AI生成的Linux挖矿恶意软件"Koske"超越人工编写恶意软件

AI恶意软件不再只是噱头，其功能已经达到甚至超过传统人工开发恶意软件的典型能力。

最近，Aqua Nautilus的研究人员在一个蜜罐中捕获了一种新的Linux恶意软件，他们将其命名为"Koske"。这是一种加密货币挖矿程序，旨在识别受感染计算机的能力，然后运行优化的挖矿程序以赚取18种不同的加密货币，包括门罗币和乌鸦币。

根据Aqua Nautilus威胁情报总监Assaf Morag的说法，通过AI检测工具运行Koske显示它基本上100%是由AI生成的。即使粗略查看其代码也能明显得出这个结论：代码中散布着类似AI的注释，解释每个代码部分的功能，而代码结构本身具有某种人工难以描述的特质。

虽然在2025年AI恶意软件不再那么令人震惊，但Koske的突出之处在于它也很复杂——在某些方面比除最佳人工编写的恶意软件之外的所有恶意软件都更复杂。

“作为防御者，看到这种情况令人震惊，“Morag说。“如果过去有很多脚本小子的破碎代码，我们现在开始看到更好的代码，而且他们现在会更成功。”

AI指导的初始感染

Koske似乎通过互联网暴露服务器的错误配置到达受害者网络；例如，Aqua Nautilus观察到一次攻击利用了JupyterLab实例。为了隐藏其真实性质，它通过一个带有缩短URL的网站进行部署。

更明显的是，恶意软件在烟幕后面降落到系统上：AI生成的可爱熊猫图像。这不是隐写术的情况——相反，恶意可执行文件附加在有效JPEG图像的末尾以创建多语言文件。这些图像的目的更多是为了绕过安全软件，而不是服务于社会工程功能，安全软件可能不会像发现原始可执行文件那样扫描JPEG中的隐藏恶意软件。

即使到这个时候，在恶意软件开始运行之前，Morag已经看到了AI的影响。虽然他不确定，但由于交付机制考虑得非常周到，并且缺乏人类攻击者常见的怪癖或失误，他说：“我认为他们使用AI来规划整个攻击。这很可怕。”

Koske的工作原理

Koske使用层层技巧在目标系统中建立持久性和隐蔽性。它安装rootkit，安排cron作业，并修改Linux启动文件以确保在任何系统重启时启动。

也许最值得注意的是Koske顽强地强制与其命令和控制（C2）基础设施建立连接的方式。它使用几种不同的工具来检查更新和命令，如果这个过程因某种原因被阻止，不需要人类攻击者介入。相反，它将执行一系列故障排除步骤——重置和更改代理和域名系统（DNS）设置，删除防火墙规则等。如果这些步骤失败，Koske将自动搜索网络上的其他可能代理连接列表，然后进行暴力破解，直到其中一个允许它重新与其总部建立联系。

“我以前没有见过很多这样做的工具，“Morag承认。

虽然这样的功能原则上可以由人编写，但他说这需要作者是一个非常优秀的编码员——至少在过去是这样。“你需要了解很多资源，并能够找出一种方法，如果你无法从位置X下载，如何使用代理代替，“他说。“但现在有了AI，创建这种代码的门槛非常低。”

Morag从个人经验的角度发言。“创建蜜罐有点困难，因为你试图创建设计上配置错误或易受攻击的应用程序。所以在AI之前，我设法创建了这类应用程序，但更困难。需要两周时间。现在只需要我一两个小时，“他说。据他估计，“基于我在蜜罐方面的工作，我猜这些攻击者花了两个小时，也许三个小时来完善他们的代码。”