人們是否知道全球有42%的企業(yè)在2020年遭遇網(wǎng)絡(luò)攻擊?隨著網(wǎng)絡(luò)犯罪分子使用人工智能技術(shù)更有效地進(jìn)行網(wǎng)絡(luò)攻擊，這一數(shù)字將會(huì)上升。

人工智能技術(shù)無(wú)疑帶來(lái)了一些巨大的進(jìn)步，也改變了網(wǎng)絡(luò)安全的狀態(tài)。網(wǎng)絡(luò)安全專業(yè)人士正在利用人工智能技術(shù)來(lái)打擊黑客。人工智能驅(qū)動(dòng)的解決方案包括用于入侵檢測(cè)和預(yù)防的智能防火墻、新的惡意軟件預(yù)防工具，以及用于識(shí)別可能的網(wǎng)絡(luò)釣魚攻擊的風(fēng)險(xiǎn)評(píng)分算法。

不幸的是，并不只有網(wǎng)絡(luò)安全專業(yè)人員可以使用人工智能技術(shù)，黑客和惡意軟件創(chuàng)建者也在以更可怕的方式使用人工智能。

人工智能驅(qū)動(dòng)的惡意軟件是2022年沙盒面臨的最大威脅

沙盒如今已廣泛用于軟件開發(fā)工作流程中，可以在可能安全的環(huán)境中運(yùn)行測(cè)試。如今，它們也可以嵌入到大多數(shù)網(wǎng)絡(luò)安全解決方案中，例如端點(diǎn)檢測(cè)和響應(yīng)(EDR)、入侵防御系統(tǒng)(IPS)以及獨(dú)立的解決方案。

但是，沙盒也是網(wǎng)絡(luò)攻擊者的常見入口點(diǎn)。在沙盒運(yùn)行多年的過(guò)程中，網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)可以采用人工智能算法來(lái)注入惡意軟件，這些惡意軟件在沙盒環(huán)境中難以檢測(cè)，甚至可以將權(quán)限提升到受感染網(wǎng)絡(luò)的更高級(jí)別。

更令人擔(dān)憂的是，逃避沙盒的技術(shù)隨著機(jī)器學(xué)習(xí)的進(jìn)步不斷發(fā)展，對(duì)全球范圍內(nèi)的企業(yè)構(gòu)成越來(lái)越大的威脅。以下回顧一下截至2022年初使用最廣泛的攻擊沙盒的惡意軟件。

識(shí)別人類行為

在通常情況下，用戶偶爾會(huì)使用沙盒。例如當(dāng)需要測(cè)試不受信任的軟件時(shí)。因此，網(wǎng)絡(luò)攻擊者已經(jīng)使用機(jī)器學(xué)習(xí)來(lái)開發(fā)新的惡意軟件，這些惡意軟件能夠跟蹤用戶交互，并且在需要時(shí)才會(huì)激活。

當(dāng)然，有一些方法可以采用人工智能模擬用戶的行為，比如對(duì)鼠標(biāo)點(diǎn)擊和對(duì)話框的智能響應(yīng)?；谖募纳澈锌梢宰詣?dòng)運(yùn)行，無(wú)需工程師做任何事情，但很難偽造真實(shí)用戶將執(zhí)行的有意義的操作。最新針對(duì)沙盒的惡意軟件可以區(qū)分真實(shí)用戶交互和虛假用戶交互，更重要的是，甚至在觀察到某個(gè)真實(shí)用戶行為后觸發(fā)。

例如，Trojan.APT.BaneChant被編程為在鼠標(biāo)點(diǎn)擊異常快時(shí)等待。但是，它會(huì)在他們跟蹤到一定數(shù)量的較慢點(diǎn)擊后激活，例如以適中的速度點(diǎn)擊三下鼠標(biāo)左鍵，這更有可能是用戶操作的。某些惡意軟件也認(rèn)為文檔滾動(dòng)是人為操作的。它可以在用戶將文檔滾動(dòng)到第二頁(yè)后激活。檢測(cè)此類惡意軟件特別棘手，這就是為什么敏捷的SOC團(tuán)隊(duì)通過(guò)實(shí)施SOC Prime的“檢測(cè)即代碼”平臺(tái)等解決方案來(lái)建立威脅檢測(cè)規(guī)則的持續(xù)更新過(guò)程的原因，他們可以在其中找到最準(zhǔn)確和最新的內(nèi)容。例如，DevilsTongue惡意軟件具有跨供應(yīng)商檢測(cè)規(guī)則，通?？梢詧?zhí)行內(nèi)核代碼而不會(huì)被沙盒捕獲。

