人工智能技術無疑帶來了一些巨大的進步,也改變了網(wǎng)絡安全的狀態(tài)。網(wǎng)絡安全專業(yè)人士正在利用人工智能技術來打擊黑客。人工智能驅動的解決方案包括用于入侵檢測和預防的智能防火墻、新的惡意軟件預防工具,以及用于識別可能的網(wǎng)絡釣魚攻擊的風險評分算法。
不幸的是,并不只有網(wǎng)絡安全專業(yè)人員可以使用人工智能技術,黑客和惡意軟件創(chuàng)建者也在以更可怕的方式使用人工智能。
黑客如今已經(jīng)開發(fā)出具有復雜人工智能算法的惡意軟件來控制沙盒。這是網(wǎng)絡安全技術領域面臨的最新威脅。
人工智能驅動的惡意軟件是2022年沙盒面臨的最大威脅
沙盒如今已廣泛用于軟件開發(fā)工作流程中,可以在可能安全的環(huán)境中運行測試。如今,它們也可以嵌入到大多數(shù)網(wǎng)絡安全解決方案中,例如端點檢測和響應(EDR)、入侵防御系統(tǒng)(IPS)以及獨立的解決方案。
但是,沙盒也是網(wǎng)絡攻擊者的常見入口點。在沙盒運行多年的過程中,網(wǎng)絡攻擊者發(fā)現(xiàn)可以采用人工智能算法來注入惡意軟件,這些惡意軟件在沙盒環(huán)境中難以檢測,甚至可以將權限提升到受感染網(wǎng)絡的更高級別。
更令人擔憂的是,逃避沙盒的技術隨著機器學習的進步不斷發(fā)展,對全球范圍內(nèi)的企業(yè)構成越來越大的威脅。以下回顧一下截至2022年初使用最廣泛的攻擊沙盒的惡意軟件。
識別人類行為
在通常情況下,用戶偶爾會使用沙盒。例如當需要測試不受信任的軟件時。因此,網(wǎng)絡攻擊者已經(jīng)使用機器學習來開發(fā)新的惡意軟件,這些惡意軟件能夠跟蹤用戶交互,并且在需要時才會激活。
當然,有一些方法可以采用人工智能模擬用戶的行為,比如對鼠標點擊和對話框的智能響應?;谖募纳澈锌梢宰詣舆\行,無需工程師做任何事情,但很難偽造真實用戶將執(zhí)行的有意義的操作。最新針對沙盒的惡意軟件可以區(qū)分真實用戶交互和虛假用戶交互,更重要的是,甚至在觀察到某個真實用戶行為后觸發(fā)。
例如,Trojan.APT.BaneChant被編程為在鼠標點擊異??鞎r等待。但是,它會在他們跟蹤到一定數(shù)量的較慢點擊后激活,例如以適中的速度點擊三下鼠標左鍵,這更有可能是用戶操作的。某些惡意軟件也認為文檔滾動是人為操作的。它可以在用戶將文檔滾動到第二頁后激活。檢測此類惡意軟件特別棘手,這就是為什么敏捷的SOC團隊通過實施SOC Prime的“檢測即代碼”平臺等解決方案來建立威脅檢測規(guī)則的持續(xù)更新過程的原因,他們可以在其中找到最準確和最新的內(nèi)容。例如,DevilsTongue惡意軟件具有跨供應商檢測規(guī)則,通常可以執(zhí)行內(nèi)核代碼而不會被沙盒捕獲。
知道他們在哪里
通過掃描設備ID和MAC地址等詳細信息,惡意軟件可以通過復雜的人工智能算法指示虛擬化,然后針對已知虛擬化供應商的封鎖列表運行它們。之后,惡意軟件會檢查可用的CPU內(nèi)核數(shù)量、安裝的內(nèi)存量和硬盤大小。在虛擬機內(nèi)部,這些值低于物理系統(tǒng)中的值。因此,在沙盒所有者運行動態(tài)分析之前,惡意軟件可能會保持靜止狀態(tài)并隱藏起來。盡管一些沙盒供應商能夠隱藏他們的系統(tǒng)規(guī)范,以便惡意軟件無法掃描它們。
說到沙盒分析工具,一些惡意軟件類型(如Choppestick)可以通過掃描分析環(huán)境來識別它們是否在沙盒中。這樣的環(huán)境被認為對網(wǎng)絡攻擊者來說風險太大,所以大多數(shù)病毒在識別時不會激活。他們滲透的另一種方式是發(fā)送較小的有效載荷,從而在執(zhí)行全面攻擊之前測試受害者的系統(tǒng)。
正如人們可能猜到的那樣,惡意軟件可能會通過人工智能工具掃描各種系統(tǒng)功能,人工智能工具經(jīng)過訓練可以識別底層的數(shù)字基礎設施。例如,他們可以尋找數(shù)字簽名系統(tǒng),以了解有關計算機配置的信息,或掃描操作系統(tǒng)中的活動進程,以查看是否有防病毒軟件正在運行。
