İşletmelerin %42'sinin 2020'de siber saldırılardan etkilendi? Siber suçlular yapay zekayı işletmelere daha verimli bir şekilde saldırmak için kullandıkça bu rakam artacak.
Yapay zeka teknolojisi, siber güvenliğin durumunu değiştiren bazı muazzam gelişmelere yol açmıştır. Siber güvenlik uzmanları bilgisayar korsanlarıyla savaşmak için AI teknolojisinden yararlanıyorlar. Yapay zeka destekli çözümler, izinsiz giriş tespiti ve önleme için akıllı güvenlik duvarlarını, olası kimlik avı saldırılarını belirlemek için yeni kötü amaçlı yazılım önleme araçlarını ve risk puanlama algoritmalarını içerir.
Ne yazık ki, yapay zeka teknolojisine erişimi olanlar sadece siber güvenlik uzmanları değil. Bilgisayar korsanları ve kötü amaçlı yazılım yaratıcıları Ayrıca yapay zeka kullanarak çok daha korkunç şekillerde.
Bilgisayar korsanları, korumalı alanların kontrolünü ele geçirmek için gelişmiş AI algoritmalarına sahip kötü amaçlı yazılımlar geliştirdi. Bu, siber güvenlik teknolojisi alanındaki en yeni tehdittir.
Yapay Zeka Destekli Kötü Amaçlı Yazılım, 2022'de Korumalı Alanlar İçin En Büyük Tehdittir
Korumalı alanlar, testleri muhtemelen güvenli bir ortamda çalıştırmak için yazılım geliştirme iş akışlarında yaygın olarak kullanılmaktadır. Bugün, uç nokta algılama ve yanıt (EDR), izinsiz giriş önleme sistemleri (IPS) gibi çoğu siber güvenlik çözümünün yanı sıra bağımsız olmaları da muhtemeldir. çözümler.
Bununla birlikte, kum havuzu ayrıca siber saldırganlar için ortak giriş noktalarıdır. Korumalı alanların çalıştığı yıllar boyunca, düşmanlar, sanal alan ortamlarında tespit edilemeyen kötü amaçlı yazılımları enjekte etmek ve hatta virüslü ağların daha yüksek seviyelerine ayrıcalık yükseltmeyi yürütmek için yapay zeka algoritmaları keşfetti.
Daha da endişe verici olan şey, sanal alandan kaçınma tekniklerinin makine öğrenimindeki ilerlemelerle birlikte gelişmeye devam etmesi ve küresel ölçekte kuruluşlar için büyüyen bir tehdit oluşturmasıdır. 2022'nin başından itibaren en yaygın kullanılan korumalı alandan kaçan kötü amaçlı yazılımları inceleyelim.
İnsanları Tanıma
Tipik olarak, sandbox'lar ara sıra kullanılmaktadır. Örneğin, güvenilmeyen yazılımı test etme ihtiyacı olduğunda. Bu nedenle, saldırganlar, kullanıcı etkileşimlerini izleyebilen ve yalnızca ikincisinin hiçbir işareti görülmediğinde etkinleştirilebilen yeni kötü amaçlı yazılım türleri geliştirmek için makine öğrenimini kullandılar.
Elbette, iletişim kutularına ve fare tıklamalarına akıllı yanıtlar gibi, kullanıcıların eylemlerini AI ile taklit etmenin yolları vardır. Dosya tabanlı sanal alanlar, insan mühendislerin herhangi bir şey yapmasına gerek kalmadan otomatik olarak çalışır, ancak gerçek kullanıcının gerçekleştireceği anlamlı eylemleri taklit etmek zordur. En son korumalı alandan kaçan kötü amaçlı yazılımlar, gerçek kullanıcı etkileşimini sahte olandan ayırt edebilir ve dahası, belirli bir gerçek kullanıcı davranışı gözlemlendikten sonra bile tetiklenir.
Örneğin, Trojan.APT.BaneChant, fare tıklamaları anormal derecede hızlıyken beklemeye programlanmıştır. Ancak, belirli bir miktarda daha yavaş tıklamayı izledikten sonra etkinleşir, örneğin, gerçek bir kullanıcıya ait olma olasılığı daha yüksek olan, orta hızda üç fare sol tıklaması. Kaydırma, bazı kötü amaçlı yazılımlar tarafından da insan olarak kabul edilir. Kullanıcı bir belgeyi ikinci sayfaya kaydırdıktan sonra etkinleştirilebilir. Bu tür kötü amaçlı yazılımları algılamak özellikle zordur, bu nedenle daha çevik SOC ekipleri, aşağıdaki gibi çözümler uygulayarak tehdit algılama kurallarının sürekli yenilenme sürecini oluşturur: SOC Prime'ın En doğru ve güncel içerikleri bulabilecekleri Kod Olarak Algılama platformu. Örneğin, sanal alanlar tarafından yakalanmadan genellikle çekirdek kodunu çalıştırabilen DevilsTongue kötü amaçlı yazılımı için satıcılar arası algılama kuralları vardır.