知道他們?cè)谀睦?/h4>

通過(guò)掃描設(shè)備ID和MAC地址等詳細(xì)信息，惡意軟件可以通過(guò)復(fù)雜的人工智能算法指示虛擬化，然后針對(duì)已知虛擬化供應(yīng)商的封鎖列表運(yùn)行它們。之后，惡意軟件會(huì)檢查可用的CPU內(nèi)核數(shù)量、安裝的內(nèi)存量和硬盤大小。在虛擬機(jī)內(nèi)部，這些值低于物理系統(tǒng)中的值。因此，在沙盒所有者運(yùn)行動(dòng)態(tài)分析之前，惡意軟件可能會(huì)保持靜止?fàn)顟B(tài)并隱藏起來(lái)。盡管一些沙盒供應(yīng)商能夠隱藏他們的系統(tǒng)規(guī)范，以便惡意軟件無(wú)法掃描它們。

說(shuō)到沙盒分析工具，一些惡意軟件類型(如Choppestick)可以通過(guò)掃描分析環(huán)境來(lái)識(shí)別它們是否在沙盒中。這樣的環(huán)境被認(rèn)為對(duì)網(wǎng)絡(luò)攻擊者來(lái)說(shuō)風(fēng)險(xiǎn)太大，所以大多數(shù)病毒在識(shí)別時(shí)不會(huì)激活。他們滲透的另一種方式是發(fā)送較小的有效載荷，從而在執(zhí)行全面攻擊之前測(cè)試受害者的系統(tǒng)。

正如人們可能猜到的那樣，惡意軟件可能會(huì)通過(guò)人工智能工具掃描各種系統(tǒng)功能，人工智能工具經(jīng)過(guò)訓(xùn)練可以識(shí)別底層的數(shù)字基礎(chǔ)設(shè)施。例如，他們可以尋找數(shù)字簽名系統(tǒng)，以了解有關(guān)計(jì)算機(jī)配置的信息，或掃描操作系統(tǒng)中的活動(dòng)進(jìn)程，以查看是否有防病毒軟件正在運(yùn)行。

如果惡意軟件被編程為檢測(cè)系統(tǒng)重新啟動(dòng)，它將僅在該事件發(fā)生后激活。重啟觸發(fā)器還可以區(qū)分真實(shí)重啟和模擬重啟，因此虛擬機(jī)通常無(wú)法欺騙此類機(jī)器人而在虛假重啟時(shí)暴露自己。

規(guī)劃完美時(shí)機(jī)

人工智能還通過(guò)完善網(wǎng)絡(luò)攻擊時(shí)機(jī)使惡意軟件變得更加危險(xiǎn)?；跁r(shí)間的技術(shù)是沙盒規(guī)避中最常見的技術(shù)之一。沙盒通常不會(huì)全天候工作，因此它們掃描威脅的時(shí)間有限。網(wǎng)絡(luò)攻擊者利用這一功能來(lái)植入惡意軟件，這些惡意軟件在沙盒處于活動(dòng)狀態(tài)時(shí)處于休眠狀態(tài)，并在沙盒關(guān)閉時(shí)執(zhí)行攻擊。例如，像FatDuke這樣的惡意軟件可以運(yùn)行延遲算法，利用空閑CPU周期，并等待沙盒關(guān)閉。然后，它激活實(shí)際的有效載荷。

在代碼啟動(dòng)之前，不太復(fù)雜的惡意軟件示例只會(huì)有預(yù)設(shè)的時(shí)間要求。例如，GoldenSpy在進(jìn)入系統(tǒng)兩小時(shí)后激活。同樣，“邏輯炸彈”技術(shù)意味著惡意代碼在特定日期和時(shí)間執(zhí)行。邏輯炸彈通常只在最終用戶的設(shè)備上激活。為此，他們內(nèi)置了用于系統(tǒng)重啟和人機(jī)交互的掃描儀。

