人工智能技術無疑帶來了一些巨大的進步,也改變了網絡安全的狀態。網絡安全專業人士正在利用人工智能技術來打擊黑客。人工智能驅動的解決方案包括用于入侵檢測和預防的智能防火墻、新的惡意軟件預防工具,以及用于識別可能的網絡釣魚攻擊的風險評分算法。
不幸的是,并不只有網絡安全專業人員可以使用人工智能技術,黑客和惡意軟件創建者也在以更可怕的方式使用人工智能。
黑客如今已經開發出具有復雜人工智能算法的惡意軟件來控制沙盒。這是網絡安全技術領域面臨的最新威脅。
人工智能驅動的惡意軟件是2022年沙盒面臨的最大威脅
沙盒如今已廣泛用于軟件開發工作流程中,可以在可能安全的環境中運行測試。如今,它們也可以嵌入到大多數網絡安全解決方案中,例如端點檢測和響應(EDR)、入侵防御系統(IPS)以及獨立的解決方案。
但是,沙盒也是網絡攻擊者的常見入口點。在沙盒運行多年的過程中,網絡攻擊者發現可以采用人工智能算法來注入惡意軟件,這些惡意軟件在沙盒環境中難以檢測,甚至可以將權限提升到受感染網絡的更高級別。
更令人擔憂的是,逃避沙盒的技術隨著機器學習的進步不斷發展,對全球范圍內的企業構成越來越大的威脅。以下回顧一下截至2022年初使用最廣泛的攻擊沙盒的惡意軟件。
識別人類行為
在通常情況下,用戶偶爾會使用沙盒。例如當需要測試不受信任的軟件時。因此,網絡攻擊者已經使用機器學習來開發新的惡意軟件,這些惡意軟件能夠跟蹤用戶交互,并且在需要時才會激活。
當然,有一些方法可以采用人工智能模擬用戶的行為,比如對鼠標點擊和對話框的智能響應。基于文件的沙盒可以自動運行,無需工程師做任何事情,但很難偽造真實用戶將執行的有意義的操作。最新針對沙盒的惡意軟件可以區分真實用戶交互和虛假用戶交互,更重要的是,甚至在觀察到某個真實用戶行為后觸發。
例如,Trojan.APT.BaneChant被編程為在鼠標點擊異常快時等待。但是,它會在他們跟蹤到一定數量的較慢點擊后激活,例如以適中的速度點擊三下鼠標左鍵,這更有可能是用戶操作的。某些惡意軟件也認為文檔滾動是人為操作的。它可以在用戶將文檔滾動到第二頁后激活。檢測此類惡意軟件特別棘手,這就是為什么敏捷的SOC團隊通過實施SOC Prime的“檢測即代碼”平臺等解決方案來建立威脅檢測規則的持續更新過程的原因,他們可以在其中找到最準確和最新的內容。例如,DevilsTongue惡意軟件具有跨供應商檢測規則,通常可以執行內核代碼而不會被沙盒捕獲。
知道他們在哪里
通過掃描設備ID和MAC地址等詳細信息,惡意軟件可以通過復雜的人工智能算法指示虛擬化,然后針對已知虛擬化供應商的封鎖列表運行它們。之后,惡意軟件會檢查可用的CPU內核數量、安裝的內存量和硬盤大小。在虛擬機內部,這些值低于物理系統中的值。因此,在沙盒所有者運行動態分析之前,惡意軟件可能會保持靜止狀態并隱藏起來。盡管一些沙盒供應商能夠隱藏他們的系統規范,以便惡意軟件無法掃描它們。
說到沙盒分析工具,一些惡意軟件類型(如Choppestick)可以通過掃描分析環境來識別它們是否在沙盒中。這樣的環境被認為對網絡攻擊者來說風險太大,所以大多數病毒在識別時不會激活。他們滲透的另一種方式是發送較小的有效載荷,從而在執行全面攻擊之前測試受害者的系統。
正如人們可能猜到的那樣,惡意軟件可能會通過人工智能工具掃描各種系統功能,人工智能工具經過訓練可以識別底層的數字基礎設施。例如,他們可以尋找數字簽名系統,以了解有關計算機配置的信息,或掃描操作系統中的活動進程,以查看是否有防病毒軟件正在運行。
如果惡意軟件被編程為檢測系統重新啟動,它將僅在該事件發生后激活。重啟觸發器還可以區分真實重啟和模擬重啟,因此虛擬機通常無法欺騙此類機器人而在虛假重啟時暴露自己。
