黑客使用AI创建恶意软件攻击软件中的沙盒
发布时间:2022-07-26 15:28:24 所属栏目:安全 来源:互联网
导读:人们是否知道全球有42%的企业在2020年遭遇网络攻击?随着网络犯罪分子使用人工智能技术更有效地进行网络攻击,这一数字将会上升。 人工智能驱动的恶意软件是2022年沙盒面临的最大威胁 沙盒如今已广泛用于软件开发工作流程中,可以在可能安全的环境中运行测试
|
人们是否知道全球有42%的企业在2020年遭遇网络攻击?随着网络犯罪分子使用人工智能技术更有效地进行网络攻击,这一数字将会上升。 人工智能驱动的恶意软件是2022年沙盒面临的最大威胁 沙盒如今已广泛用于软件开发工作流程中,可以在可能安全的环境中运行测试。如今,它们也可以嵌入到大多数网络安全解决方案中,例如端点检测和响应(EDR)、入侵防御系统(IPS)以及独立的解决方案。 但是,沙盒也是网络攻击者的常见入口点。在沙盒运行多年的过程中,网络攻击者发现可以采用人工智能算法来注入恶意软件,这些恶意软件在沙盒环境中难以检测,甚至可以将权限提升到受感染网络的更高级别。 更令人担忧的是,逃避沙盒的技术随着机器学习的进步不断发展,对全球范围内的企业构成越来越大的威胁。以下回顾一下截至2022年初使用最广泛的攻击沙盒的恶意软件。 例如,Trojan.APT.BaneChant被编程为在鼠标点击异常快时等待。但是,它会在他们跟踪到一定数量的较慢点击后激活,例如以适中的速度点击三下鼠标左键,这更有可能是用户操作的。某些恶意软件也认为文档滚动是人为操作的。它可以在用户将文档滚动到第二页后激活。检测此类恶意软件特别棘手,这就是为什么敏捷的SOC团队通过实施SOC Prime的“检测即代码”平台等解决方案来建立威胁检测规则的持续更新过程的原因,他们可以在其中找到最准确和最新的内容。例如,DevilsTongue恶意软件具有跨供应商检测规则,通常可以执行内核代码而不会被沙盒捕获。 知道他们在哪里 通过扫描设备ID和MAC地址等详细信息,恶意软件可以通过复杂的人工智能算法指示虚拟化,然后针对已知虚拟化供应商的封锁列表运行它们。之后,恶意软件会检查可用的CPU内核数量、安装的内存量和硬盘大小。在虚拟机内部,这些值低于物理系统中的值。因此,在沙盒所有者运行动态分析之前,恶意软件可能会保持静止状态并隐藏起来。尽管一些沙盒供应商能够隐藏他们的系统规范,以便恶意软件无法扫描它们。 说到沙盒分析工具,一些恶意软件类型(如Choppestick)可以通过扫描分析环境来识别它们是否在沙盒中。这样的环境被认为对网络攻击者来说风险太大,所以大多数病毒在识别时不会激活。他们渗透的另一种方式是发送较小的有效载荷,从而在执行全面攻击之前测试受害者的系统。 正如人们可能猜到的那样,恶意软件可能会通过人工智能工具扫描各种系统功能,人工智能工具经过训练可以识别底层的数字基础设施。例如,他们可以寻找数字签名系统,以了解有关计算机配置的信息,或扫描操作系统中的活动进程,以查看是否有防病毒软件正在运行。 如果恶意软件被编程为检测系统重新启动,它将仅在该事件发生后激活。重启触发器还可以区分真实重启和模拟重启,因此虚拟机通常无法欺骗此类机器人而在虚假重启时暴露自己。 隐藏痕迹 一旦恶意软件感染了目标系统,就会想要隐藏其存在的证据。如今有多种技术可以帮助网络犯罪分子实现这一目标。人工智能使恶意软件更容易修改自己的代码,使其不受恶意软件保护软件和人工威胁筛查的影响。 网络犯罪分子的主要目标之一是加密与指挥与控制(C&C)服务器的通信,以便他们可以通过小型后门安装更多有效载荷。为此,他们可以使用域生成算法(DGA)频繁更改站点IP等攻击工件。一些例子包括Dridex、Pykspa和垂钓者开发工具包。另一个例子是Smoke Loader恶意软件,它在不到两周的时间内改变了大约100个IP地址。在这种情况下,不需要硬编码域名,因为它们很容易被检测到。任何对受害者系统的访问都很重要,即使它是一个沙盒。 黑客将继续使用人工智能创建更具破坏性的恶意软件来攻击沙盒 人工智能技术在精明的黑客手中一直是一种可怕的工具。他们正在使用它来控制各种应用程序中的沙盒。 长期以来,采用沙盒似乎是一个好主意:有什么比拥有一个可以安全地测试不受信任软件的隔离环境更好的呢?然而,事实证明它们并不像开发人员希望的那样完美。使用人工智能的黑客可以对它发起更可怕的攻击。进程中断、虚拟环境的特定标记和其他典型特征的存在为攻击者打开了机会之窗,可以将他们的恶意软件算法建立在沙盒的盲点上。 SOC工程师需要确保不仅定期扫描关键资产是否存在恶意软件,而且还要确保他们组织中使用的沙盒,尤其是在它们不活动的时候。为了成功维护安全态势,并最大限度地减少入侵的机会,安全团队应不断使用新规则丰富检测库并更新现有堆栈,以便能够识别不断变异的恶意软件。企业倾向于寻找可以每月从头开始节省多达数百小时内容研发的解决方案,并寻找优化内容创建的方法。这可以通过选择可以快速开发、修改和翻译规则的通用语言来实现,例如Sigma。此外,利用Uncoder.IO等免费在线翻译工具,可以将最新的Sigma检测立即转换为各种SIEM、EDR和XDR格式,从而帮助安全团队节省更多的时间。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号