您是否知道,全球42%的企业将在2020年遭受网络攻击?随着网络犯罪分子利用人工智能技术更有效地进行网络攻击,这个数字还会上升。人工智能技术无疑带来了一些巨大的进步并改变了网络安全的状况。网络安全专业人员正在使用人工智能技术来对抗黑客。AI驱动的解决方案包括用于入侵检测和预防的智能防火墙、新的恶意软件预防工具以及用于识别可能的网络钓鱼攻击的风险评分算法。不幸的是,网络安全专业人员并不是唯一可以使用人工智能技术的人。黑客和恶意软件创建者还以更可怕的方式使用它。人工智能驱动的恶意软件是2022年对沙箱的最大威胁如今,沙箱广泛用于软件开发工作流程中,以在潜在的安全环境中运行测试。如今,它们还可以嵌入到大多数网络安全解决方案中,例如端点检测和响应(EDR)、入侵防御系统(IPS)以及独立解决方案。但是,沙箱也是网络攻击者的常见切入点。沙箱运行多年以来,网络攻击者发现可以利用人工智能算法注入在沙箱环境中难以检测的恶意软件,甚至可以在受感染的网络上将权限提升到更高级别。更令人担忧的是,沙盒规避技术随着机器学习的进步而不断发展,对全球企业构成越来越大的威胁。回顾一下截至2022年初使用最广泛的攻击沙盒恶意软件。识别人类行为沙盒经常被用户偶尔使用。例如,当需要测试不受信任的软件时。因此,网络攻击者使用机器学习来开发新的恶意软件来跟踪用户交互并仅在需要时激活。当然,还有一些方法可以利用人工智能来模拟用户行为,例如对鼠标点击和对话框的智能响应。基于文件的沙箱可以自动工作,无需工程师做任何事情,但很难伪造真实用户将执行的有意义的操作。最新的以沙盒为目标的恶意软件可以区分真实和虚假的用户交互,更重要的是,甚至可以在观察到真实的用户行为后触发。例如,Trojan.APT.BaneChant被编程为在异常快速地单击鼠标时等待。然而,它会在他们跟踪到一定数量的较慢点击后激活,例如以中等速度点击鼠标左键三下,这更有可能是用户发起的。一些恶意软件还认为文档滚动是人为的。它可以在用户将文档滚动到第二页后激活。检测这种类型的恶意软件特别棘手,这就是为什么敏捷SOC团队通过实施SOCPrime的“检测即代码”平台等解决方案,建立威胁检测规则的持续更新流程,他们可以在其中找到最准确和最新的威胁检测规则。最新内容。例如,DevilsTongue恶意软件具有跨供应商检测规则,通常可以在不被沙箱捕获的情况下执行内核代码。了解它们在哪里通过扫描设备ID和MAC地址等详细信息,恶意软件可以通过复杂的人工智能算法指导虚拟化,然后针对已知虚拟化供应商的阻止列表运行它们。之后,恶意软件会检查可用的CPU内核数量、安装的内存量和硬盘大小。在虚拟机内部,这些值低于物理系统。因此,在沙箱所有者运行动态分析之前,恶意软件可能会保持静态和隐藏状态。尽管一些沙箱供应商能够隐藏他们的系统规格,以便恶意软件无法扫描它们。说到沙箱分析工具,一些恶意软件类型(例如Choppestick)可以通过扫描分析环境来识别它们是否在沙箱中。这样的环境被认为对网络攻击者来说风险太大,因此大多数病毒在被识别时不会激活。他们渗透的另一种方式是在执行全面攻击之前发送较小的有效载荷来测试受害者的系统。正如人们可能猜测的那样,恶意软件可能会使用经过训练以识别底层数字基础设施的人工智能工具来扫描各种系统功能。例如,他们可以寻找数字签名系统以了解计算机的配置,或扫描操作系统中的活动进程以查看防病毒软件是否正在运行。如果恶意软件被编程为检测系统重启,它只会在该事件发生后激活。