Menu dostępności

Jak sztuczna inteligencja wykorzystywana jest w złośliwym oprogramowaniu?

Technologia uczenia maszynowego, popularnie zwana sztuczną inteligencją, coraz częściej wykorzystywana jest nie tylko przez zaawansowane systemy obronne, ale również przez złośliwe oprogramowanie. Dzieje się tak, ponieważ rynek cyberbezpieczeństwa napędza sam siebie. Gdy pojawi się nowe zagrożenie, podatność czy backdoor, narzędzia obronne wprowadzają funkcjonalności i poprawki, aby łagodzić skutki lub zapobiegać nowym atakom. To samo dzieje się w drugą stronę. Gdy rozwiązania cybersecurity zaczęły bazować na uczeniu maszynowym i wykrywać anomalie, twórcy złośliwego oprogramowania w kontrataku również zaprzęgli do działania sztuczną inteligencję.


Teraźniejszość AI w malware

Obecnie coraz bardziej powszechne staje się używanie machine learningu do ukrywania złośliwego kodu w legalnych aplikacjach, odwlekania wywołania kodu w czasie czy analizy zainfekowanych użytkowników i maszyn. Opisany przez nas malware Dexphot wykorzystuje podobne metody.

Najbardziej popularnym zastosowaniem jest analiza środowiska już po dostarczeniu złośliwego oprogramowania i wykrycie odpowiedniego momentu do ataku, czyli uruchomienia złośliwego kodu ukrytego w paczce. Taki malware może być zaszyty w systemie nawet miesiącami i niezauważalnie karmić się danymi o środowisku. Po dokonaniu wnikliwej analizy i rozpatrzeniu wszystkich przypadków zaatakuje w najmniej spodziewanym momencie.

Dla przykładu, organizacja TaskRabbit została dotknięta w 2018 roku atakiem hackerskim, który naraził na kompromitacje i wyciek danych ponad 3,7 miliona użytkowników. Po przeprowadzeniu dochodzenia okazało się, że atak nie był w ogóle widoczny w środowisku informatycznym na żadnym z poziomów sieciowych i aplikacyjnych. Dopiero po znalezieniu złośliwego kodu i jego analizie okazało się, że wykorzystuje on sprytne algorytmy i uczy się środowiska, między innymi cyklu aktualizacji, zaufanych protokołów, dostępnych zasobów, tak aby zaatakować niezauważalnie i podszyć się pod zaufaną aplikacje.

Kolejnym przykładem malware wykorzystującym sztuczną inteligencję jest robot o nazwie TrickBot ze swoim najnowszym rozszerzeniem TrickBooster. Według raportu specjalistów z Deep Instinct udało mu się zebrać bazę 250 adresów mailowych wraz z poświadczeniami, z różnych domen i organizacji. Działanie bota polegało na rozsyłaniu złośliwych wiadomości ze skompromitowanych już skrzynek do nowych celów, a następnie kasowanie wiadomości z folderu „wysłane”, tak aby ukryć ślady kompromitacji. Nowe cele jak i treść wiadomości były wybierane na podstawie istniejącej korespondencji w przejętych skrzynkach mailowych.


Przyszłość AI w malware

Nietrudno wyobrazić sobie doskonałego robaka komputerowego, który rozprzestrzenia się w tempie WannaCry, a zarazem uczy się z każdego zdarzenia wykrycia i jest coraz bardziej niezawodny i niebezpieczny. Jeśli cyberprzestępcy pójdą w te stronę, możemy doświadczyć infekcji na niespotykaną dotąd skalę. Wystarczy sprytny mechanizm przesyłający jak najwięcej danych do analizy podczas wykrycia lub tuż przed wykryciem, a taka rodzina uczących się robaków mogłaby w błyskawicznym tempie ruchem bocznym opanować całą sieć. Jeśli chodzi o trojany, to scenariusz jest niewiele łagodniejszy. Malware o nazwie Swizzor posiada umiejętność tworzenia nowych wersji swoich plików, modyfikując tylko kilka linijek kodu. Pozwala to na skuteczne oszukanie sygnatur w antywirusach. Ulepszenie tej metody za pomocą sztucznej inteligencji może spowodować drastyczny spadek skuteczności rozwiązań bazujących na sygnaturach.

W 2018 roku, na konferencji Black Hat w USA, IBM zaprezentował możliwości złośliwego oprogramowania opartego o uczenie maszynowe. W ramach studium przypadku specjaliści IBM opracowali narzędzie o nazwie DeepLocker, który służy do przeprowadzania ataku z ukrycia. Wirus podszywa się pod oprogramowanie do wideokonferencji w niespotykany dotąd sposób. Jest instalowane w środowisku przez administratorów i działa jako w pełni wiarygodna aplikacja. W między czasie analizuje infrastrukturę sieciową i szuka konkretnego celu, aby we właściwym momencie użyć złośliwego kodu. To sprawia, że jego złośliwe działanie jest praktycznie niemożliwe do wykrycia, a kod i zachowanie nie da się odtworzyć za pomocą metod inżynierii wstecznej. Celem prezentacji było pokazanie i lepsze zrozumienie, w jaki sposób złośliwe oprogramowanie może już teraz wykorzystać istniejącą technologie uczenia maszynowego, aby stać się nowym, niespotykanie groźnym rodzajem malware.


Podsumowanie

Jeśli złośliwe oprogramowanie bazujące na sztucznej inteligencji będzie rozwijane, możemy doświadczyć przykrych konsekwencji. Malware będzie lepiej i szybciej rozpoznawał środowisko ataku, będzie dużo trudniejszy do wykrycia, będzie bardziej precyzyjnie wybierał cele i moment ataku. Doświadczymy bardziej przekonującego phishingu i fake newsów, więcej skuteczności przy atakach destrukcyjnych czy DDoS oraz więcej złośliwego oprogramowania skierowanego na kilka różnych systemów operacyjnych (do tej pory głównie istnieją wirusy typu „single-platform”).

Połączenie AI i Big Data w użyciu przez cyberprzestępców może być w niedalekiej przyszłości rewolucją. Analizowanie ogromnych zbiorów danych rozsianych po sieci spowoduje utratę niewielkiej ilości prywatności jaka nam została. Stworzenie bazy wiedzy o użytkownikach, celach ataków, pozwoli na wygenerowanie spersonalizowanego phishingu, którego poziom wiarygodności nie będzie odbiegał od rzeczywistej, zaufanej wiadomości.

Do tej pory, wszystkie technologie zawierające się w pojęciu „sztuczna inteligencja” przyniosły nam wiele dobrego. Sterowanie głosowe, autonomiczne samochody, wczesne wykrywanie chorób. Wykorzystanie jej przez twórców malware i cyberprzestępców może zmienić ten trend i rzucić na machine learning czarne światło.

Popularne

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

W środę 9 października użytkownicy platformy Microsoft Azure na całym świecie doświadczyli poważnych zakłóceń. Wiele usług stało się niedostępnych, a administratorzy nie mogli nawet zalogować się do portalu...
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Niedawno załatana wysoce poważna luka w zabezpieczeniach VMware jest wykorzystywana jako zero-day od października 2024 roku do wykonywania kodu z podwyższonymi uprawnieniami. Taką informacją podzieliło się w...
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Splunk opublikował ważne informacje, dotyczące szeregu nowych podatności w swoich produktach Splunk Enterprise i Splunk Cloud Platform. Luki mogą umożliwić atakującym wykonanie nieautoryzowanego kodu Ja...