網(wǎng)絡(luò)犯罪分子使用人工智能創(chuàng)建惡意軟件攻擊軟件中的沙盒
人們是否知道全球有42%的企業(yè)在2020年遭遇網(wǎng)絡(luò)攻擊?隨著網(wǎng)絡(luò)犯罪分子使用人工智能技術(shù)更有效地進(jìn)行網(wǎng)絡(luò)攻擊,這一數(shù)字將會上升。
人工智能技術(shù)無疑帶來了一些巨大的進(jìn)步,也改變了網(wǎng)絡(luò)安全的狀態(tài)。網(wǎng)絡(luò)安全專業(yè)人士正在利用人工智能技術(shù)來打擊黑客。人工智能驅(qū)動的解決方案包括用于入侵檢測和預(yù)防的智能防火墻、新的惡意軟件預(yù)防工具,以及用于識別可能的網(wǎng)絡(luò)釣魚攻擊的風(fēng)險評分算法。
不幸的是,并不只有網(wǎng)絡(luò)安全專業(yè)人員可以使用人工智能技術(shù),黑客和惡意軟件創(chuàng)建者也在以更可怕的方式使用人工智能。
人工智能驅(qū)動的惡意軟件是2022年沙盒面臨的最大威脅
沙盒如今已廣泛用于軟件開發(fā)工作流程中,可以在可能安全的環(huán)境中運(yùn)行測試。如今,它們也可以嵌入到大多數(shù)網(wǎng)絡(luò)安全解決方案中,例如端點(diǎn)檢測和響應(yīng)(EDR)、入侵防御系統(tǒng)(IPS)以及獨(dú)立的解決方案。
但是,沙盒也是網(wǎng)絡(luò)攻擊者的常見入口點(diǎn)。在沙盒運(yùn)行多年的過程中,網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)可以采用人工智能算法來注入惡意軟件,這些惡意軟件在沙盒環(huán)境中難以檢測,甚至可以將權(quán)限提升到受感染網(wǎng)絡(luò)的更高級別。
更令人擔(dān)憂的是,逃避沙盒的技術(shù)隨著機(jī)器學(xué)習(xí)的進(jìn)步不斷發(fā)展,對全球范圍內(nèi)的企業(yè)構(gòu)成越來越大的威脅。以下回顧一下截至2022年初使用最廣泛的攻擊沙盒的惡意軟件。
識別人類行為
在通常情況下,用戶偶爾會使用沙盒。例如當(dāng)需要測試不受信任的軟件時。因此,網(wǎng)絡(luò)攻擊者已經(jīng)使用機(jī)器學(xué)習(xí)來開發(fā)新的惡意軟件,這些惡意軟件能夠跟蹤用戶交互,并且在需要時才會激活。
當(dāng)然,有一些方法可以采用人工智能模擬用戶的行為,比如對鼠標(biāo)點(diǎn)擊和對話框的智能響應(yīng)。基于文件的沙盒可以自動運(yùn)行,無需工程師做任何事情,但很難偽造真實(shí)用戶將執(zhí)行的有意義的操作。最新針對沙盒的惡意軟件可以區(qū)分真實(shí)用戶交互和虛假用戶交互,更重要的是,甚至在觀察到某個真實(shí)用戶行為后觸發(fā)。
例如,Trojan.APT.BaneChant被編程為在鼠標(biāo)點(diǎn)擊異常快時等待。但是,它會在他們跟蹤到一定數(shù)量的較慢點(diǎn)擊后激活,例如以適中的速度點(diǎn)擊三下鼠標(biāo)左鍵,這更有可能是用戶操作的。某些惡意軟件也認(rèn)為文檔滾動是人為操作的。它可以在用戶將文檔滾動到第二頁后激活。檢測此類惡意軟件特別棘手,這就是為什么敏捷的SOC團(tuán)隊(duì)通過實(shí)施SOC Prime的“檢測即代碼”平臺等解決方案來建立威脅檢測規(guī)則的持續(xù)更新過程的原因,他們可以在其中找到最準(zhǔn)確和最新的內(nèi)容。例如,DevilsTongue惡意軟件具有跨供應(yīng)商檢測規(guī)則,通常可以執(zhí)行內(nèi)核代碼而不會被沙盒捕獲。
