サイバー犯罪者はAIを利用してマルウェア攻撃ソフトウェアにサンドボックスを作成

2020 年に世界中の企業の 42% がサイバー攻撃を受けたことをご存知ですか? サイバー犯罪者が AI テクノロジーを使用してサイバー攻撃をより効果的に実行するにつれて、その数は増加するでしょう。

人工知能技術は間違いなく大きな進歩をもたらし、サイバーセキュリティの状況も変えました。サイバーセキュリティの専門家は、ハッカーと戦うために人工知能技術を使用しています。 AI を活用したソリューションには、侵入検知と防止のためのインテリジェント ファイアウォール、新しいマルウェア防止ツール、フィッシング攻撃の可能性を識別するリスク スコアリング アルゴリズムなどが含まれます。

残念ながら、AI テクノロジーを使っているのはサイバーセキュリティの専門家だけではありません。ハッカーやマルウェア作成者も、より恐ろしい方法で AI を使用しています。

AI 駆動型マルウェアは 2022 年のサンドボックスに対する最大の脅威

サンドボックスは、潜在的に安全な環境でテストを実行するために、ソフトウェア開発ワークフローで現在広く使用されています。現在では、エンドポイント検出および対応 (EDR)、侵入防止システム (IPS)、スタンドアロン ソリューションなど、ほとんどのネットワーク セキュリティ ソリューションに組み込むこともできます。

しかし、サンドボックスはサイバー攻撃者にとって一般的な侵入ポイントでもあります。サンドボックス化の長年にわたる研究で、サイバー攻撃者は人工知能アルゴリズムを使用して、サンドボックス環境では検出が困難なマルウェアを注入し、感染したネットワークのより高いレベルに権限を昇格させることさえできることを発見しました。

さらに憂慮すべきことに、サンドボックス回避技術は機械学習の進歩とともに進化し続けており、世界中の企業にとって脅威が増大しています。ここでは、2022 年初頭の時点でサンドボックスを攻撃する最も広く使用されているマルウェアを振り返ります。

人間の行動を特定する

通常、ユーザーはサンドボックスを時々使用します。たとえば、信頼できないソフトウェアをテストする必要がある場合などです。その結果、サイバー攻撃者は機械学習を利用して、ユーザーの操作を追跡し、必要なときにのみ起動できる新しいマルウェアを開発しました。

もちろん、マウスのクリックやダイアログ ボックスへのインテリジェントな応答など、AI を使用してユーザーの行動をシミュレートする方法もあります。ファイルベースのサンドボックスは、エンジニアが何もしなくても自動的に実行できますが、実際のユーザーが実行する意味のあるアクションを偽装することは困難です。サンドボックスを標的とする最新のマルウェアは、実際のユーザー操作と偽のユーザー操作を区別でき、さらに重要なことに、実際のユーザーの行動を観察した後で起動することもできます。

たとえば、Trojan.APT.BaneChant は、マウスのクリックが異常に速い場合に待機するようにプログラムされています。ただし、ユーザーが操作する可能性が高い、中程度のペースでの 3 回の左クリックなど、より遅いクリックを一定回数追跡した後にアクティブになります。一部のマルウェアは、ドキュメントのスクロールが人間によって生成されたものであると想定します。ユーザーがドキュメントを 2 ページ目までスクロールした後にアクティブ化できます。この種のマルウェアの検出は特に難しいため、アジャイル SOC チームは、最も正確で最新のコンテンツを見つけることができる SOC Prime の Detection as Code プラットフォームなどのソリューションを実装して、脅威検出ルールの継続的な更新プロセスを確立しています。たとえば、DevilsTongue マルウェアにはベンダー間の検出ルールがあり、サンドボックスで検出されることなくカーネル コードを実行できる場合がよくあります。

彼らがどこにいるかを知る

マルウェアは、デバイス ID や MAC アドレスなどの詳細をスキャンすることで、高度な AI アルゴリズムを通じて仮想化を検出し、既知の仮想化ベンダーのブロックリストに対して実行することができます。その後、マルウェアは利用可能な CPU コアの数、インストールされているメモリの量、およびハードディスクのサイズをチェックします。仮想マシン内では、これらの値は物理システム内よりも低くなります。その結果、サンドボックスの所有者が動的分析を実行するまで、マルウェアは静的のまま隠れたままになる可能性があります。ただし、一部のサンドボックスベンダーは、マルウェアがスキャンできないようにシステム仕様を隠すことができます。

サンドボックス分析ツールといえば、一部のマルウェアタイプ（Choppestick など）は、分析環境をスキャンすることでサンドボックス内にあるかどうかを識別できます。このような環境はサイバー攻撃者にとってリスクが高すぎると考えられるため、ほとんどのウイルスは識別されても活性化しません。侵入するもう 1 つの方法は、小さなペイロードを送信して、本格的な攻撃を実行する前に被害者のシステムをテストすることです。

予想どおり、マルウェアは、基盤となるデジタル インフラストラクチャを識別するようにトレーニングされた AI ツールを介して、さまざまなシステム機能をスキャンする可能性があります。たとえば、デジタル署名システムを探してコンピューターの構成に関する情報を取得したり、オペレーティング システム内のアクティブなプロセスをスキャンしてウイルス対策ソフトウェアが実行されているかどうかを確認したりすることができます。