Nerede olduklarını bilmek
Cihaz kimlikleri ve MAC adresleri gibi ayrıntıları tarayan kötü amaçlı yazılım, gelişmiş AI algoritmalarıyla sanallaştırmayı gösterebilir ve ardından bunları bilinen sanallaştırma satıcılarının engellenen bir listesine karşı çalıştırabilir. Bundan sonra, kötü amaçlı yazılım mevcut CPU çekirdeği sayısını, kurulu bellek miktarını ve sabit sürücü boyutunu kontrol eder. VM'lerin içinde bu değerler fiziksel sistemlerden daha düşüktür. Sonuç olarak, kötü amaçlı yazılımın etkin olmaması ve korumalı alan sahipleri dinamik bir analiz çalıştırmadan önce gizlenmesi mümkündür. Bazı sanal alan satıcıları, kötü amaçlı yazılımın bunları tarayamaması için sistem özelliklerini gizleyebilir.
Korumalı alan analiz araçlarından bahsetmişken, CHOPSTICK gibi bazı kötü amaçlı yazılım türleri, bir analiz ortamını tarayarak korumalı alanda olup olmadıklarını anlayabilir. Böyle bir ortam, saldırganlar için çok riskli kabul edilir, bu nedenle çoğu virüs, onu tanırlarsa etkinleştirilmez. Sızmalarının başka bir yolu, daha küçük bir yük göndermek ve böylece tam teşekküllü saldırıyı gerçekleştirmeden önce kurbanın sistemini test etmektir.
Tahmin edebileceğiniz gibi, kötü amaçlı yazılım, temeldeki dijital altyapıyı tanımak için eğitilmiş AI araçlarıyla potansiyel olarak her türlü sistem özelliğini tarayabilir. Örneğin, bilgisayar yapılandırması hakkında bilgi edinmek için dijital imza sistemleri arayabilir veya çalışan herhangi bir antivirüs olup olmadığını görmek için işletim sistemindeki etkin işlemleri tarayabilirler.
Kötü amaçlı yazılım, sistemin yeniden başlatılmasını algılamak üzere programlanmışsa, yalnızca bu olay gerçekleştikten sonra etkinleşir. Yeniden başlatma tetikleyicileri ayrıca gerçek bir yeniden başlatmayı öykünülmüş bir yeniden başlatmadan ayırt edebilir, böylece VM'ler genellikle bu tür botları sahte bir yeniden başlatma üzerine kendilerini ifşa etmeleri için kandıramazlar.
Mükemmel Zamanlamayı Planlamak
AI ayrıca saldırıların zamanlamasını mükemmelleştirerek kötü amaçlı yazılımları daha tehlikeli hale getirdi. Zamana dayalı teknikler, sandbox kaçırmada en yaygın olanlar arasındadır. Korumalı alanlar genellikle günün her saatinde çalışmaz, bu nedenle tehditleri taradıkları sınırlı bir süre vardır. Saldırganlar, korumalı alan etkinken uykuda kalan ve kapatıldığında bir saldırı yürüten kötü amaçlı yazılımları tohumlamak için bu özelliği kötüye kullanır. Örneğin, FatDuke gibi kötü amaçlı yazılımlar, serbest CPU döngülerinden yararlanan ve korumalı alan kapanana kadar bekleyen geciktirme algoritmasını çalıştırabilir. Ardından, gerçek yükü etkinleştirir.
Daha az karmaşık kötü amaçlı yazılım örnekleri, yalnızca kod patlayana kadar önceden ayarlanmış zamanlama gereksinimlerine sahip olacaktır. Örneğin, GoldenSpy sistem içinde kaldıktan iki saat sonra etkinleşir. Benzer şekilde, “mantık bombası” tekniği, kötü niyetli kodun belirli bir tarih ve saatte yürütüldüğünü ima eder. Mantık bombaları genellikle yalnızca son kullanıcıların cihazlarında etkinleşir. Bunun için, sistem yeniden başlatmaları ve insan etkileşimi için yerleşik tarayıcılara sahiptirler.
İzi Gizlemek
Kötü amaçlı yazılım hedef sisteme bulaştığında, varlığının kanıtını gizlemek ister. Düşmanların bunu gerçekleştirmesine yardımcı olan çeşitli teknikler gözlemlenmiştir. Yapay zeka, kötü amaçlı yazılımların kendi kodunu, kötü amaçlı yazılımdan koruma yazılımı ve manuel tehdit taramasının radarına girecek şekilde değiştirmesini kolaylaştırdı.