如果惡意軟件被編程為檢測系統(tǒng)重新啟動,它將僅在該事件發(fā)生后激活。重啟觸發(fā)器還可以區(qū)分真實重啟和模擬重啟,因此虛擬機通常無法欺騙此類機器人而在虛假重啟時暴露自己。
規(guī)劃完美時機
人工智能還通過完善網(wǎng)絡攻擊時機使惡意軟件變得更加危險。基于時間的技術是沙盒規(guī)避中最常見的技術之一。沙盒通常不會全天候工作,因此它們掃描威脅的時間有限。網(wǎng)絡攻擊者利用這一功能來植入惡意軟件,這些惡意軟件在沙盒處于活動狀態(tài)時處于休眠狀態(tài),并在沙盒關閉時執(zhí)行攻擊。例如,像FatDuke這樣的惡意軟件可以運行延遲算法,利用空閑CPU周期,并等待沙盒關閉。然后,它激活實際的有效載荷。
在代碼啟動之前,不太復雜的惡意軟件示例只會有預設的時間要求。例如,GoldenSpy在進入系統(tǒng)兩小時后激活。同樣,“邏輯炸彈”技術意味著惡意代碼在特定日期和時間執(zhí)行。邏輯炸彈通常只在最終用戶的設備上激活。為此,他們內(nèi)置了用于系統(tǒng)重啟和人機交互的掃描儀。
隱藏痕跡
一旦惡意軟件感染了目標系統(tǒng),就會想要隱藏其存在的證據(jù)。如今有多種技術可以幫助網(wǎng)絡犯罪分子實現(xiàn)這一目標。人工智能使惡意軟件更容易修改自己的代碼,使其不受惡意軟件保護軟件和人工威脅篩查的影響。
網(wǎng)絡犯罪分子的主要目標之一是加密與指揮與控制(C&C)服務器的通信,以便他們可以通過小型后門安裝更多有效載荷。為此,他們可以使用域生成算法(DGA)頻繁更改站點IP等攻擊工件。一些例子包括Dridex、Pykspa和垂釣者開發(fā)工具包。另一個例子是Smoke Loader惡意軟件,它在不到兩周的時間內(nèi)改變了大約100個IP地址。在這種情況下,不需要硬編碼域名,因為它們很容易被檢測到。任何對受害者系統(tǒng)的訪問都很重要,即使它是一個沙盒。
大多數(shù)域生成算法(DGA)的維護成本都會增加,因此并非所有網(wǎng)絡攻擊者都能負擔得起。這就是為什么他們開發(fā)了其他不需要域生成算法(DGA)的方法。例如,DNSChanger惡意軟件會更改用戶DNS服務器的設置,使其連接到惡意的DNS,而不是互聯(lián)網(wǎng)服務提供商預先編程的DNS。
惡意軟件在沙盒中不被檢測到的另一種方法是以在這種特定環(huán)境中不可讀的格式加密數(shù)據(jù)。一些像Dridex這樣的木馬使用加密的API調(diào)用。Andromeda僵尸網(wǎng)絡和Ebowla框架使用多個密鑰對數(shù)據(jù)進行加密,以避免與服務器通信。Gauss網(wǎng)絡間諜工具包使用特定的路徑和文件夾組合來生成嵌入式哈希和繞過檢測。
黑客將繼續(xù)使用人工智能創(chuàng)建更具破壞性的惡意軟件來攻擊沙盒
人工智能技術在精明的黑客手中一直是一種可怕的工具。他們正在使用它來控制各種應用程序中的沙盒。
長期以來,采用沙盒似乎是一個好主意:有什么比擁有一個可以安全地測試不受信任軟件的隔離環(huán)境更好的呢?然而,事實證明它們并不像開發(fā)人員希望的那樣完美。使用人工智能的黑客可以對它發(fā)起更可怕的攻擊。進程中斷、虛擬環(huán)境的特定標記和其他典型特征的存在為攻擊者打開了機會之窗,可以將他們的惡意軟件算法建立在沙盒的盲點上。
SOC工程師需要確保不僅定期掃描關鍵資產(chǎn)是否存在惡意軟件,而且還要確保他們組織中使用的沙盒,尤其是在它們不活動的時候。為了成功維護安全態(tài)勢,并最大限度地減少入侵的機會,安全團隊應不斷使用新規(guī)則豐富檢測庫并更新現(xiàn)有堆棧,以便能夠識別不斷變異的惡意軟件。企業(yè)傾向于尋找可以每月從頭開始節(jié)省多達數(shù)百小時內(nèi)容研發(fā)的解決方案,并尋找優(yōu)化內(nèi)容創(chuàng)建的方法。這可以通過選擇可以快速開發(fā)、修改和翻譯規(guī)則的通用語言來實現(xiàn),例如Sigma。此外,利用Uncoder.IO等免費在線翻譯工具,可以將最新的Sigma檢測立即轉換為各種SIEM、EDR和XDR格式,從而幫助安全團隊節(jié)省更多的時間。
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。