人工智能将使威胁持续学习,不断进化,潜伏隐蔽更长时间。
网络防御公司Darktrace的研究人员称,人工智能的进步令防御者越来越难以分辨攻击是人类还是机器发起的。
Darktrace威胁追捕总监Max Heinemeyer表示:
我们预测,AI驱动的恶意软件将开始通过利用上下文化技术模仿人类操作员的行为;不过,相反的情况也有可能出现,比如高级黑客团伙利用AI驱动的恶意软件提升他们的攻击效率。
在最近发布的一份报告中,Darktrace团队描述了其过去一年中发现的3个“野生”威胁,并预测了利用AI和上下文感知技术的类似攻击会是什么样子。
“自治”恶意软件
第一个攻击场景中的受害人在一家律师事务所工作,深受Trickbot模块化恶意软件的侵害。尽管人类安全团队检测到了该威胁,但阻止感染的速度还不够快,该威胁迅速扩散到了网络中另外20台还在使用过时SMB服务的计算机上。
研究人员在其中2台机器上发现了作为Trickbot模块添加进去的 Empire Powershell 后感染框架。该威胁常处于人类攻击者的直接控制之下。
AI攻击场景
Darktrace预测,AI驱动的恶意软件未来将基于针对受感染系统的一系列自治决策实施传播扩散,类似于拥有不止一套传播方式(永恒之蓝),可以实时切换感染技术的WannaCry。
研究人员表示,恶意软件会在受感染环境中静静观察正常业务操作,比如受感染机器与哪些内部设备通信、使用哪些协议和端口、有哪些账号等等,以此来学习自身所处环境的上下文,进而免除传统的命令与控制(C2)信道,增加检测难度。
智能规避
第二起案例发生在一家水电公司。一台设备上的恶意软件采取了一些措施将自己的恶意行为伪装成合法的。其中就包括从亚马逊S3云下载文件并用自签名SSL证书混过标准安全控制,以及通过443和80端口将恶意通信隐藏到正常网络流量中。
Darktrace是通过检查网络流量数据包的目的IP地址,挑出其中异常,才发现的该恶意软件。
AI攻击场景
上下文化将成为AI恶意软件的关键部分,使AI恶意软件能够学习并适应环境:针对环境中的漏洞,以及隐藏自身的恶意本质。
今天的某些针对性攻击已经在应用此类技术的基础版本了,比如只在正常工作时间开启C2信道,通过常规端口通信等等。但是,人类攻击者还需要猜测哪些才是“正常的”,AI恶意软件则会自行学习,让检测难上加难。
少量慢速攻击
很多网络攻击发生得非常迅速且毫无预兆,但难以检测的“少量慢速”网络犯罪正在上升。Darktrace在一家医疗技术公司发现了这样的案例:数据分批小量慢速地渗漏出去,传统安全工具完全察觉不到,根本不会发出警报。
被感染设备多次连接外部IP地址,每次连接都少于1MB,但发送的数据总量竟然达到了15GB。
AI攻击场景
在提供此类攻击渠道的同时,AI还可以学习可能触发安全解决方案警报的数据传输数率,动态调整其数据渗漏的规模和时机以避免检测。
一旦不再使用硬编码的数据量阈值而能够基于被感染机器的总带宽动态调整,恶意软件就将变得更加高效。不是每2小时发送20KB这么死板的战术,而是在适合的时间里增加渗漏数据规模,比如在员工的被感染笔记本电脑进行视频会议的时候趁机发送大量数据。
AI引入威胁的另一种方式是在可扩展性上。全世界的黑客是有限的,但自动化入侵过程中的某些技术密集部分,却可以为攻击者带来较高的投资回报。
越来越先进的恶意软件结合上AI的上下文理解能力,将给安全行业带来模式上的转变。
Darktrace报告地址:
https://www.darktrace.com/en/resources/wp-ai-driven-cyber-attacks.pdf
(责任编辑:安博涛)