AI武器化後安全界將面臨什麼狀況
人工智慧將使威脅持續學習,不斷進化,潛伏隱蔽更長時間。
網路防禦公司Darktrace的研究人員稱,人工智慧的進步令防禦者越來越難以分辨攻擊是人類還是機器發起的。
Darktrace威脅追捕總監 Max Heinemeyer 表示:
我們預測,AI驅動的惡意軟體將開始通過利用上下文化技術模仿人類操作員的行為;不過,相反的情況也有可能出現,比如高階黑客團伙利用AI驅動的惡意軟體提升他們的攻擊效率。
在最近釋出的一份報告中,Darktrace團隊描述了其過去一年中發現的3個“野生”威脅,並預測了利用AI和上下文感知技術的類似攻擊會是什麼樣子。
“自治”惡意軟體
第一個攻擊場景中的受害人在一家律師事務所工作,深受Trickbot模組化惡意軟體的侵害。儘管人類安全團隊檢測到了該威脅,但阻止感染的速度還不夠快,該威脅迅速擴散到了網路中另外20臺還在使用過時SMB服務的計算機上。
研究人員在其中2臺機器上發現了作為Trickbot模組新增進去的 Empire Powershell 後感染框架。該威脅常處於人類攻擊者的直接控制之下。
AI攻擊場景
Darktrace預測,AI驅動的惡意軟體未來將基於針對受感染系統的一系列自治決策實施傳播擴散,類似於擁有不止一套傳播方式(永恆之藍),可以實時切換感染技術的WannaCry。
研究人員表示,惡意軟體會在受感染環境中靜靜觀察正常業務操作,比如受感染機器與哪些內部裝置通訊、使用哪些協議和埠、有哪些賬號等等,以此來學習自身所處環境的上下文,進而免除傳統的命令與控制(C2)通道,增加檢測難度。
智慧規避
第二起案例發生在一家水電公司。一臺裝置上的惡意軟體採取了一些措施將自己的惡意行為偽裝成合法的。其中就包括從亞馬遜S3雲下載檔案並用自簽名SSL證書混過標準安全控制,以及通過443和80埠將惡意通訊隱藏到正常網路流量中。
Darktrace是通過檢查網路流量資料包的目的IP地址,挑出其中異常,才發現的該惡意軟體。
AI攻擊場景
上下文化將成為AI惡意軟體的關鍵部分,使AI惡意軟體能夠學習並適應環境:針對環境中的漏洞,以及隱藏自身的惡意本質。
今天的某些針對性攻擊已經在應用此類技術的基礎版本了,比如只在正常工作時間開啟C2通道,通過常規埠通訊等等。但是,人類攻擊者還需要猜測哪些才是“正常的”,AI惡意軟體則會自行學習,讓檢測難上加難。
少量慢速攻擊
很多網路攻擊發生得非常迅速且毫無預兆,但難以檢測的“少量慢速”網路犯罪正在上升。Darktrace在一家醫療技術公司發現了這樣的案例:資料分批小量慢速地滲漏出去,傳統安全工具完全察覺不到,根本不會發出警報。
被感染裝置多次連線外部IP地址,每次連線都少於1MB,但傳送的資料總量竟然達到了15GB。
AI攻擊場景
在提供此類攻擊渠道的同時,AI還可以學習可能觸發安全解決方案警報的資料傳輸數率,動態調整其資料滲漏的規模和時機以避免檢測。
一旦不再使用硬編碼的資料量閾值而能夠基於被感染機器的總頻寬動態調整,惡意軟體就將變得更加高效。不是每2小時傳送20KB這麼死板的戰術,而是在適合的時間裡增加滲漏資料規模,比如在員工的被感染筆記本電腦進行視訊會議的時候趁機發送大量資料。
AI引入威脅的另一種方式是在可擴充套件性上。全世界的黑客是有限的,但自動化入侵過程中的某些技術密集部分,卻可以為攻擊者帶來較高的投資回報。
越來越先進的惡意軟體結合上AI的上下文理解能力,將給安全行業帶來模式上的轉變。
Darktrace報告地址:
ofollow,noindex">https://www.darktrace.com/en/resources/wp-ai-driven-cyber-attacks.pdf