还在怕黑客勒索病毒敲竹杠?AI助力识别恶意软件

 领域应用     |      2020-02-17     |     作者:万博智能科技有限公司
 2 月 17 日消息,我们可以想象下这样的场景:当你有事前往法院时,却看到门上贴着通告,上面写着“系统故障”;警察现场办案时,却发现无法在他们的车内访问笔记本电脑上的信息;当医生准备为患者手术时,医疗设备却处于宕机状态,这些异常情况会产生什么样的可怕后果?然而,这就是城市、警察局或医院遭到勒索软件攻击时可能遇到的情况。
 
  勒索软件是可以加密或控制计算机系统的恶意软件。发动这些攻击的罪犯可以拒绝还回访问权限,直到他们拿到赎金。在 2019 年之前,勒索软件大多针对企业和个人。然而近年来,针对 Travelex、Maersk 等石油和天然气公司以及工业控制系统的攻击,已经导致数亿美元的巨额损失。
 
  但越来越多的城市、供电设施以及面向公众的机构也成为攻击目标。随着攻击的日益增加,越来越多的安全专家正在使用人工智能(AI)来提高防御恶意软件攻击的效率。但也有人担心,犯罪分子也将开始使用 AI 将勒索软件武器化,并策划更有效的袭击。
 
  易受攻击的目标
 
  安全公司 Emsisoft 的分析发现,仅在 2019 年,就大约有 85 所美国学校、100 个美国地方和州政府,以及 700 多个医疗保健服务提供商遭受了勒索软件攻击。这还不包括最近德克萨斯学区遭受的袭击事件(损失 230 万美元),也不包括导致新奥尔良市宣布进入紧急状态的袭击事件。新奥尔良市长拉托亚·坎特雷尔(LaToya Cantrell)表示,勒索软件攻击造成的损失超过了该市 300 万美元的网络保险单上限。
 
  针对面向公众机构的勒索软件攻击尤其令人担忧,因为与个人或企业不同,城市、学校和医院为公众提供着基本的公共安全和服务。Emsisoft 的报告称,2019 年,勒索软件中断了 911 服务,推迟了手术程序,并使应急官员难以访问医疗文件、扫描员工徽章和查看未完成的逮捕令。
 
  即使没有 AI 为勒索软件带来的升级,网络犯罪分子也在造成大量破坏,攻击频率和造成的损失都在上升。巴尔的摩花费了 1800 万美元来解决 2019 年勒索软件袭击造成的损失。在此之前,亚特兰大市的一次袭击造成了约 1700 万美元损失。根据 Barracuda Networks 的分析,小城市特别容易受到攻击,因为 2019 年近半被攻击城市的人口在 5 万人以下。分析还发现,2019 年三分之二的勒索软件攻击针对的是政府组织。
 
  回过头来看,有时似乎对城市的勒索软件攻击甚至不知从何而来,但 Malwarebytes Labs 主任亚当·库贾瓦(Adam Kujawa)表示,这一趋势可以追溯到 2017 年底,当时 WannaCry、Petya 和 NotPetya 重新定义了恶意软件。这些攻击能够加密数据并将它们传播到全球各地的网络,这让网络罪犯看到了新的可能性。一个针对乌克兰供电公司的蠕虫像数字脏弹一样在全球传播,造成的损失高达 100 亿美元。
 
  然后在 2018 年末,Malwarebytes Labs 发现了涉及 EmoTet 的攻击,EmoTet 会窃取凭证,通过垃圾邮件模块传播恶意软件,然后使用 TrickBot 等恶意软件横向移动并感染网络。库贾瓦说:“从那时起,我们开始看到越来越多的特定攻击方法,然后是对这种攻击方法的各种改进,直到演变到现在的样子。”
 
  Barracuda Networks 表示,电子邮件是攻击者访问城市系统的最常见方式,其次是 PDF 和微软 Office 文档。钓鱼电子邮件和文档有时被设计成适合城市通常收到的电子邮件和文档的类型,比如发票或发货通知。
 
