кампаний и методы доставки для выявления общих шаблонов между вариациями;
  • Интегрировать телеметрию процессов, мониторинг API-взаимодействий и контрольные точки исполнения для обнаружения отклонений;
  • Развивать способности Threat Hunting, ориентированные на цепочки событий и корреляцию между инцидентами.

Ограничения и возможности атакующих

Хотя promptmorphism предоставляет злоумышленникам гибкость и увеличивает нагрузку на защиту, у метода есть объективные ограничения. Вероятностная природа вывода LLM приводит к вариациям, но не устраняет необходимости в устойчивых механизмах доставки и реализации функционала. Это означает, что у аналитиков остаются точки для корреляции и детектирования, если они переводят упор с сигнатур на поведение и инфраструктуру кампаний.

Вывод

Внедрение promptmorphism отмечает значительный сдвиг в развитии вредоносного ПО: злоумышленники уходят от простого обфускирования к генерации новых реализаций с помощью LLM. Защитникам необходимо адаптироваться — усиливать поведенческий анализ, искать неизменные контрольные точки между итерациями загрузчиков и совершенствовать методы сопоставления инфраструктуры. Только комплексный подход, ориентированный на поведение и кампании в целом, позволит эффективно противостоять этой растущей угрозе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: