هل تعلم أن 42٪ من الأعمال تأثرت بالهجمات الإلكترونية في عام 2020؟ سوف يرتفع هذا الرقم مع استخدام مجرمي الإنترنت للذكاء الاصطناعي لمهاجمة الشركات بشكل أكثر كفاءة.
أدت تقنية الذكاء الاصطناعي إلى بعض التطورات الهائلة التي غيرت حالة الأمن السيبراني. متخصصو الأمن السيبراني تستفيد من تقنية الذكاء الاصطناعي لمحاربة المتسللين. تشمل الحلول المستندة إلى الذكاء الاصطناعي جدران الحماية الذكية لاكتشاف التسلل والوقاية منه ، وأدوات جديدة لمنع البرامج الضارة وخوارزميات تسجيل المخاطر لتحديد هجمات التصيد الاحتيالي المحتملة.
لسوء الحظ ، فإن متخصصي الأمن السيبراني ليسوا الوحيدين الذين لديهم إمكانية الوصول إلى تقنية الذكاء الاصطناعي. المتسللين ومنشئي البرامج الضارة هم أيضًا باستخدام الذكاء الاصطناعي بطرق أكثر رعبًا.
طور المتسللون برامج ضارة بخوارزميات ذكاء اصطناعي متطورة للسيطرة على صناديق الحماية. هذا هو أحدث تهديد في مجال تكنولوجيا الأمن السيبراني.
البرامج الضارة التي تعمل بالذكاء الاصطناعي هي أكبر تهديد يواجه Sandboxes في عام 2022
تم استخدام Sandboxes على نطاق واسع في سير عمل تطوير البرامج لإجراء الاختبارات في بيئة آمنة مفترضة. اليوم ، من المحتمل أيضًا أن يتم تضمينها في معظم حلول الأمن السيبراني ، مثل اكتشاف نقطة النهاية والاستجابة لها (EDR) ، وأنظمة منع التطفل (IPS) ، بالإضافة إلى قائمة بذاتها حلول.
ومع ذلك، ملاعب من الرمل لل هي أيضًا نقاط دخول شائعة للمهاجمين عبر الإنترنت. على مدار سنوات من عمل صناديق الحماية ، اكتشف الخصوم خوارزميات الذكاء الاصطناعي لحقن البرامج الضارة التي يمكن أن تظل غير مكتشفة في بيئات الحماية وحتى تنفيذ تصعيد الامتيازات إلى مستويات أعلى من الشبكات المصابة.
الأمر الأكثر إثارة للقلق هو أن تقنيات التهرب من وضع الحماية تستمر في التطور مع التقدم في التعلم الآلي ، مما يشكل تهديدًا متزايدًا للمؤسسات على نطاق عالمي. دعونا نراجع البرامج الضارة الأكثر استخدامًا للتهرب من وضع الحماية اعتبارًا من بداية عام 2022.
التعرف على البشر
عادةً ما يتم استخدام صناديق الحماية من حين لآخر. على سبيل المثال ، عندما تكون هناك حاجة لاختبار البرامج غير الموثوق بها. لذلك ، استخدم المهاجمون التعلم الآلي لتطوير سلالات جديدة من البرامج الضارة قادرة على تتبع تفاعلات المستخدم وتنشيطها فقط عندما لا تظهر أي علامات على الأخيرة.
بالطبع ، هناك طرق لمحاكاة تصرفات المستخدمين باستخدام الذكاء الاصطناعي ، مثل الاستجابات الذكية لمربعات الحوار ونقرات الماوس. تعمل صناديق الحماية القائمة على الملفات تلقائيًا دون الحاجة إلى قيام مهندسين بشريين بأي شيء ، ولكن من الصعب تزييف الإجراءات ذات المغزى التي قد يؤديها المستخدم الحقيقي. يمكن لأحدث البرامج الضارة التي تتجنب وضع الحماية التمييز بين تفاعل المستخدم الحقيقي والتفاعل المزيف وما هو أكثر من ذلك ، حتى أنه يتم تشغيله بعد ملاحظة سلوك مستخدم حقيقي معين.
على سبيل المثال ، تمت برمجة Trojan.APT.BaneChant للانتظار بينما تكون نقرات الماوس سريعة بشكل غير طبيعي. ومع ذلك ، يتم تنشيطه بعد تتبع قدر معين من النقرات البطيئة ، على سبيل المثال ، ثلاث نقرات بالماوس الأيسر بوتيرة معتدلة ، والتي من المرجح أن تنتمي إلى مستخدم حقيقي. يعتبر التمرير أيضًا بشريًا من قبل بعض البرامج الضارة. يمكن تنشيطه بعد أن يقوم المستخدم بتمرير مستند إلى الصفحة الثانية. يعد اكتشاف مثل هذه البرامج الضارة أمرًا صعبًا بشكل خاص ، وهذا هو السبب وراء قيام المزيد من فرق SOC المرنة بإعداد عملية تجديد مستمرة لقواعد اكتشاف التهديدات من خلال تنفيذ حلول مثل رئيس شركة نفط الجنوب الاكتشاف كنظام أساسي للرموز حيث يمكنهم العثور على المحتوى الأكثر دقة وحداثة. على سبيل المثال ، هناك قواعد اكتشاف عبر البائعين للبرامج الضارة DevilsTongue والتي يمكنها عادةً تنفيذ كود النواة دون أن يتم التقاطها بواسطة صناديق الحماية.
معرفة مكانهم
بالمسح بحثًا عن تفاصيل مثل معرفات الأجهزة وعناوين MAC ، يمكن أن تشير البرامج الضارة إلى المحاكاة الافتراضية باستخدام خوارزميات الذكاء الاصطناعي المتطورة ثم تشغيلها مقابل قائمة حظر بائعي المحاكاة الافتراضية المعروفين. بعد ذلك ، سيتحقق البرنامج الضار من عدد نوى وحدة المعالجة المركزية المتاحة ، ومقدار الذاكرة المثبتة ، وحجم محرك الأقراص الثابتة. داخل الأجهزة الظاهرية ، تكون هذه القيم أقل مما هي عليه في الأنظمة المادية. نتيجة لذلك ، من الممكن أن تظل البرامج الضارة غير نشطة وتختبئ قبل أن يقوم مالكو وضع الحماية بإجراء تحليل ديناميكي. على الرغم من أن بعض بائعي وضع الحماية قادرون على إخفاء مواصفات نظامهم حتى لا تتمكن البرامج الضارة من فحصها.
عند الحديث عن أدوات تحليل وضع الحماية ، يمكن لبعض أنواع البرامج الضارة مثل CHOPSTICK التعرف على ما إذا كانت في وضع الحماية أم لا عن طريق المسح بحثًا عن بيئة تحليل. تعتبر مثل هذه البيئة شديدة الخطورة بالنسبة للمهاجمين ، لذلك لا يتم تنشيط معظم الفيروسات إذا تعرفوا عليها. هناك طريقة أخرى للتسلل تتمثل في إرسال حمولة أصغر وبالتالي اختبار نظام الضحية قبل تنفيذ الهجوم الكامل.
كما قد تخمن بالفعل ، يمكن للبرامج الضارة أن تفحص جميع أنواع ميزات النظام باستخدام أدوات الذكاء الاصطناعي التي تم تدريبها للتعرف على البنية التحتية الرقمية الأساسية. على سبيل المثال ، يمكنهم البحث عن أنظمة التوقيع الرقمي لاكتشاف معلومات حول تكوين الكمبيوتر أو البحث عن العمليات النشطة في نظام التشغيل لمعرفة ما إذا كان هناك أي برنامج مكافحة فيروسات قيد التشغيل.
إذا تمت برمجة البرامج الضارة لاكتشاف عمليات إعادة تمهيد النظام ، فلن يتم تنشيطها إلا بعد حدوث هذا الحدث. يمكن لمشغلات إعادة التشغيل أيضًا التمييز بين عملية إعادة تشغيل حقيقية وأخرى تمت محاكاتها ، لذلك لا تستطيع الأجهزة الافتراضية عادةً خداع مثل هذه الروبوتات لتعريض نفسها عند إعادة تشغيل مزيفة.
تخطيط توقيت مثالي
كما جعل الذكاء الاصطناعي البرمجيات الخبيثة أكثر خطورة من خلال إتقان توقيت الهجمات. تعد التقنيات القائمة على التوقيت من بين أكثر الأساليب شيوعًا في التهرب من وضع الحماية. عادةً لا تعمل Sandboxes على مدار الساعة ، لذلك يكون هناك بعض الوقت المحدود الذي يتم خلاله البحث عن التهديدات. يسيء المهاجمون استخدام هذه الميزة لبذر البرامج الضارة التي تكون نائمة عندما يكون وضع الحماية نشطًا وينفذ هجومًا عند إيقاف تشغيله. على سبيل المثال ، يمكن لبرامج ضارة مثل FatDuke تشغيل خوارزمية التأخير التي تستغل دورات وحدة المعالجة المركزية المجانية وتنتظر حتى يتوقف وضع الحماية. ثم ينشط الحمولة الفعلية.
سيكون لأمثلة البرامج الضارة الأقل تعقيدًا متطلبات توقيت محددة مسبقًا فقط حتى يتم تفجير الكود. على سبيل المثال ، يتم تنشيط GoldenSpy بعد ساعتين من التواجد داخل النظام. وبالمثل ، فإن تقنية "القنبلة المنطقية" تعني أن الشفرة الخبيثة يتم تنفيذها في تاريخ ووقت معينين. عادة ما يتم تنشيط القنابل المنطقية فقط على أجهزة المستخدمين النهائيين. لذلك ، لديهم ماسحات ضوئية مدمجة لإعادة تشغيل النظام والتفاعل البشري.
إخفاء الأثر
بمجرد أن تصيب البرامج الضارة النظام المستهدف ، فإنها تريد إخفاء الدليل على وجودها. لوحظت مجموعة متنوعة من التقنيات التي تساعد الخصوم على تحقيق ذلك. سهّلت منظمة العفو الدولية على البرامج الضارة تعديل التعليمات البرمجية الخاصة بها لتقع تحت رادار برامج الحماية من البرامج الضارة والفحص اليدوي للتهديدات.