  库贾瓦表示,这些工具的演变以及其他袭击带来的更高投资回报,使更多的犯罪活动转向了政府机构。他指出,城市服务和医院正成为更大的目标,因为它们包含如此多的个人身份信息(PII),需要始终发挥作用才能服务于社会。城市以采用新技术的速度低于平均水平而闻名,包括旨在修补最新漏洞的软件更新。他们的员工中也不太可能有网络安全专家,而且他们的文化可能没有认真对待网络安全。
 
  犯罪手段似乎也在升级。攻击者不仅威胁要加密文件和限制访问,现在还威胁要在网上发布文件。库贾瓦指出:“开始威胁将内部文件和客户信息泄露到开放网络中,这很可能成为一种标准的操作程序,这将把勒索软件攻击变成全面的数据泄露事件。这将给受到攻击的组织带来更多的问题。”
 
  罪犯索取的赎金(通常要求用比特币)也在上升。Malwarebytes Labs 发现,2019 年攻击者向政府和学校索要的赎金从最初的 1000 美元左右飙升至年底的 4 万美元以上。安全公司 Coveware 预计,2019 年第四季度的平均赎金勒索金额超过 8 万美元。
 
  另一个令人担忧的问题是,实施勒索软件攻击的组织开始销售勒索软件,允许技术知识较少的犯罪分子自己发动攻击,库贾瓦称这种模式为“勒索软件为服务”,这几乎已经形成了独立的经济模式。
 
  支付赎金城市的失误
 
  巴尔的摩在十几个月的时间里遭受了两次勒索软件攻击,这是情况可能变得如此糟糕的最引人注目、最昂贵和最持久的例子。第二起袭击发生在 2019 年 5 月,到结束时,这座城市已经损失了近 1800 万美元。
 
  关于城市是否应该支付赎金的要求存在很大争议。库贾瓦说,巴尔的摩没有支付赎金是个错误,该市也没有制定总体政策。2019 年夏天的袭击事件加强了双方在是否支付赎金问题上的分歧。去年 6 月,佛罗里达州的湖城和里维埃拉海滩分别支付了约 50 万美元和 60 万美元的赎金。相比之下,德克萨斯州近 20 多个城市在 2019 年 8 月的集体袭击中受到攻击,但没有任何城市支付赎金。
 
  有些城市试图通过购买网络保险来采取积极措施,防止潜在的勒索软件损失。在新奥尔良发生攻击事件后,坎特雷尔表示,该市计划将其网络保险覆盖金额从 300 万美元提高到 1000 万美元,而巴尔的摩预算委员会在 2019 年 10 月批准了一项 2000 万美元的网络安全保单。
 
  库贾瓦说,网络保险将问题从从未遇到过勒索软件的人手中拿出来,并将其移交给始终在处理这个问题的人。他称:“很明显,外面有很多骗子,我绝对认为网络安全保险在我们今天的社会中非常重要,而且未来会更有价值,只要它不只是为了抬高补救成本而存在。“
 
  无论如何,城市宣布他们有网络保险是不明智的,巴尔的摩就犯了这样的错误。这只会招致罪犯勒索数额更大的赎金,并在某种程度上喂饱了这头“野兽”。几乎没有袭击面向公众机构的肇事者被绳之以法,这一事实可能会加剧勒索软件的流行趋势。
 
  AI 如何防范勒索软件攻击
 
  为了防止勒索软件的传播,安全软件使用 AI 来检测、隔离和删除受感染的文件。安全软件可以使用无监督机器学习来创建 AI 模型,这些模型由数据集训练,以识别干净文件和恶意文件之间的差异。自然语言处理(NLP)和计算机视觉有助于检测电子邮件或文档中的异常行为。微软正在使用运行在传统分类模型之上的单调模型,可以捕获 95% 的恶意软件。这项技术是由加州大学伯克利分校的 AI 研究人员开发的。
 
  网络安全公司 Capgeini 在报告中发现,AI 正在帮助该行业更快地发展,并专注于解决最大的问题。接受调查的安全专业人士中有四分之三表示,AI 减少了检测恶意软件的时间。三分之二的人表示,AI 降低了应对入侵的成本。反病毒和安全公司越来越多地采用 AI。在 2019 年之前,大约五分之一的安全组织使用 AI,三分之二的组织计划在 2020 年采用这项技术。
 
