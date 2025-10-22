資安事件分析報告提供了對於特定漏洞（已被或可能被利用的漏洞）、惡意程式傳遞機制以及規避技術的全面洞察，雖然這種透明度對於資安社群來說至關重要，能幫助企業組織建立更有效的防禦措施，但同時也逐漸成為一把雙面刃。

資安公司經常發布詳細的資安事件分析，讓攻擊者的攻擊手法、技巧與程序（TTP）廣為人知並清晰可見。這些報告通常提供了對於特定漏洞（已被或可能被利用的漏洞）、惡意程式傳遞機制以及規避技術的全面洞察。雖然這種透明度對於資安社群來說至關重要，能幫助企業組織理解不斷演變的威脅環境並建立更有效的防禦措施，但同時它也逐漸成為一把雙面刃。

製造仿冒的攻擊活動產物

由於以下要點，發佈詳細資安報告的好處遠大於風險，包括：

‧提供防禦者最新的TTP，能促使採取前瞻性的安全措施。

‧提升整個資安社群的意識，強化集體防禦力。

‧推動並改進資安平台與偵測能力，至關重要。

‧促進威脅情報共享，惠及整個生態系統。

‧以可操作的情報支援事件回應團隊，提升其效能。

眾所周知，攻擊者會關注資安部落格，並閱讀有關自身或其他威脅行為者的文章。例如，在Conti資安外洩事件中，就包含了許多針對這類公開貼文的討論。攻擊者常常藉由這些貼文了解防禦方的技術，並利用這些資訊進行演進與改良。

為了測試這個產業提供詳細TTP的做法是否會促使惡意程式本身的誕生，本文進行了一項實驗。利用趨勢科技所發布的Earth Alux威脅行為者間諜工具組分析，嘗試使用AI輔助的「氛圍編碼」（Vibe-coding）來重建類似的能力。

在這個實驗中，使用Claude AI（Claude-4-Opus）結合Visual Studio Code以及Cline。這個平台很快就開始生成模擬攻擊者通訊模式的程式碼，包括第一階段VARGEIT後門的仿真、持續性機制以及RAILLOAD元件，如圖1～圖3所示。

圖1 使用Cline解讀報告中的TTP並開發程式碼。

圖2 AI程式生成工具接受任務並規劃惡意腳本的開發。

圖3 生成的惡意Python腳本。

初步檢視時，這種做法非常直接。繞過反惡意程式的防護機制同樣相當簡單，只需要透過一些在Hugging Face等平台上隨手可得的未過濾模型即可。第一個版本是以Python生成，之後為了增加彈性，又使用C語言重製程式碼。那麼它是否與原始程式碼相似？是的！至少在實際部落格文章中揭露的程度上，確實相當接近。

更重要的是，即使更為詳細的技術報告能幫助大型語言模型（LLM）生成更精準的程式碼，生成結果依舊不是完美的。對於大多數的資安報告來說，要將程式碼最終轉換為可運作的工具，仍需要一定程度的技術能力與理解。AI可以提供一個重要的起點，但要建立功能完整的惡意程式，專業技術依然不可或缺。

以攻擊文件作為假旗歸因的「配方」

在凸顯AI輔助程式碼生成的風險後，還必須思考這種能力如何讓歸因（Attribution）變得更加混亂。能夠直接複製資安報告中描述的惡意程式特徵，對威脅獵人與調查人員帶來重大挑戰。

在資安領域，歸因一直以來都是困難的。攻擊者長期以來就使用各種手法來混淆調查人員，例如：

‧重複利用軟體元件：使用與其他團體相關的工具。

‧基礎設施重用：故意使用與其他威脅行為者相關的網域與主機。

‧模仿TTP：抄襲其他團體的作業模式。

‧假旗行動：刻意添加誤導性的線索，例如北韓的APT團體會在其二進位檔中加入俄文相關的痕跡。

‧「就地取材」（Living-off-the-land）技術：只使用目標機器上現成的工具。

隨著氛圍編碼（Vibe-coding）工具的出現，建立仿冒型的攻擊行動變得更加容易。即便是非程式設計人員，也能透過簡單的文字指令生成某種程度上可運作的程式碼。這種「惡意程式開發民主化」對防禦者來說是全新的挑戰。

我們已經觀察到部分APT集團成為AI與LLM技術的早期採用者。隨著氛圍編碼工具（能基於文字描述快速建立軟體原型）不斷演進，這個趨勢很可能會加速。

總結來說，當今AI時代下，資安部落格可能帶來的兩大問題是：

‧讓攻擊者更容易複製其他團體的技術，並迅速追上進度。

‧讓歸因工作更加模糊，特別是當分析師僅依賴TTP或IoC（入侵指標）時。

威脅情報的發布應該停止嗎？

不！威脅情報的發布比以往任何時候都更為關鍵，但需要適應新的環境。對於防禦同仁與更廣泛的產業而言，這意味著：

‧犯罪集團採用AI讓資安防禦更加複雜。產業比以往更需要積極教育與支援讀者。來自部落格、由LLM生成的程式碼對攻擊者來說雖然是個不錯的起點，雖然它不完美。出版者在發表時應該考量LLM可能被濫用的方式，並測試其詳細描述會如何被利用。

‧氛圍編碼的複製讓歸因更模糊。這僅適用於那些對歸因持「原始觀點」、僅依靠TTP或IoC的人。建議遵循最佳實務，例如入侵分析的鑽石模型（Diamond Model of Intrusion Analysis），以及在對手、基礎設施、受害者與能力等維度上建立清晰的行為者建模。精密的歸因必須超越單純的指標比對。

‧威脅報告仍然至關重要。資安報告是為了強化先進資安平台防禦能力而開展研究的副產品，而這些平台永遠是第一道防線。透過這些報告進行的知識共享，能強化整個資安生態系統。

氛圍編碼（Vibe Coding或Vibe Programming）代表了一種由AI輔助程式碼生成所帶來的軟體開發範式轉移。這種方式大幅簡化並加速了可執行程式碼的撰寫過程，降低了非程式設計人員的門檻。然而，正如這裡示範的，它同時也讓所謂的「Prompt Kiddies」（缺乏深厚技術知識的使用者）濫用這項技術進行惡意行為。

在本文中，僅僅觸及了氛圍編碼生成工具在惡意用途上的潛在濫用。這些工具的演進為威脅獵人與防禦者帶來新的挑戰。單純依靠TTP進行攻擊關聯或盲目比對，將不再有效。防禦者需要採用領先的方法，依據攻擊者的意圖、目標與鎖定對象來進行攻擊群組化與歸因。

將歸因技術轉向專注於攻擊者的主要目標，可能會讓攻擊者更難植入假旗。不過，資安永遠是一場「貓捉老鼠」的遊戲，每向前一步，都意味著我們將進入另一個創新與調適的循環。

＜本文作者：Trend Micro Research 趨勢科技威脅研究中心本文出自趨勢科技資安部落格，是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作，發掘消費者及商業經營所面臨層出不窮的資安威脅，進行研究分析、分享觀點並提出建議。＞