卡巴斯基详解网络罪犯如何利用人工智能进行 APT 攻击
【慧聪通信网】来自全球网络安全公司的专家解释了如何在持续性威胁的每个阶段应用智能工具
有多份关于人类如何欺骗ChatGPT编写恶意软件的报告,但是人工智能(AI)在网络攻击中的可能应用不仅仅是编写恶意软件。
全球网络安全公司卡巴斯基揭露,网络罪犯可以在复杂攻击的每个阶段利用这种智能机器网络。
卡巴斯基全球研究与分析团队亚太区高级安全研究员Noushin Shabab揭示了人工智能如何协助高级持续性威胁(APT),这是一种更有针对性和更复杂的在线攻击类型。
“除了恶意软件开发之外,人工智能还可以用于复杂网络攻击的各个阶段。现在,APT行为者将复杂的技术与隐蔽的方法相结合,以逃避检测并保持持续性。新的人工智能发展可以帮助网络罪犯从事从侦察阶段到数据外泄等阶段的工作,”Shabab警告说。
正如其名称“高级”所暗示的那样,APT使用连续、秘密和复杂的黑客技术来访问系统并长时间留在内部,具有潜在的破坏性后果。
APT 攻击的主要特征之一是获得对系统的持续访问。黑客通过一系列攻击阶段实现这一目标,包括侦察阶段(收集有关目标的信息,其系统和潜在漏洞)、资源开发、执行和数据泄露。
侦察
Shabab分享说,目前至少有14个活跃的APT组织在亚太地区活动。
其中之一是Origami Elephant,已知在其资源开发阶段会获取域名和虚拟专用服务器。自2020年初以来,该威胁行为者(又被称为 DoNot 团队、APT-C-35、SECTOR02)一直以东南亚地区为目标,其主要的攻击对象为巴基斯坦、孟加拉、尼泊尔和斯里兰卡的政府和军事实体。
臭名昭著的网络间谍和网络破坏APT组织Lazarus会利用社交媒体平台和聊天应用来接近其目标,例如LinkedIn、WhatsApp和Telegram等。该威胁组织还以破坏 Web 服务(如易受攻击的 Wordpress 网站)来上传其恶意脚本而闻名。
“在侦察阶段,人工智能可以通过自动分析来自在线数据库和社交媒体平台等各种来源的数据,并收集有关目标人员、系统和公司环境中使用的应用程序的信息,帮助行为者找到和了解潜在目标。智能机器甚至可以通过评估公司的员工详细信息、第三方关系和网络架构来发现薄弱环节,”她解释说。
众所周知,人工智能也可以在恶意软件开发中发挥作用,但 Shabab 还分享说,人工智能可以帮助自动化与构建攻击基础设施相关的任务,包括购买网络基础设施、创建账户以及入侵网络基础设施和账户
初始访问
Shaba还指出,鱼叉式网络钓鱼仍然是亚太地区APT行为者的首选的初始访问技术。在该地区14个活跃的网络犯罪组织中,有 10 个使用这种手段入侵目标网络。
鱼叉式网络钓鱼是一种针对特定个人、组织或企业的电子邮件或电子通信骗局。使用这种攻击手段,网络罪犯通常是为了恶意窃取数据,也可能是为了在目标用户的计算机上安装恶意软件。
在这个初始访问阶段,人工智能可以帮助网络犯罪分子制作高度令人信服的个性化网络钓鱼信息。这些智能机器还可以经过训练,以找到进入目标网络的最佳入口点,并了解发动攻击的最佳时机。
“人工智能可以分析网络和系统活动的模式,并在低安全警戒或高噪音期间发动攻击。因此,机器可以帮助网络罪犯找到网络钓鱼活动的最佳时机,以获得初始访问权限,进入受害者的网络,”Shabab解释道。
该技术还可以根据模式、字典和以前的泄露内容智能地选择可能的密码,从而增强传统的暴力攻击能力。通过分析用户行为模式、社交媒体活动和个人信息,人工智能算法可以对密码进行有根据的猜测,从而增加成功访问的机会。
执行
在执行阶段,人工智能有能力根据安全措施调整其恶意软件的行为,从而增加成功攻击的几率。基于人工智能的混淆还可以创建多态恶意软件,改变代码结构以躲避检测。
人工智能选择的命令和脚本解释器还可以分析目标环境,了解系统特征,并选择最适合运行恶意脚本或命令的选项。人工智能驱动的社会工程策略还可以增加用户与恶意文件交互的可能性,从而提高执行阶段的成功率。
持续性
APT组织以复杂的技术而闻名,他们可以隐藏在网络中不被发现。Shabab分享了亚太地区APT行为者实现持久性的最常用技术:
计划任务/工作:计划任务启动或登录自动启动执行: 注册表运行键/启动文件夹
在这一阶段,人工智能技术可以根据用户行为分析创建最合适的脚本来执行恶意软件。威胁行为者还可以开发人工智能驱动的恶意软件,这些恶意软件可以根据目标环境的变化动态调整其持久性机制。
人工智能驱动的监视机制还可以跟踪系统更改并相应地调整持久性策略,人工智能指导的技术还可以操纵 Windows 注册表项,以更新持久性注册表键值并躲避检测。
数据泄露和影响
Shabab还解释了人工智能如何以更隐蔽、更高效的方式帮助泄露盗窃到的数据。
“人工智能可以分析网络流量模式,以便更好地融入常规网络行为,并为每个受害者确定最合适的通信渠道来泄露数据。它甚至可以优化被盗数据的混淆、压缩和加密,以避免异常流量检测,”她补充说。
她还警告说,人工智能可以通过提高攻击者行动的有效性和效率,协助将攻击影响最大化。
为了增强企业和组织抵御人工智能辅助的APT攻击的能力,Shabab给出了以下建议:
高级安全解决方案:部署使用先进方法监控用户和系统行为的安全解决方案。这有助于识别与正常模式的偏差,可能意味着潜在的恶意行为信号。定期进行软件更新:确保所有软件、应用程序和操作系统保持最新,以消除攻击者可能利用的漏洞。用户培训和安全意识培养:为员工提供有关网络安全最佳实践的培训,包括识别和避免社交工程攻击和网络钓鱼攻击。多因素认证(MFA):对访问关键系统和应用程序强制实施多因素认证(MFA),即使在凭证被泄露的情况下,也能降低未经授权访问的风险。
想要了解更多有关卡巴斯基高级安全解决方案详情,请访问:https://www.kaspersky.com/enterprise-security.
卡巴斯基将于10月25日至28日在泰国普吉岛举行的2023年卡巴斯基安全分析师峰会(SAS)上继续讨论网络安全的未来。
这次活动欢迎来自全球各地的高水平反恶意软件研究人员、全球执法机构、计算机应急响应小组以及金融服务、技术、医疗保健、学术界和政府机构的高级管理人员参加。
有兴趣的参与人员可通过以下链接了解更多详情:https://thesascon.com/#participation-opportunities.
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球220,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.