В последние годы киберзлоумышленники стали все более умело обходить меры безопасности и успешно атаковать пользователей технологий. Разработка эффективных методов обнаружения, нейтрализации или смягчения последствий этих атак имеет первостепенное значение.
Среди типов кибератак, которые могут нанести значительный ущерб жертвам, есть атаки с использованием программ-вымогателей — вредоносного программного обеспечения, которое лишает пользователей доступа к их учетным записям, веб-сайтам или компьютерным системам до тех пор, пока они не заплатят злоумышленнику определенную сумму денег. Некоторые из этих атак могут научиться обходить меры безопасности с использованием генеративно-состязательных сетей (GAN), архитектур глубокого обучения, которые могут улучшить свою производительность при выполнении конкретной задачи методом проб и ошибок.
Архитектуры на основе GAN состоят из двух искусственных нейронных сетей, которые конкурируют друг с другом за получение все более «лучших» результатов при выполнении конкретной задачи. В данном случае это может повлечь за собой анализ особенностей вредоносного ПО , которое обходит меры безопасности, и повышение квалификации в разработке этого вредоносного ПО.
Исследователи из Техасского университета A&M и Технического университета Хо недавно разработали новый подход к созданию образцов вредоносных программ-вымогателей, который они назвали эволюционно-генеративной состязательной сетью (EGAN). Было обнаружено, что этот метод генерирует программы-вымогатели, которые могут успешно обходить многочисленные коммерческие антивирусные решения на базе искусственного интеллекта и методы обнаружения вредоносных программ.
Работа опубликована на 48-й конференции IEEE по локальным компьютерным сетям (LCN) 2023 года.
«Состязательное обучение — это проверенная стратегия защиты от вредоносных программ», — написали в своей статье Дэниел Комми, Бенджамин Аппиа и их коллеги. «Однако создание образцов вредоносного ПО для такого типа обучения представляет собой проблему, поскольку полученное вредоносное ПО должно оставаться уклончивым и функциональным.
«В этой работе предлагается структура атаки EGAN для устранения этого ограничения. EGAN использует стратегию эволюции и генеративно-состязательную сеть для выбора последовательности действий атаки, которые могут видоизменить файл программы-вымогателя, сохраняя при этом его исходную функциональность».
EGAN, структура, разработанная Комми, Аппиа и их коллегами, сочетает в себе стратегию эволюции (ES), метод оптимизации, основанный на концепции эволюции, с GAN. Агент ES в EGAN конкурирует с алгоритмом, обученным классифицировать программы-вымогатели, тестируя различные действия по сохранению функциональности, которые можно применять к образцам программ-вымогателей.
«Подход определяет наиболее оптимальную последовательность действий, которая приводит к неправильной классификации для каждого конкретного образца программы-вымогателя», — пишут исследователи в своей статье. «Если манипуляции агента ES окажутся эффективными, GAN используется для создания вектора состязательных признаков, который изменяет файл программы-вымогателя, делая его безопасным».
Коми, Аппиа и их коллеги оценили свой подход в серии экспериментов и обнаружили, что он позволяет создавать программы-вымогатели, которые успешно обходят многие коммерчески доступные антивирусные и вредоносные системы обнаружения. Эти результаты демонстрируют значительную угрозу, исходящую от вредоносных программ-вымогателей, и подчеркивают необходимость разработки более сильных мер безопасности, которые лучше предотвращают эти атаки.
«Мы протестировали эту платформу на популярных коммерческих антивирусных системах на базе искусственного интеллекта, представленных на VirusTotal, и продемонстрировали, что наша структура способна обходить большинство этих систем», — написали Комми, Аппиа и их коллеги в своей статье.
«Более того, мы оценили, может ли система атак EGAN обойти другие коммерческие антивирусные решения, не связанные с искусственным интеллектом. Наши результаты показывают, что созданные вредоносные программы-вымогатели могут увеличить вероятность уклонения от некоторых из них».
В будущем эта недавняя работа может вдохновить на разработку новых методов кибербезопасности для защиты компьютерных систем от вредоносных программ-вымогателей. Тем временем исследователи планируют продолжить исследование рисков, связанных с вредоносным ПО.
«В будущих исследованиях мы планируем изучить другие действия и дополнительные структуры эксплуатации PE-файлов (переносимых исполняемых файлов), которые могут избежать динамического анализа», — заключили исследователи в своей статье. «Наши эксперименты показывают, что применяемым в настоящее время действиям не хватает надежности, необходимой для уклонения от динамического анализа из песочницы Cuckoo».