知道他們在哪里
通過掃描設(shè)備ID和MAC地址等詳細(xì)信息,惡意軟件可以通過復(fù)雜的人工智能算法指示虛擬化,然后針對已知虛擬化供應(yīng)商的封鎖列表運(yùn)行它們。之后,惡意軟件會檢查可用的CPU內(nèi)核數(shù)量、安裝的內(nèi)存量和硬盤大小。在虛擬機(jī)內(nèi)部,這些值低于物理系統(tǒng)中的值。因此,在沙盒所有者運(yùn)行動態(tài)分析之前,惡意軟件可能會保持靜止?fàn)顟B(tài)并隱藏起來。盡管一些沙盒供應(yīng)商能夠隱藏他們的系統(tǒng)規(guī)范,以便惡意軟件無法掃描它們。
說到沙盒分析工具,一些惡意軟件類型(如Choppestick)可以通過掃描分析環(huán)境來識別它們是否在沙盒中。這樣的環(huán)境被認(rèn)為對網(wǎng)絡(luò)攻擊者來說風(fēng)險太大,所以大多數(shù)病毒在識別時不會激活。他們滲透的另一種方式是發(fā)送較小的有效載荷,從而在執(zhí)行全面攻擊之前測試受害者的系統(tǒng)。
正如人們可能猜到的那樣,惡意軟件可能會通過人工智能工具掃描各種系統(tǒng)功能,人工智能工具經(jīng)過訓(xùn)練可以識別底層的數(shù)字基礎(chǔ)設(shè)施。例如,他們可以尋找數(shù)字簽名系統(tǒng),以了解有關(guān)計(jì)算機(jī)配置的信息,或掃描操作系統(tǒng)中的活動進(jìn)程,以查看是否有防病毒軟件正在運(yùn)行。
如果惡意軟件被編程為檢測系統(tǒng)重新啟動,它將僅在該事件發(fā)生后激活。重啟觸發(fā)器還可以區(qū)分真實(shí)重啟和模擬重啟,因此虛擬機(jī)通常無法欺騙此類機(jī)器人而在虛假重啟時暴露自己。
規(guī)劃完美時機(jī)
人工智能還通過完善網(wǎng)絡(luò)攻擊時機(jī)使惡意軟件變得更加危險。基于時間的技術(shù)是沙盒規(guī)避中最常見的技術(shù)之一。沙盒通常不會全天候工作,因此它們掃描威脅的時間有限。網(wǎng)絡(luò)攻擊者利用這一功能來植入惡意軟件,這些惡意軟件在沙盒處于活動狀態(tài)時處于休眠狀態(tài),并在沙盒關(guān)閉時執(zhí)行攻擊。例如,像FatDuke這樣的惡意軟件可以運(yùn)行延遲算法,利用空閑CPU周期,并等待沙盒關(guān)閉。然后,它激活實(shí)際的有效載荷。
在代碼啟動之前,不太復(fù)雜的惡意軟件示例只會有預(yù)設(shè)的時間要求。例如,GoldenSpy在進(jìn)入系統(tǒng)兩小時后激活。同樣,“邏輯炸彈”技術(shù)意味著惡意代碼在特定日期和時間執(zhí)行。邏輯炸彈通常只在最終用戶的設(shè)備上激活。為此,他們內(nèi)置了用于系統(tǒng)重啟和人機(jī)交互的掃描儀。
隱藏痕跡
一旦惡意軟件感染了目標(biāo)系統(tǒng),就會想要隱藏其存在的證據(jù)。如今有多種技術(shù)可以幫助網(wǎng)絡(luò)犯罪分子實(shí)現(xiàn)這一目標(biāo)。人工智能使惡意軟件更容易修改自己的代碼,使其不受惡意軟件保護(hù)軟件和人工威脅篩查的影響。
