مرکز امنیت و‌ رخدادهای‌ سایبری | APK

نفوذ بدافزار مبتنی بر هوش مصنوعیِ DeepLocker در برنامه‌های کاربردی

نفوذ بدافزاری مبتنی بر هوش مصنوعی در برنامه‌های کاربردی DeepLocker

محققان شرکت DeepLocker ، IBM را به‌عنوان یک متدولوژی حمله‌ی مخفیانه توصیف می‌کنند که کلاس‌بندی مخصوص خود را دارد.

 امنیت سایبری همانند یک بازی زورآزمایی نوبتی می‌باشد. مهاجمان دست پیش را گرفته و سپس مدافعان با یک تکنولوژی برتر از آن‌ها پیشی می‌گیرند؛ البته این تکنولوژی برتر تا زمانی کاربرد دارد که مهاجمان یک تکنولوژی و یا متدولوژی جدیدی را ایجاد نکنند که نیازمند یک تکنولوژی دفاعی تازه برای مقابله به مثل باشد. به نقطه‌ای رسیده‌ایم که  تعداد زیادی از ارائه‌دهندگان خدمات امنیت سایبری مدعی هستند که با استفاده از هوش مصنوعی و شناسایی تهدیدات به‌وسیله‌ی یادگیری ماشینی، توانسته‌اند از مهاجمان پیشی بگیرند.

اما بدیهی است که این زورآزماییِ نوبتی ادامه‌دار است و انتظار می‌رود که مهاجمان از برنامه‌های کاربردی هوش مصنوعی و یادگیری ماشینی خود برای شکست‌دادن برنامه‌های کاربردی مدافعان استفاده نمایند. در کنفرانس Black Hat که اخیرا برگزار شد، شرکت IBM راهی را معرفی نمود که Black Hatها فقط از این طریق می‌توانند با مقابله به مثل با برنامه‌های کاربردی هوش مصنوعی و یادگیری ماشینی بپردازند که گروهی جدید از حملات بدافزار ارتقا یافته توسط هوش مصنوعی است که آن را DeepLocker می‌نامند.

دکتر مارک استوئکلین،  مدیر و محقق تحقیقات اساسی در بخش امنیت سایبری شناختی شرکت IBM Research، این متدولوژی را برای سایت خبری SecurityWeek توصیف نمود. تیم دکتر استوئکلین، همان تیمی هستند که پروژه Watson را در IBM شروع نمودند. با اینکه هدف اصلی این تیم توسعه‌ی برنامه‌های کاربردی هوش مصنوعی تازه برای تقویت امنیت و بهبود شناسایی تهدیدات می‌باشد، این تیم به گفته‌ی دکتر استوئکلین بر روی دستیابی به درک درستی از اهداف و مقاصد مهاجمان نیز تمرکز دارد. این تیم در جهت درک گستره‌ی تهدیدات، تغییروتحول تکنولوژی‌ها و اینکه مهاجمان چگونه از تغییرات درحال وقوع در تکنولوژی سود می‌برند، وقت زیادی را صرف می‌نماید.

شاید بتوان گفت که هوش مصنوعی تغییر اساسی کنونی در تکنولوژی می‌باشد. دکتر استوئکلین هشدار داد که با پیشبرد و دموکراتیزه‌نمودن هوش مصنوعی، تغییر تازه‌ای در حال وقوع است که در نتیجه‌ی آن مهاجمان می‌توانند با سرعت و آسانی فراوان، از ابزار هوش مصنوعی کنونی که متن باز هستند سلاح‌سازی کرده و حملات بسیار مؤثری ایجاد نمایند. DeepLocker نتیجه‌ی تحقیقات در وادی محتمل‌های جهان حال حاضر فقط با استفاده از تکنولوژی‌های هوش مصنوعی رایگان و متن باز کنونی می‌باشد.  برخی از مهاجمان اصلاً  احتیاجی به توسعه‌ی چیز تازه‌ای ندارند، بلکه فقط باید از تکنولوژی موجود به شیوه‌ای تازه استفاده نمایند.