  AI 如何助长勒索软件攻击
 
  库贾瓦表示,鱼叉式网络钓鱼仍然是传递恶意软件的主要方法,这一事实表明,人们仍然很容易受到有时会出现在他们电子邮件收件箱中的那种欺诈的影响。
 
  这也反映了这样一个事实,即今天的勒索软件袭击似乎不需要 AI 的帮助。Malwarebytes Labs 和 Barracuda Networks 尚未在实验室外看到 AI 在勒索软件中的应用。Malwarebytes Labs 对恶意软件潜在武器化的分析预测,带有 AI 的勒索软件在未来一到三年内都不会流行起来。
 
  库贾瓦称,他当前最关心的是 AI 加入进来的想法,这种想法可以描述组织中最适合瞄准的人。AI 还可以发现将恶意软件传播到世界各地大量机器的路径,并成为 AI 军备竞赛中的“弹药”。这样的方法可以利用特定安全供应商检测或训练模型的漏洞类型,来检测攻击的软区域。
 
  库贾瓦解释称:“有些研究人员已经做了实验室测试,并创造了内部的 AI 恶意软件。这当然是可能的事情,但我们在实际中如何看到它出现,看到其出现的频率,这才是我最担心的。我确实看到 AI 和机器学习被用来从泄密、社交媒体或其他任何地方抓取数据,以创建特定用户的个人资料或理想受害者的个人资料。你可以利用所有这些信息来创建更高效的鱼叉式网络钓鱼攻击,来对付企业或任何你想要对付的人。”
 
  未来发展趋势预测
 
  安全公司 Barracuda Networks 首席技术官弗莱明·施(Fleming Shi)说:“希望 2018 年和 2019 年吸取的经验教训将在 2020 年为这些组织带来更高的安全保障,但我们知道这可能不是所有组织都能做到的,袭击会变得更糟。“
 
  弗莱明·施预测,2020 年,美国大选“摇摆州”的小城镇可能会看到民族国家行为者发动更多袭击,以此作为在 11 月美国总统大选之前发现漏洞的方式。他说:“那些在选举决定中起重要作用的人有时会成为攻击目标。我的观点是,我觉得我们还没有为大选年做好准备,没有适当的防御措施。”
 
  但库贾瓦认为,我们不太可能在摇摆州的小城市看到这种类型的攻击,因为有更微妙的方法来测试系统。然而,他和弗莱明·施一样担心,城市和面向公众的机构未来可能会看到民族国家行为者实施的勒索软件攻击增加,因为他们的动机不仅仅是金融敲诈勒索。
 
  WannaCry 在全球造成的损失估计在 40 亿至 80 亿美元之间,它是由 Shadow Brokers 传播的,这些人被认为与俄罗斯政府有关联。从美国国家安全局黑客组织窃取的漏洞 EternalBlue,暴露了黑客在 WannaCry、Petya 和 NotPetya 攻击中使用的 Windows 操作系统的漏洞。
 
  特朗普政府称 NotPetya 是“史上破坏性最大、代价最高的网络攻击”,导致美国财政部在 2018 年对俄罗斯政府实施制裁。美国财政部公布了对 NotPetya 的制裁,以及对干预 2016 年总统选举行为的制裁措施。
 
  库贾瓦看到安全专家现在对犯罪集团的能力和勒索软件的流行有了更多的认识,这让他感到鼓舞。越来越多的城市开始实施最佳实践,将 PII 置于另一层保护技术之后,并在发生攻击时立即做出反应。他补充说,Barracuda Networks 和 MalwareBytes 等安全公司正在使用 AI 更好地检测 SamSam、Ryuk、RobbinHood 和 LockerGoga 等勒索软件。
 
  库贾瓦表示:“我们正朝着更好的方向发展,安全领域的许多行业也在朝这个方向发展。这必须是 AI 与 AI 之间的较量。如果网络罪犯真的开始利用这些东西,我们需要能够在他们袭击之前阻止威胁,我们必须能够在甚至不知道威胁存在的情况下阻止威胁出现。”