Вредоносное ПО с искусственным интеллектом, представленное на конференции Blackhat, в настоящее время привлекает большое внимание. Что особенного: вредоносное ПО должно использовать искусственный интеллект, чтобы решить, атакован ли конкретный компьютер или нет. По мнению экспертов, оснований для паники на данный момент нет.

На конференции Blackhat в Лас-Вегасе исследователи вредоносного ПО из IBM представили DeepLocker — вредоносное ПО, демонстрирующее новые способы, с помощью которых вредоносные файлы могут защитить себя от обнаружения с помощью методов искусственного интеллекта. В случае большинства процессов ИИ, например, нейронных сетей, трудно понять, как они принимают решения и какие действия ими инициируются.

Это уже проблема для исследователей ИИ. И это также проблема для аналитиков вредоносного ПО, поскольку логика программы больше не видна только путем анализа кода. В лекции показано, что арсенал методов анализа необходимо расширять. Вредоносное ПО DeepLocker также показывает, что злоумышленники также имеют в своем распоряжении новые возможности на основе искусственного интеллекта, такие как распознавание лиц или проверка говорящего, для определения правильной целевой системы. Это делает вклад исследователей IBM очень ценным.

С другой стороны, эффекты этих нововведений также необходимо классифицировать соответствующим образом. Дело в том, что вредоносное ПО ускользает от анализа. Но они занимаются этим уже более 30 лет и арсенал мер сокрытия и самозащиты обширен. В течение столь же длительного времени технологии обнаружения решений ИТ-безопасности совершенствовались, расширялись и дополнялись новыми процедурами.

Сигнатуры антивирусного сканера обычно основаны на коде вредоносных программ. Использование процессов ИИ здесь может привести к проблемам. Однако можно распознавать процессы на базе ИИ и создавать на этой основе подписи.

Современные решения безопасности также все чаще полагаются на методы обнаружения на основе поведения, которые позволяют легко обнаружить глубокие и уникальные методы запутывания. По этой причине решения безопасности также могут защитить от таких новых угроз.

В прошлом году IBM специально продемонстрировала вариант программы-вымогателя WannaCry, которая парализовала корпоративные сети по всему миру. В приведенном примере троян-шифровальщик становился активным только тогда, когда интегрированное в него программное обеспечение для распознавания лиц идентифицировало конкретного человека. Это может быть, например, генеральный директор компании.

DeepLocker не меняет поведение файла в системе. Даже если в решении безопасности возникнут трудности с процессом принятия решения о вредоносном файле относительно того, будет ли файл заражать компьютер или нет, обнаружение на основе поведения обнаружит и предотвратит заражение WannaCry или другим вымогателем.

Блокировщик на основе поведения проверяет, происходят ли в системе определенные подозрительные действия или нет. Например, в случае с программами-вымогателями программное обеспечение может обнаружить, когда процесс массово удаляет резервные копии, которые можно использовать для восстановления удаленных данных.

Самое позднее, когда процесс начинает шифровать большое количество данных одновременно без какого-либо вмешательства пользователя, программное обеспечение прервет процесс или, в случае сомнений, спросит пользователей, хотят ли они в данный момент зашифровать данные.

В будущем необходимо будет внимательно следить за тем, использует ли вредоносное ПО методы искусственного интеллекта, чтобы попытаться замаскировать собственную деятельность. В настоящее время существуют устоявшиеся способы, приводящие к одному и тому же результату.

Например, с помощью различных упаковщиков, которые не могут быть легко прочитаны антивирусными программами, или с помощью самостоятельно созданных языков сценариев. Еще неизвестно, будут ли авторы вредоносных программ действительно использовать новые методы.

Это хорошо, что IBM продемонстрировала внимание к новым методам сокрытия активности вредоносных программ на конференции по безопасности, такой как Blackhat. Однако показанный подход не является фундаментальной проблемой для индустрии безопасности.

DeepLocker и аналогичные вредоносные программы с искусственным интеллектом продолжают использовать файлы и библиотеки, которые можно обнаружить. Если такое вредоносное ПО появляется, то также можно обнаружить его с помощью настроенных сигнатур или новых правил, основанных на поведении. В решениях безопасности уже много лет используется машинное обучение и искусственный интеллект для обнаружения вредоносных файлов.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, системное администрирование, SEO и реклама в интернете с 2004 года.