براساس گفته‌های دکتر استوئکلین، DeepLocker از هوش مصنوعی استفاده می‌نماید تا هر Payload مخربی را به‌صورت نامرئی درون یک برنامه‌ی کاربردی بی‌خطر و محبوب، برای مثال هرگونه برنامه‌ی کاربردی محبوب مخصوص برگزاری کنفرانس، پنهان نماید. با DeepLocker می‌شود یک Payload مخرب را درون یک برنامه‌ی کاربردی برقراری کنفرانس‌های ویدیویی پنهان نمود. از طریق استفاده از هوش مصنوعی، مهندسی معکوس شرایط Unlock نمودن رفتارهای مخرب تقریباً غیرممکن است.

بطور خلاصه‌، DeepLocker یک متدولوژی برای  پنهان‌سازی بدافزارها درون یک برنامه‌ی کاربری قانونی و آن‌هم به شیوه‌ای می‌باشد که هیچ محقق یا شکارچی تهدیدی نتواند متوجه حضور آن شود.  اما DeepLocker پا از این امکان فراتر می‌گذارد. کلید Unlock و Detonate کردن بدافزار شناسایی Biometric یک هدف از پیش تعیین‌شده می‌باشد. این بدین معنی است که بدافزار DeepLocker می‌تواند به‌صورت گسترده میان میلیون‌ها کاربر توزیع شده، ولی تنها نسبت به هدف یا اهداف مشخصی فعال گردد.

براساس نوشته‌ی دکتر استوئکلین در یک وبلاگ مرتبط، می‌توان این توانایی را با شلیک دقیق یک سلاح تک تیرانداز مقایسه کرد تا شلیک نامنظم و گسترده‌ی یک سلاح ساچمه‌ای که همانند حملات قدیمی بدافزار می‌باشد. DeepLocker طوری طراحی شده است که مخفیانه و دور از دید باشد تا از شناسایی بگریزد، مگر در لحظه‌ی نهایی و هنگامی‌که هدف مشخصی شناسایی شده باشد. چیزی که موجب مهم بودن این بدافزارِ ارتقایافته توسط هوش مصنوعی می‌گردد، این است که همانند طریقه‌ی عملکرد بدافزار Nation-State، این بدافزار می‌توان میلیون‌ها سیستم را بدون اینکه مورد شناسایی قرار گیرد آلوده سازد و Payload مخرب خود را تنها بر روی اهداف مشخصی آزاد کند که صاحب این بدافزار تعیین نموده است. اما برخلاف بدافزار Nation-State، این امر که در حیطه‌ی شهروندی و تبلیغاتی میسر می‌باشد.

IBM مشخص نکرد که Nation-State درحال حاضر از این ترفند خاص استفاده می‌نماید یا خیر، اما مسلما غیرممکن نیست. برای مثال Stuxnet که یک حمله‌ی هدفمند علیه ایران بود، شناسایی شد و در نهایت مهندسی معکوس شده و شناخته شد که در نتیجه‌ی این امر رسوایی قابل‌توجهی برای دولت آمریکا و همچنین با میزانی کمتر، برای اسرائیل پیش آمد.

تقریباً شکی وجود ندارد که اگر Payload حمله‌ی Stuxnet در متدولوژی DeepLocker کارگذاری می‌شد، این حمله به هیچ‌عنوان قابل شناسایی و مهندسی معکوس نبود و شناسایی عامل پشت حمله تقریباً غیرممکن بود. Nation-Stateها می‌توانند حملاتی به‌شدت هدفمند و با مصونیت بسیار بالا را به انجام برسانند. Exploitهای Zero-Day را می‌توان با اطمینان کمتری از مهندسی معکوس مدافعان و ایجاد تدافعات توسط آن‌ها، پیاده‌سازی نمود.

به تازگی IBM در کنفرانس Black Hat، از یک Wannacry Payload کارگذاری‌شده در Deeplocker در یک برنامه‌های کاربردی برقراری کنفرانس ویدیویی استفاده نمود که با شناسایی قربانی نهایی موردنظر، فعال می‌شد. این مثال سناریوی مخربی است. فعال‌سازی یک Wiper هدف‌قرارگرفته می‌تواند در ابتدا کامپیوتر هدف را نابود ساخته و درعین‌حال تمام مدارک و اسناد وقوع هرگونه حادثه‌ای را پاک نماید.

به گفته‌ی دکتر استوئکلین، می‌توان هوش مصنوعی را آموزش داد که یک فرد، قربانی یا هدف مشخص را شناسایی کند و هنگامی‌که آن فرد روبه‌روی کامپیوتر نشسته و از طریق وب‌کم قابل شناسایی است، کلیدی استخراج شود که به نرم‌افزار اجازه می‌دهد رفتار مخرب را Unlock نماید.

