人们知道世界上42%的企业在2020年遭遇网络攻击吗?随着网络犯罪分子使用人工智能技术进行更有效的网络攻击,这个数字将上升。
人工智能技术无疑带来了一些巨大的进步,改变了网络安全的状态。网络安全专业人士正在使用人工智能技术来打击黑客。人工智能驱动的解决方案包括智能防火墙、新的恶意软件预防工具、识别可能的网络钓鱼攻击的风险评分算法。
不幸的是,不仅网络安全专业人员可以使用人工智能技术,黑客和恶意软件创建者也可以更可怕的方式使用人工智能。
人工智能驱动的恶意软件是2022年沙箱面临的最大威胁
沙箱已广泛应用于软件开发过程中,可在可能安全的环境中进行测试。如今,它们也可以嵌入到大多数网络安全解决方案中,如端点检测和响应(EDR)、入侵防御系统(IPS)以及独立的解决方案。
然而,沙盒也是网络攻击者的常见入口点。在沙盒运行多年的过程中,网络攻击者发现恶意软件可以通过人工智能算法注入,在沙盒环境中很难检测到,甚至可以将权限提升到更高层次的感染网络。
更令人担忧的是,随着机器学习的不断发展,逃箱的技术对世界各地的企业构成了越来越大的威胁。以下是截至2022年初使用最广泛的攻击沙箱的恶意软件。
识别人类行为
通常,用户偶尔会使用沙盒。例如,当需要测试不可信的软件时。因此,网络攻击者使用机器学习来开发新的恶意软件,它们可以跟踪用户交互,并在必要时激活它们。
当然,有一些方法可以使用人工智能来模拟用户的行为,如鼠标点击和对话框的智能响应。基于文件的沙箱可以自动运行,没有工程师做任何事情,但很难伪造真实用户将执行的有意义的操作。最新的沙箱恶意软件可以区分真实用户交互和虚假用户交互,更重要的是,甚至在观察到真实用户行为后触发。
例如,Trojan.APT.BaneChant当鼠标点击非常快时,被编程等待。然而,它会在跟踪到一定数量的慢点击后激活,例如以适度的速度点击鼠标左键,这更有可能由用户操作。一些恶意软件还认为文档滚动是人工操作的。它可以在用户将文档滚动到第二页后激活。检测这种恶意软件特别困难,这就是为什么它很快SOC团队通过实施SOC Prime的“检测即代码”平台等解决方案来建立威胁检测规则的持续更新过程的原因,他们可以在其中找到最准确和最新的内容。例如,DevilsTongue恶意软件有跨供应商检测规则,通常可以执行内核代码而不被沙箱捕获。
知道他们在哪里
扫描设备ID和MAC恶意软件可以通过复杂的人工智能算法指示虚拟化,然后运行已知虚拟化供应商的封锁列表。之后,恶意软件将检查可用性CPU内核数量、安装内存和硬盘尺寸。在虚拟机中,这些值低于物理系统中的值。因此,恶意软件可能会保持静止,并在沙箱所有者运行动态分析之前隐藏。虽然一些沙箱供应商可以隐藏他们的系统规范,但恶意软件无法扫描。
说到沙盒分析工具,一些恶意软件类型(如Choppestick)可以通过扫描和分析环境来识别它们是否在沙箱中。这种环境被认为对网络攻击者来说太危险了,所以大多数病毒在识别时不会被激活。他们渗透的另一种方法是发送更小的有效载荷,以测试受害者的系统,测试受害者的系统。
正如人们可能猜到的,恶意软件可以通过人工智能工具扫描各种系统功能,人工智能工具可以通过培训识别底层数字基础设施。例如,他们可以找到数字签名系统来了解计算机配置的信息,或扫描操作系统中的活动过程,以查看是否有防病毒软件正在运行。
如果恶意软件被编程成检测系统重新启动,它只会在事件发生后激活。重启触发器还可以区分真实重启和模拟重启,因此虚拟机在虚假重启时通常无法欺骗此类机器人并暴露自己。
计划完美的时机
人工智能还通过改善网络攻击的机会,使恶意软件更加危险。基于时间的技术是避免沙箱最常见的技术之一。沙箱通常不全天候工作,因此扫描威胁的时间有限。网络攻击者使用此功能植入恶意软件,在沙箱移动时休眠,并在沙箱关闭时攻击。FatDuke这种恶意软件可以使用空闲时间运行延迟算法CPU等待沙箱关闭。然后,它激活实际有效载荷。
恶意软件示例在代码启动前只需要预设时间。GoldenSpy进入系统两小时后激活。同样,逻辑炸弹技术也意味着恶意代码在特定日期和时间执行。逻辑炸弹通常只在最终用户的设备上激活。为此,他们内置了系统重启和人机交互扫描仪。
隐藏痕迹
恶意软件一旦感染了目标系统,就会想要隐藏其存在的证据。现在有很多技术可以帮助网络犯罪分子实现这一目标。人工智能使恶意软件更容易修改其代码,使其不受恶意软件保护软件和人工威胁筛选的影响。
网络犯罪分子的主要目标之一是加密与指挥与控制(C&C)服务器的通信使他们能够通过小后门安装更有效的载荷。因此,他们可以使用域生成算法(DGA)频繁更改网站IP等待攻击工件。一些例子包括Dridex、Pykspa和渔民一起开发工具包。另一个例子是Smoke Loader恶意软件在不到两周的时间内改变了大约100个IP地址。在这种情况下,不需要硬编码域名,因为它们很容易被检测到。即使是沙盒,任何访问受害者系统都很重要。
大多数域生成算法(DGA)维护成本会增加,所以并不是所有的网络攻击者都能负担得起。这就是为什么他们开发了其他不需要域生成的算法(DGA)方法。例如,,DNSChanger恶意软件会改变用户DNS服务器的设置连接到恶意DNS,而不是互联网服务提供商提前编程DNS。
沙箱中不检测到恶意软件的另一种方法是在这种特定环境下以不可读的格式加密数据。Dridex这种木马使用加密木马API调用。Andromeda僵尸网络和Ebowla框架使用多个密钥加密数据,以避免与服务器通信。Gauss网络间谍工具包使用特定的路径和文件夹来生成嵌入式哈希和绕过检测。
黑客将继续使用人工智能创建更具破坏性的恶意软件来攻击沙盒
在精明的黑客手中,人工智能技术一直是一种可怕的工具。它们用于控制各种应用程序中的沙盒。
长期以来,使用沙盒似乎是一个好主意:有什么比安全测试不受信任软件的隔离环境更好?然而,事实证明,它们并不像开发人员想要的那么完美。使用人工智能的黑客可以对它发起更可怕的攻击。过程中断、虚拟环境的特定标志和其他典型特征的存在为攻击者打开了机会之窗,并在沙盒的盲点上建立了他们的恶意软件算法。
SOC工程师需要确保他们不仅定期扫描关键资产恶意软件,还需要确保他们组织中使用的沙箱,特别是当他们不活动时。为了成功维护安全形势,最大限度地减少入侵的机会,安全团队应不断使用新规则丰富检测库,更新现有堆栈,以识别不断变化的恶意软件。企业倾向于寻找每月节省数百小时内容研发的解决方案,并寻找优化内容创建的方法。这可以通过选择可以快速开发、修改和翻译规则的一般语言来实现,例如Sigma。此外,利用Uncoder.IO免费的在线翻译工具,如最新的在线翻译工具Sigma检测立即转化为各种检测SIEM、EDR和XDR格式,从而帮助安全团队节省更多的时间。