マルウェアがシステムの再起動を検出するようにプログラムされている場合、そのイベントが発生した後にのみアクティブになります。再起動トリガーは実際の再起動とシミュレートされた再起動を区別することもできるため、VM は通常、このようなボットを騙して偽の再起動で自分自身を明らかにさせることはできません。

完璧なタイミングを計画する

AIはサイバー攻撃のタイミングを完璧にすることで、マルウェアをさらに危険なものにしています。タイミングベースの手法は、サンドボックス回避に使用される最も一般的な手法の 1 つです。サンドボックスは通常、24 時間 365 日稼働するわけではないため、脅威をスキャンできる時間は限られています。サイバー攻撃者はこの機能を悪用して、サンドボックスがアクティブな間は休眠状態にあるマルウェアを埋め込み、サンドボックスが閉じられたときに攻撃を実行します。たとえば、FatDuke のようなマルウェアは、遅延アルゴリズムを実行し、アイドル状態の CPU サイクルを利用して、サンドボックスが閉じるのを待つことができます。次に、実際のペイロードをアクティブ化します。

それほど洗練されていないマルウェアの例では、コードが開始する前に事前に設定された時間要件のみがあります。たとえば、GoldenSpy はシステムに侵入してから 2 時間後にアクティブになります。同様に、「ロジック爆弾」手法は、悪意のあるコードが特定の日時に実行されることを意味します。ロジック ボムは通常、エンド ユーザーのデバイス上でのみアクティブ化されます。この目的のために、システムの再起動と人間とコンピューターの相互作用のためのスキャナーを組み込みました。

痕跡を隠す

マルウェアは、ターゲット システムに感染すると、その存在の証拠を隠そうとします。現在、サイバー犯罪者がこの目的を達成するのに役立つさまざまなテクノロジーが利用可能です。 AI により、マルウェアが自身のコードを変更することが容易になり、マルウェア対策ソフトウェアや人間による脅威スクリーニングでは検出されなくなります。

サイバー犯罪者の主な目的の 1 つは、コマンド アンド コントロール (C&C) サーバーとの通信を暗号化し、小さなバックドアを通じてより多くのペイロードをインストールすることです。これを実現するために、ドメイン生成アルゴリズム (DGA) を使用して、サイト IP などの攻撃アーティファクトを頻繁に変更することができます。例としては、Dridex、Pykspa、Angler Development Kit などがあります。もう 1 つの例は、2 週間足らずで約 100 個の IP アドレスを変更した Smoke Loader マルウェアです。この場合、ドメイン名は簡単に検出できるため、ハードコードする必要はありません。被害者のシステムへのアクセスは、たとえそれがサンドボックスであっても重要です。

ほとんどのドメイン生成アルゴリズム (DGA) はメンテナンス コストが増大するため、すべてのサイバー攻撃者が利用できるわけではありません。そのため、彼らはドメイン生成アルゴリズム (DGA) を必要としない他の方法を開発しました。たとえば、DNSChanger マルウェアは、ユーザーの DNS サーバーの設定を変更して、ISP によって事前にプログラムされた DNS ではなく、悪意のある DNS に接続するようにします。

サンドボックス内でマルウェアが検出されないもう一つの方法は、この特定の環境では読み取り不可能な形式でデータを暗号化することです。 Dridex のような一部のトロイの木馬は暗号化された API 呼び出しを使用します。 Andromeda ボットネットと Ebowla フレームワークは、サーバーとの通信を回避するために複数のキーを使用してデータを暗号化します。 Gauss サイバースパイツールキットは、特定のパスとフォルダーの組み合わせを使用して埋め込みハッシュを生成し、検出を回避します。

ハッカーは今後もAIを利用して、サンドボックスを攻撃するより破壊的なマルウェアを作成し続けるだろう

人工知能技術は、有能なハッカーにとっては常に強力なツールとなってきました。さまざまなアプリケーションのサンドボックスを制御するためにこれを使用しています。

サンドボックスは長い間、良いアイデアだと思われてきました。信頼できないソフトウェアを安全にテストできる隔離された環境を持つことほど良いものはありません。しかし、サンドボックスは開発者が望むほど完璧ではないことが判明しました。人工知能を利用するハッカーは、人工知能に対してさらに恐ろしい攻撃を仕掛ける可能性がある。プロセスの中断、仮想環境の特定のマーカー、その他の一般的な機能の存在により、攻撃者がサンドボックスの盲点を悪用してマルウェア アルゴリズムを構築する機会が生まれます。

SOC エンジニアは、重要な資産がマルウェアに対して定期的にスキャンされるだけでなく、組織内で使用されるサンドボックスが非アクティブのときにもスキャンされるようにする必要があります。セキュリティ体制を適切に維持し、侵害の可能性を最小限に抑えるには、セキュリティ チームは、新しいルールで検出ライブラリを継続的に強化し、既存のスタックを更新して、絶えず変化するマルウェアを識別できるようにする必要があります。企業は、コンテンツをゼロから開発する時間を毎月最大数百時間節約できるソリューションを求め、コンテンツ作成を最適化する方法を模索する傾向があります。これは、ルールを迅速に開発、変更、翻訳できる Sigma などの汎用言語を選択することで実現できます。さらに、Uncoder.IO などの無料のオンライン翻訳ツールを使用すると、最新の Sigma 検出をさまざまな SIEM、EDR、XDR 形式に即座に変換できるため、セキュリティ チームはさらに時間を節約できます。