隱藏痕跡

一旦惡意軟件感染了目標(biāo)系統(tǒng)，就會(huì)想要隱藏其存在的證據(jù)。如今有多種技術(shù)可以幫助網(wǎng)絡(luò)犯罪分子實(shí)現(xiàn)這一目標(biāo)。人工智能使惡意軟件更容易修改自己的代碼，使其不受惡意軟件保護(hù)軟件和人工威脅篩查的影響。

網(wǎng)絡(luò)犯罪分子的主要目標(biāo)之一是加密與指揮與控制(C&C)服務(wù)器的通信，以便他們可以通過(guò)小型后門安裝更多有效載荷。為此，他們可以使用域生成算法(DGA)頻繁更改站點(diǎn)IP等攻擊工件。一些例子包括Dridex、Pykspa和垂釣者開發(fā)工具包。另一個(gè)例子是Smoke Loader惡意軟件，它在不到兩周的時(shí)間內(nèi)改變了大約100個(gè)IP地址。在這種情況下，不需要硬編碼域名，因?yàn)樗鼈兒苋菀妆粰z測(cè)到。任何對(duì)受害者系統(tǒng)的訪問都很重要，即使它是一個(gè)沙盒。

大多數(shù)域生成算法(DGA)的維護(hù)成本都會(huì)增加，因此并非所有網(wǎng)絡(luò)攻擊者都能負(fù)擔(dān)得起。這就是為什么他們開發(fā)了其他不需要域生成算法(DGA)的方法。例如，DNSChanger惡意軟件會(huì)更改用戶DNS服務(wù)器的設(shè)置，使其連接到惡意的DNS，而不是互聯(lián)網(wǎng)服務(wù)提供商預(yù)先編程的DNS。

惡意軟件在沙盒中不被檢測(cè)到的另一種方法是以在這種特定環(huán)境中不可讀的格式加密數(shù)據(jù)。一些像Dridex這樣的木馬使用加密的API調(diào)用。Andromeda僵尸網(wǎng)絡(luò)和Ebowla框架使用多個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行加密，以避免與服務(wù)器通信。Gauss網(wǎng)絡(luò)間諜工具包使用特定的路徑和文件夾組合來(lái)生成嵌入式哈希和繞過(guò)檢測(cè)。

黑客將繼續(xù)使用人工智能創(chuàng)建更具破壞性的惡意軟件來(lái)攻擊沙盒

人工智能技術(shù)在精明的黑客手中一直是一種可怕的工具。他們正在使用它來(lái)控制各種應(yīng)用程序中的沙盒。

長(zhǎng)期以來(lái)，采用沙盒似乎是一個(gè)好主意：有什么比擁有一個(gè)可以安全地測(cè)試不受信任軟件的隔離環(huán)境更好的呢?然而，事實(shí)證明它們并不像開發(fā)人員希望的那樣完美。使用人工智能的黑客可以對(duì)它發(fā)起更可怕的攻擊。進(jìn)程中斷、虛擬環(huán)境的特定標(biāo)記和其他典型特征的存在為攻擊者打開了機(jī)會(huì)之窗，可以將他們的惡意軟件算法建立在沙盒的盲點(diǎn)上。

SOC工程師需要確保不僅定期掃描關(guān)鍵資產(chǎn)是否存在惡意軟件，而且還要確保他們組織中使用的沙盒，尤其是在它們不活動(dòng)的時(shí)候。為了成功維護(hù)安全態(tài)勢(shì)，并最大限度地減少入侵的機(jī)會(huì)，安全團(tuán)隊(duì)?wèi)?yīng)不斷使用新規(guī)則豐富檢測(cè)庫(kù)并更新現(xiàn)有堆棧，以便能夠識(shí)別不斷變異的惡意軟件。企業(yè)傾向于尋找可以每月從頭開始節(jié)省多達(dá)數(shù)百小時(shí)內(nèi)容研發(fā)的解決方案，并尋找優(yōu)化內(nèi)容創(chuàng)建的方法。這可以通過(guò)選擇可以快速開發(fā)、修改和翻譯規(guī)則的通用語(yǔ)言來(lái)實(shí)現(xiàn)，例如Sigma。此外，利用Uncoder.IO等免費(fèi)在線翻譯工具，可以將最新的Sigma檢測(cè)立即轉(zhuǎn)換為各種SIEM、EDR和XDR格式，從而幫助安全團(tuán)隊(duì)節(jié)省更多的時(shí)間。