規劃完美時機
人工智能還通過完善網絡攻擊時機使惡意軟件變得更加危險。基于時間的技術是沙盒規避中最常見的技術之一。沙盒通常不會全天候工作,因此它們掃描威脅的時間有限。網絡攻擊者利用這一功能來植入惡意軟件,這些惡意軟件在沙盒處于活動狀態時處于休眠狀態,并在沙盒關閉時執行攻擊。例如,像FatDuke這樣的惡意軟件可以運行延遲算法,利用空閑CPU周期,并等待沙盒關閉。然后,它激活實際的有效載荷。
在代碼啟動之前,不太復雜的惡意軟件示例只會有預設的時間要求。例如,GoldenSpy在進入系統兩小時后激活。同樣,“邏輯炸彈”技術意味著惡意代碼在特定日期和時間執行。邏輯炸彈通常只在最終用戶的設備上激活。為此,他們內置了用于系統重啟和人機交互的掃描儀。
隱藏痕跡
一旦惡意軟件感染了目標系統,就會想要隱藏其存在的證據。如今有多種技術可以幫助網絡犯罪分子實現這一目標。人工智能使惡意軟件更容易修改自己的代碼,使其不受惡意軟件保護軟件和人工威脅篩查的影響。
網絡犯罪分子的主要目標之一是加密與指揮與控制(C&C)服務器的通信,以便他們可以通過小型后門安裝更多有效載荷。為此,他們可以使用域生成算法(DGA)頻繁更改站點IP等攻擊工件。一些例子包括Dridex、Pykspa和垂釣者開發工具包。另一個例子是Smoke Loader惡意軟件,它在不到兩周的時間內改變了大約100個IP地址。在這種情況下,不需要硬編碼域名,因為它們很容易被檢測到。任何對受害者系統的訪問都很重要,即使它是一個沙盒。
大多數域生成算法(DGA)的維護成本都會增加,因此并非所有網絡攻擊者都能負擔得起。這就是為什么他們開發了其他不需要域生成算法(DGA)的方法。例如,DNSChanger惡意軟件會更改用戶DNS服務器的設置,使其連接到惡意的DNS,而不是互聯網服務提供商預先編程的DNS。
惡意軟件在沙盒中不被檢測到的另一種方法是以在這種特定環境中不可讀的格式加密數據。一些像Dridex這樣的木馬使用加密的API調用。Andromeda僵尸網絡和Ebowla框架使用多個密鑰對數據進行加密,以避免與服務器通信。Gauss網絡間諜工具包使用特定的路徑和文件夾組合來生成嵌入式哈希和繞過檢測。
黑客將繼續使用人工智能創建更具破壞性的惡意軟件來攻擊沙盒
人工智能技術在精明的黑客手中一直是一種可怕的工具。他們正在使用它來控制各種應用程序中的沙盒。
長期以來,采用沙盒似乎是一個好主意:有什么比擁有一個可以安全地測試不受信任軟件的隔離環境更好的呢?然而,事實證明它們并不像開發人員希望的那樣完美。使用人工智能的黑客可以對它發起更可怕的攻擊。進程中斷、虛擬環境的特定標記和其他典型特征的存在為攻擊者打開了機會之窗,可以將他們的惡意軟件算法建立在沙盒的盲點上。
SOC工程師需要確保不僅定期掃描關鍵資產是否存在惡意軟件,而且還要確保他們組織中使用的沙盒,尤其是在它們不活動的時候。為了成功維護安全態勢,并最大限度地減少入侵的機會,安全團隊應不斷使用新規則豐富檢測庫并更新現有堆棧,以便能夠識別不斷變異的惡意軟件。企業傾向于尋找可以每月從頭開始節省多達數百小時內容研發的解決方案,并尋找優化內容創建的方法。這可以通過選擇可以快速開發、修改和翻譯規則的通用語言來實現,例如Sigma。此外,利用Uncoder.IO等免費在線翻譯工具,可以將最新的Sigma檢測立即轉換為各種SIEM、EDR和XDR格式,從而幫助安全團隊節省更多的時間。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號