加入收藏 | 设为首页 | 会员中心 | 我要投稿 温州站长网 (https://www.52wenzhou.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 安全 > 正文

网络犯罪分子使用人工智能建立恶意软件攻击软件中的沙盒

发布时间:2022-03-23 00:00:37 所属栏目:安全 来源:互联网
导读:人们是否知道全球有42%的企业在2020年遭遇网络攻击?随着网络犯罪分子使用人工智能技术更有效地进行网络攻击,这一数字将会上升。 人工智能技术无疑带来了一些巨大的进步,也改变了网络安全的状态。网络安全专业人士正在利用人工智能技术来打击黑客。人工智能
       人们是否知道全球有42%的企业在2020年遭遇网络攻击?随着网络犯罪分子使用人工智能技术更有效地进行网络攻击,这一数字将会上升。
 
      人工智能技术无疑带来了一些巨大的进步,也改变了网络安全的状态。网络安全专业人士正在利用人工智能技术来打击黑客。人工智能驱动的解决方案包括用于入侵检测和预防的智能防火墙、新的恶意软件预防工具,以及用于识别可能的网络钓鱼攻击的风险评分算法。
 
      不幸的是,并不只有网络安全专业人员可以使用人工智能技术,黑客和恶意软件创建者也在以更可怕的方式使用人工智能。
  
      但是,沙盒也是网络攻击者的常见入口点。在沙盒运行多年的过程中,网络攻击者发现可以采用人工智能算法来注入恶意软件,这些恶意软件在沙盒环境中难以检测,甚至可以将权限提升到受感染网络的更高级别。
 
     更令人担忧的是,逃避沙盒的技术随着机器学习的进步不断发展,对全球范围内的企业构成越来越大的威胁。以下回顾一下截至2022年初使用最广泛的攻击沙盒的恶意软件。
 
例如,Trojan.APT.BaneChant被编程为在鼠标点击异常快时等待。但是,它会在他们跟踪到一定数量的较慢点击后激活,例如以适中的速度点击三下鼠标左键,这更有可能是用户操作的。某些恶意软件也认为文档滚动是人为操作的。它可以在用户将文档滚动到第二页后激活。检测此类恶意软件特别棘手,这就是为什么敏捷的SOC团队通过实施SOC Prime的“检测即代码”平台等解决方案来建立威胁检测规则的持续更新过程的原因,他们可以在其中找到最准确和最新的内容。例如,DevilsTongue恶意软件具有跨供应商检测规则,通常可以执行内核代码而不会被沙盒捕获。
 
知道他们在哪里
通过扫描设备ID和MAC地址等详细信息,恶意软件可以通过复杂的人工智能算法指示虚拟化,然后针对已知虚拟化供应商的封锁列表运行它们。之后,恶意软件会检查可用的CPU内核数量、安装的内存量和硬盘大小。在虚拟机内部,这些值低于物理系统中的值。因此,在沙盒所有者运行动态分析之前,恶意软件可能会保持静止状态并隐藏起来。尽管一些沙盒供应商能够隐藏他们的系统规范,以便恶意软件无法扫描它们。
 
说到沙盒分析工具,一些恶意软件类型(如Choppestick)可以通过扫描分析环境来识别它们是否在沙盒中。这样的环境被认为对网络攻击者来说风险太大,所以大多数病毒在识别时不会激活。他们渗透的另一种方式是发送较小的有效载荷,从而在执行全面攻击之前测试受害者的系统。
 
在代码启动之前,不太复杂的恶意软件示例只会有预设的时间要求。例如,GoldenSpy在进入系统两小时后激活。同样,“逻辑炸弹”技术意味着恶意代码在特定日期和时间执行。逻辑炸弹通常只在最终用户的设备上激活。为此,他们内置了用于系统重启和人机交互的扫描仪。
 
大多数域生成算法(DGA)的维护成本都会增加,因此并非所有网络攻击者都能负担得起。这就是为什么他们开发了其他不需要域生成算法(DGA)的方法。例如,DNSChanger恶意软件会更改用户DNS服务器的设置,使其连接到恶意的DNS,而不是互联网服务提供商预先编程的DNS。
 
恶意软件在沙盒中不被检测到的另一种方法是以在这种特定环境中不可读的格式加密数据。一些像Dridex这样的木马使用加密的API调用。Andromeda僵尸网络和Ebowla框架使用多个密钥对数据进行加密,以避免与服务器通信。Gauss网络间谍工具包使用特定的路径和文件夹组合来生成嵌入式哈希和绕过检测。
 
黑客将继续使用人工智能创建更具破坏性的恶意软件来攻击沙盒
人工智能技术在精明的黑客手中一直是一种可怕的工具。他们正在使用它来控制各种应用程序中的沙盒。
 
长期以来,采用沙盒似乎是一个好主意:有什么比拥有一个可以安全地测试不受信任软件的隔离环境更好的呢?然而,事实证明它们并不像开发人员希望的那样完美。使用人工智能的黑客可以对它发起更可怕的攻击。进程中断、虚拟环境的特定标记和其他典型特征的存在为攻击者打开了机会之窗,可以将他们的恶意软件算法建立在沙盒的盲点上。
 
SOC工程师需要确保不仅定期扫描关键资产是否存在恶意软件,而且还要确保他们组织中使用的沙盒,尤其是在它们不活动的时候。为了成功维护安全态势,并最大限度地减少入侵的机会,安全团队应不断使用新规则丰富检测库并更新现有堆栈,以便能够识别不断变异的恶意软件。企业倾向于寻找可以每月从头开始节省多达数百小时内容研发的解决方案,并寻找优化内容创建的方法。这可以通过选择可以快速开发、修改和翻译规则的通用语言来实现,例如Sigma。此外,利用Uncoder.IO等免费在线翻译工具,可以将最新的Sigma检测立即转换为各种SIEM、EDR和XDR格式,从而帮助安全团队节省更多的时间。

(编辑:温州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读