重启触发器还可以区分真实重启和模拟重启,因此虚拟机通常无法诱使此类机器人在假重启时暴露自己。规划完美的时机AI还通过完善网络攻击的时机使恶意软件更加危险。基于时间的技术是沙盒规避中最常用的技术之一。沙箱通常不会24/7全天候工作,因此它们扫描威胁的时间有限。网络攻击者利用此功能植入恶意软件,这些恶意软件在沙箱处于活动状态时处于休眠状态,并在沙箱关闭时执行攻击。例如,像FatDuke这样的恶意软件可以运行延迟算法,利用空闲CPU周期,并等待沙箱关闭。然后,它激活实际的有效负载。不太复杂的恶意软件示例在代码开始之前只会有预设的时间要求。例如,GoldenSpy在进入系统两小时后被激活。同样,“逻辑炸弹”技术意味着恶意代码在特定日期和时间执行。逻辑炸弹通常只在最终用户的设备上激活。为此,他们内置了用于系统重启和人机交互的扫描仪。隐藏痕迹一旦恶意软件感染了目标系统,它就会想要隐藏其存在的证据。今天有多种技术可以帮助网络犯罪分子实现这一目标。人工智能使恶意软件更容易修改自己的代码,使其免受恶意软件保护软件和人类威胁筛查的影响。网络罪犯的主要目标之一是加密与命令和控制(C&C)服务器的通信,以便他们可以通过小型后门安装更多有效载荷。为此,他们可以使用域生成算法(DGA)频繁更改站点IP等攻击工件。一些示例包括Dridex、Pykspa和AnglerDevelopmentKit。另一个例子是SmokeLoader恶意软件,它在不到两周的时间内更改了大约100个IP地址。在这种情况下,无需对域名进行硬编码,因为它们很容易被检测到。对受害者系统的任何访问都很重要,即使它是一个沙箱。大多数域生成算法(DGA)都会增加维护成本,因此并非所有网络攻击者都能负担得起。这就是为什么他们开发了其他不需要域生成算法(DGA)的方法。例如,DNSChanger恶意软件会更改用户DNS服务器的设置,使其连接到恶意DNS而不是ISP预编程的DNS。另一种在沙箱中未检测到恶意软件的方法是以在特定环境中不可读的格式加密数据。某些特洛伊木马程序(如Dridex)使用加密的API调用。Andromeda僵尸网络和Ebowla框架使用多个密钥加密数据以避免与服务器通信。Gauss网络间谍工具包使用特定的路径和文件夹组合来生成嵌入的哈希值并逃避检测。黑客将继续利用人工智能创造更具破坏性的恶意软件来攻击沙盒人工智能技术一直是精明黑客手中的强大工具。他们正在使用它来控制各种应用程序中的沙箱。长期以来,采用沙箱似乎是一个好主意:有什么比拥有一个可以安全地测试不受信任的软件的隔离环境更好的呢?然而,事实证明它们并不像开发人员所希望的那样完美。使用人工智能的黑客可以对其发起更可怕的攻击。进程中断、虚拟环境的特定标记和其他典型特征的存在为攻击者打开了机会之窗,使他们的恶意软件算法基于沙箱的盲点。SOC工程师需要确保不仅要定期扫描关键资产是否有恶意软件,还要确保扫描其组织中使用的沙箱,尤其是当它们处于非活动状态时。为了成功维护安全态势并最大程度地减少入侵的机会,安全团队应使用新规则不断丰富检测库并更新现有堆栈,以便能够识别不断变化的恶意软件。企业倾向于寻找能够每月从头开始节省多达数百小时的内容开发时间的解决方案,并寻找优化内容创建的方法。这可以通过选择一种通用语言来实现,例如Sigma,在这种语言中可以快速开发、修改和翻译规则。此外,Uncoder.IO等免费在线翻译工具可以立即将最新的Sigma检测结果转换为各种SIEM、EDR和XDR格式,帮助安全团队节省更多时间。