Siber suçluların birincil hedeflerinden biri, Komuta ve Kontrol (C&C) sunucularıyla iletişimi şifrelemek, böylece küçük arka kapılar aracılığıyla daha fazla yük yükleyebilmektir. Bunun için, alan oluşturma algoritmaları (DGA) ile site IP'leri gibi saldırı yapılarını sıklıkla değiştirebilirler. Bazı örnekler Dridex, Pykspa ve Angler istismar kitini içerir. Başka bir örnek, iki haftadan kısa bir sürede yaklaşık 100 IP adresini değiştiren Smoke Loader kötü amaçlı yazılımıdır. Bu durumda, kolayca algılandıkları için sabit kodlanmış alan adlarına gerek yoktur. Bir sanal alan olsa bile, kurbanın sistemine herhangi bir erişim önemlidir.
DGA'ların çoğu yüksek bakım maliyetlerine sahiptir, bu nedenle tüm saldırganlar bunları karşılayamaz. Bu yüzden DGA gerektirmeyen başka yöntemler geliştirdiler. Exa için
Çoğu durumda, DNSChanger kötü amaçlı yazılımı, kullanıcının DNS sunucusunun ayarlarını, bir İnternet servis sağlayıcısı tarafından önceden programlanmış olan yerine hileli bir DNS'ye bağlanmasını sağlayacak şekilde değiştirir.
Kötü amaçlı yazılımların sanal alanda algılanmadan kalmasının bir başka yolu da verileri bu ortamda okunamayan biçimlerde şifrelemektir. Dridex gibi bazı Truva atları şifreli API çağrıları kullanır. Andromeda botnet ve Ebowla çerçevesi, sunucuyla iletişimi önlemek için verileri birkaç anahtarla şifreler. Gauss siber casusluk araç seti, yerleşik bir karma oluşturmak ve algılamayı aşmak için belirli yol ve klasör kombinasyonunu kullanır.
Hackerlar, Sandbox'lara Saldırmak İçin Daha Yıkıcı Kötü Amaçlı Yazılım Oluşturmak İçin Yapay Zekayı Kullanmaya Devam Edecek
AI teknolojisi, bilgili bilgisayar korsanlarının elinde korkunç bir araç oldu. Çeşitli uygulamalarda sanal alanların kontrolünü ele geçirmek için kullanıyorlar.
Uzun bir süre, korumalı alanlar iyi bir fikir gibi görünüyordu: Güvenilmeyen yazılımı güvenle test edebileceğiniz yalıtılmış bir ortama sahip olmaktan daha iyi ne olabilir? Ancak, geliştiricilerin istedikleri kadar izole olmadıkları ortaya çıktı. AI kullanan bilgisayar korsanları, ona karşı daha korkunç saldırılar oluşturabilir. Süreçlerde bir kesintinin olması, sanal ortamların belirli belirteçleri ve diğer tipik özellikler, saldırganların kötü amaçlı yazılım algoritmalarını sanal alanların kör noktalarına dayandırması için bir fırsat penceresi açar.
SOC mühendislerinin, yalnızca önemli varlıklarının kötü amaçlı yazılımlara karşı düzenli olarak taranmasını değil, aynı zamanda, özellikle etkin olmadıkları zamanlarda kuruluşlarında kullanılan sanal alanları da taramasını sağlamaları gerekir. Güvenlik duruşunu başarılı bir şekilde sürdürmek ve izinsiz giriş olasılığını en aza indirmek için güvenlik ekipleri, algılama tabanını sürekli olarak yeni kurallarla zenginleştirmeli ve sürekli mutasyona uğrayan kötü amaçlı yazılımı tanımlayabilmek için mevcut yığını güncellemelidir. Kuruluşlar, içerik araştırma ve geliştirmede sıfırdan ayda yüzlerce saate kadar tasarruf sağlayabilecek çözümler arama ve içerik oluşturmayı optimize etmenin yollarını arama eğilimindedir. Bu, Sigma gibi kuralları geliştirmeyi, değiştirmeyi ve çevirmeyi hızlandıran genel dilleri seçerek başarılabilir. Ayrıca, aşağıdakiler gibi ücretsiz çevrimiçi çeviri araçlarından yararlanarak Kod çözücü.IO en son Sigma algılamalarını çeşitli SIEM, EDR ve XDR biçimlerine anında dönüştürerek ekiplerin yeterli zaman kazanmasına yardımcı olabilir.
Sonrası Bilgisayar korsanları, Korumalı Alanları Hedefleyen Korkunç Kötü Amaçlı Yazılımlar Oluşturmak için Yapay Zekayı Kullanıyor İlk çıktı SmartData Toplu.