Trigger فعال‌سازی می‌تواند هرچیزی باشد؛ از شناخت چهره گرفته تا بیومتریک های رفتاری یا وجود یک برنامه‌ی کاربردی خاص بر روی سیستم که می‌تواند جهت هدف قراردادن یک گروه یا سازمان مشخص، کمک‌رسان باشد. به گفته‌ی IBM می‌توان برای مثال روزنامه‌نگاران حاضر در کنفرانس را درنظر گرفت. هرروزنامه‌نگار مطالب زیادی می‌نویسد و Stylometry مخصوص خود را دارد. می‌توان هوش مصنوعی را به گونه‌ای آموزش داد که مجموعه‌ای از اسناد با Stylometry یک روزنامه‌نگار خاص را شناسایی کرده و براساس این شناسایی فعال گردد. معیارهای دیگری همچون موقعیت جغرافیایی و آدرس IP نیز می‌توان اضافه کرد و در آن صورت تنها به جزئیات اندکی نیاز است تا بتوان مشخصاً هرکسی را در جهان از افراد دیگر متمایز و شناسایی نمود.

فقط بحث ‌ توزیع باقی می‌ماند که به پیشنهاد IBM، درست همانند CCleanr، می‌توان از Upstream استفاده نمود. نرم‌افزار CCleaner توسط مهاجمان آلوده شده و توسط میلیون‌ها کاربر دانلود شده بود. اگر این آلودگی در DeepLocker پنهان‌شده بود، فقط هدف یا اهداف مشخص توسط بدافزار مربوطه آلوده می‌شدند.  دیگر اهداف Upstream شامل Add-Onهای CMS می‌باشد که مهاجم از استفاده‌ی آن‌ها توسط کاربر آگاه است.

علی‌رغم اینکه این تهدید بسیار جدی به‌نظر می‌آید، موفقیت آن حتمی نیست. این تهدید از استفاده‌ی روز‌افزون از حملات مبتنی بر هوش مصنوعی سرچشمه می‌گیرد که ابزار مبتنی بر قوانین قدیمی را به چالش می‌کشند. به گفته‌ی دکتر استوئکلین، ما نیز باید به‌عنوان مدافع از قدرت هوش مصنوعی در فرآیند توسعه‌ی تدافعات در برابر این گونه‌ی جدید از حملات بهره ببریم. چند ناحیه که باید بلافاصله به آن توجه نشان داده شود، استفاده از هوض مصنوعی در Detectorها و فراتر رفتن از امنیت، استدلال و خودکارسازی مبتنی بر قوانین به‌منظور تقویت تأثیر تیم‌های امنیتی و حقه‌های سایبری در جهت گمراه‌سازی و غیرفعال‌نمودن حملات مبتنی بر هوش مصنوعی می‌باشد.

در عین‌حال، این باور وجود دارد که DeepLocker واقعاً غیرقابل شناسایی است. به گفته‌ی ایلیا کولوچنکو، CE کمپانی High-Tech Bridge ما همچنان برای رسیدن به تکنولوژی‌های هوش مصنوعی و یادگیری ماشینی مخصوص هک کردن که بتوانند از مغز یک خلافکار سایبری فراتر روند، راه زیادی در پیش داریم. البته خلافکاران سایبری همین حالا هم به‌صورت مؤثر مشغول استفاده از تکنولوژی‌های یادگیری ماشینی و Big Data در جهت افزایش تأثیر و بازده کلی حملات خود می‌باشند. اما این امر به اختراع تکنولوژی‌های هک تازه یا چیزی که ورای حیطه‌ی تازه‌ای از Exploitation یا حملات باشد نمی‌انجامد چرا که می‌توان با استفاده از تکنولوژی‌های دفاعی کنونی، در برابر تمام آن‌ها ایستادگی نمود. علاوه‌براین، شرکت‌های امنیت سایبری بسیاری نیز درحال استفاده‌ی بهینه از یادگیری ماشینی می‌باشند و عملکرد خلافکاران سایبری را مختل می‌نمایند. از همین‌رو، در حال حاضر هیچ جای نگرانی وجود ندارد.

اشتراک امنیت

دسته ها