網(wǎng)絡(luò)犯罪分子的主要目標(biāo)之一是加密與指揮與控制(C&C)服務(wù)器的通信,以便他們可以通過小型后門安裝更多有效載荷。為此,他們可以使用域生成算法(DGA)頻繁更改站點(diǎn)IP等攻擊工件。一些例子包括Dridex、Pykspa和垂釣者開發(fā)工具包。另一個例子是Smoke Loader惡意軟件,它在不到兩周的時間內(nèi)改變了大約100個IP地址。在這種情況下,不需要硬編碼域名,因?yàn)樗鼈兒苋菀妆粰z測到。任何對受害者系統(tǒng)的訪問都很重要,即使它是一個沙盒。
大多數(shù)域生成算法(DGA)的維護(hù)成本都會增加,因此并非所有網(wǎng)絡(luò)攻擊者都能負(fù)擔(dān)得起。這就是為什么他們開發(fā)了其他不需要域生成算法(DGA)的方法。例如,DNSChanger惡意軟件會更改用戶DNS服務(wù)器的設(shè)置,使其連接到惡意的DNS,而不是互聯(lián)網(wǎng)服務(wù)提供商預(yù)先編程的DNS。
惡意軟件在沙盒中不被檢測到的另一種方法是以在這種特定環(huán)境中不可讀的格式加密數(shù)據(jù)。一些像Dridex這樣的木馬使用加密的API調(diào)用。Andromeda僵尸網(wǎng)絡(luò)和Ebowla框架使用多個密鑰對數(shù)據(jù)進(jìn)行加密,以避免與服務(wù)器通信。Gauss網(wǎng)絡(luò)間諜工具包使用特定的路徑和文件夾組合來生成嵌入式哈希和繞過檢測。
黑客將繼續(xù)使用人工智能創(chuàng)建更具破壞性的惡意軟件來攻擊沙盒
人工智能技術(shù)在精明的黑客手中一直是一種可怕的工具。他們正在使用它來控制各種應(yīng)用程序中的沙盒。
長期以來,采用沙盒似乎是一個好主意:有什么比擁有一個可以安全地測試不受信任軟件的隔離環(huán)境更好的呢?然而,事實(shí)證明它們并不像開發(fā)人員希望的那樣完美。使用人工智能的黑客可以對它發(fā)起更可怕的攻擊。進(jìn)程中斷、虛擬環(huán)境的特定標(biāo)記和其他典型特征的存在為攻擊者打開了機(jī)會之窗,可以將他們的惡意軟件算法建立在沙盒的盲點(diǎn)上。
SOC工程師需要確保不僅定期掃描關(guān)鍵資產(chǎn)是否存在惡意軟件,而且還要確保他們組織中使用的沙盒,尤其是在它們不活動的時候。為了成功維護(hù)安全態(tài)勢,并最大限度地減少入侵的機(jī)會,安全團(tuán)隊(duì)?wèi)?yīng)不斷使用新規(guī)則豐富檢測庫并更新現(xiàn)有堆棧,以便能夠識別不斷變異的惡意軟件。企業(yè)傾向于尋找可以每月從頭開始節(jié)省多達(dá)數(shù)百小時內(nèi)容研發(fā)的解決方案,并尋找優(yōu)化內(nèi)容創(chuàng)建的方法。這可以通過選擇可以快速開發(fā)、修改和翻譯規(guī)則的通用語言來實(shí)現(xiàn),例如Sigma。此外,利用Uncoder.IO等免費(fèi)在線翻譯工具,可以將最新的Sigma檢測立即轉(zhuǎn)換為各種SIEM、EDR和XDR格式,從而幫助安全團(tuán)隊(duì)節(jié)省更多的時間。