أحد الأهداف الأساسية لمجرمي الإنترنت هو تشفير الاتصال بخوادم القيادة والتحكم (C&C) الخاصة بهم حتى يتمكنوا من تثبيت حمولات إضافية من خلال أبواب خلفية صغيرة. لذلك ، يمكنهم بشكل متكرر تغيير أدوات الهجوم مثل عناوين IP الخاصة بالموقع باستخدام خوارزميات إنشاء المجال (DGA). تتضمن بعض الأمثلة مجموعة استغلال Dridex و Pykspa و Angler. مثال آخر هو البرنامج الضار Smoke Loader الذي غيّر ما يقرب من 100 عنوان IP في أقل من أسبوعين. في هذه الحالة ، ليست هناك حاجة لأسماء المجالات ذات الترميز الثابت حيث يتم اكتشافها بسهولة. أي وصول إلى نظام الضحية مهم ، حتى لو كان وضع الحماية.
تأتي معظم DGAs بتكاليف صيانة متزايدة لذلك لا يستطيع كل المهاجمين تحملها. لهذا السبب طوروا طرقًا أخرى لا تتطلب DGA. بالنسبة لـ exa
mple ، تعمل البرامج الضارة لـ DNSChanger على تغيير إعدادات خادم DNS الخاص بالمستخدم لجعله يتصل بـ DNS خادع بدلاً من الخادم المبرمج مسبقًا بواسطة مزود خدمة الإنترنت.
هناك طريقة أخرى للبقاء دون اكتشاف البرامج الضارة في وضع الحماية وهي تشفير البيانات بتنسيقات غير قابلة للقراءة في هذه البيئة المعينة. تستخدم بعض أحصنة طروادة مثل Dridex مكالمات API مشفرة. أندروميدا بوتنت وإطار إيبولا يشفران البيانات بعدة مفاتيح لتجنب الاتصال بالخادم. تستخدم مجموعة أدوات Gauss للتجسس الإلكتروني مجموعة المسار والمجلد المحددة لإنشاء تجزئة مضمنة واكتشاف تجاوز.
سيستمر المتسللون في استخدام الذكاء الاصطناعي لإنشاء المزيد من البرامج الضارة المدمرة لمهاجمة صناديق الحماية
كانت تقنية الذكاء الاصطناعي أداة مرعبة في أيدي قراصنة أذكياء. إنهم يستخدمونه للسيطرة على صناديق الحماية في مختلف التطبيقات.
لفترة طويلة ، بدت صناديق الحماية فكرة جيدة: ما الذي يمكن أن يكون أفضل من وجود بيئة معزولة حيث يمكنك اختبار البرنامج غير الموثوق به بأمان؟ ومع ذلك ، فقد تبين أنهم ليسوا معزولين كما يريدهم المطورون. يمكن للقراصنة الذين يستخدمون الذكاء الاصطناعي إنشاء المزيد من الهجمات المروعة ضده. إن وجود مقاطعة في العمليات ، وعلامات محددة للبيئات الافتراضية ، وميزات نموذجية أخرى يفتح نافذة من الفرص للمهاجمين لتأسيس خوارزميات البرامج الضارة الخاصة بهم على النقاط العمياء لصناديق الحماية.
يحتاج مهندسو SOC إلى التأكد من أنه لا يتم فحص أصولهم الرئيسية بانتظام بحثًا عن البرامج الضارة فحسب ، بل أيضًا في وضع الحماية المستخدم في مؤسستهم ، خاصة في الأوقات التي تكون فيها غير نشطة. للحفاظ على الوضع الأمني بنجاح وتقليل فرص التطفل ، يجب على فرق الأمان إثراء قاعدة الكشف باستمرار بقواعد جديدة وتحديث الحزمة الحالية لتكون قادرة على تحديد البرامج الضارة المتغيرة باستمرار. تميل المؤسسات إلى البحث عن حلول يمكن أن توفر ما يصل إلى مئات الساعات شهريًا في بحث وتطوير المحتوى من البداية ، بالإضافة إلى البحث عن طرق لتحسين إنشاء المحتوى. يمكن تحقيق ذلك عن طريق اختيار اللغات العامة التي تجعل تطوير القواعد وتعديلها وترجمتها سريعًا ، مثل Sigma. علاوة على ذلك ، الاستفادة من أدوات الترجمة المجانية عبر الإنترنت مثل Uncoder.IO يمكن أن تساعد الفرق في توفير الوقت الكافي عن طريق التحويل الفوري لأحدث اكتشافات Sigma إلى مجموعة متنوعة من تنسيقات SIEM و EDR و XDR.
وظيفة يستخدم المتسللون الذكاء الاصطناعي لإنشاء صناديق حماية مرعبة لاستهداف البرامج الضارة ظهرت للمرة الأولى على سمارت داتا كولكتيف.
