Журнал "Information Security/ Информационная безопасность" #6, 2020

Вредоносные программы нового поколения Исследователи из IBM недавно опи- сали новый подход к вредоносному использованию ИИ. Их система DeepLoc- ker 2 встраивает возможности ИИ в саму вредоносную программу, чтобы улуч- шить методы уклонения от обнаружения. Это достигается благодаря эксплуатации общей особенности всех ИИ-систем – их необъяснимости. Одной из важнейших функций любого вредоносного ПО является проверка окружения и идентификация цели. Они необходимы, чтобы вредоносные функ- ции выполнялись именно там, где тре- буется злоумышленникам. Набор этих проверок примерно одинаков для всех вредоносных программ, поэтому служит достаточно надежным признаком, по которому антивирусы и системы защиты выявляют угрозы. Авторы DeepLocker научились маски- ровать вредоносное поведение програм- мы, реализовав проверки через глубокую нейронную сеть (Deep Neural Network, DNN), обученную на модели, соответ- ствующей заданной цели. В результате для защитных систем проверки цели они выглядят как простые математические операции между матрицами. Отсутствие необходимости явного кодирования условий запуска внутри вре- доносного ПО значительно усложняет его анализ. Например, DeepLocker использует множество атрибутов для идентификации целевой машины: про- граммное окружение, геолокацию и даже аудио и видео, что еще больше усложняет прогнозирование и определение условий запуска вредоносной программы. Но авторы DeepLocker добавили еще один уровень обфускации: встроенная в нее нейросеть не выводит явного значе- ния активации и не дает никакого ответа на вопрос "Я нахожусь на целевой маши- не?". Вместо этого программа вычисляет ключ для дешифровки полезной нагруз- ки. Но правильным этот ключ будет, лишь когда нейросеть положительно идентифицировала цель. Таким образом, любая явная инфор- мация о цели вредоносной программы замаскирована в виде матричных фак- торов, что делает практически невоз- можным реверс-инжиниринг и иденти- фикацию цели. До самого момента, когда вредоносная программа попадает в цель, остальной ее код полностью зашифрован и не поддается анализу. Сложность реализации программ с подобной DeepLocker функциональ- ностью пока является стоп-фактором для большинства разработчиков вредо- носного софта. Однако по мере развития технологий и фреймворков можно ожи- дать массового появления вредоносов нового поколения. Имитация живых людей Один из наиболее популярных спосо- бов теневой монетизации – использова- ние ботов, изображающих реальных пользователей социальных сетей и раз- личных платформ с элементами социа- лизации. Создатели таких ботов пытают- ся обмануть антибот-системы, чтобы накручивать популярность песне в Spotify или приложению в Play Market, добавить подписчиков аккаунту в Instagram, Twitter или Facebook, сгенерировать фальши- вые лайки, просмотры и отзывы. Поскольку эффективность обычных ботов невелика и подписчиков-ботов довольно быстро выявляют алгоритмы платформ, весьма распространенной практикой было привлечение к выпол- нению таких заданий живых людей. Но живые люди не хотят выполнять задания просто так, поэтому разработка ИИ, реа- листично имитирующего поведение живых людей, будет просто глотком све- 42 • ТЕХНОЛОГИИ ИИ на службе преступников: чего ждать в ближайшем будущем лоумышленники, как и вполне законопослушные граждане и компании, заинтересованы в более эффективной автоматизации и совершенствовании процессов. У авторов исследования Trend Micro Malicious Uses and Abuses of Arti- ficial Intelligence 1 особую тревогу вызывают перспективы преступного применения ИИ, которые уже в ближайшие годы позволят злоумышленникам еще больше повысить изощренность своих атак и сделать их совершенно невыявляемыми. Поговорим о будущем киберпреступного применения технологии искусственного интеллекта. З Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ Рис. 1. Принцип работы DeepLocker. Источник: BlackHat 2018 1 https://documents.trendmicro.com/assets/white_papers/wp-malicious-uses-and-abuses-of-artificial-intelligence.pdf 2 https://i.blackhat.com/us-18/Thu-August-9/us-18-Kirat-DeepLocker-Concealing-Targeted-Attacks-with-AI-Locksmithing.pdf