在2022年的RSAC上,來自CrowdStrike的安全研究員就人工智慧在自動化威脅分析中的關鍵作用展開討論。
什麼是自動化威脅分析?
自動化威脅分析是一種從受控環境觸發的威脅行為中提取威脅資訊和獲得情報的能力。
自動化威脅分析需要適當的工具,例如:靜態分析工具、網路監控工具、程式監控工具、偵錯程式、系統級API掛鉤、機器學習、YARA規則等。
傳統自動化威脅分析面臨哪些挑戰?
近年來,高階威脅常使用複雜的戰術繞過傳統的自動威脅分析工具,以此來規避檢測。根據CrowdStrike收集到的樣本資料,分析師們確定了三種常用的威脅檢測繞過技術:
偽裝(T1036)
攻擊者可能會偽裝處理其工件(artifacts)的特徵(例如名稱和位置),使得工件對於使用者和安全工具來說看似合法或正常,進而規避防禦和檢測。偽裝操作可能包括處理檔案後設資料、誘使使用者誤認檔案型別,以及指定合法的任務或服務名稱。
混淆檔案或資訊(T1027)
攻擊者可能會透過加密、編碼等方式混淆系統中或傳輸中的可執行或其它檔案,從而使其難以被發現或分析。這種行為很常見,可以跨不同平臺和網路使用,逃避防禦。此外,攻擊者可能會對有效載荷進行壓縮、存檔或加密處理,以避免有效載荷被檢測到。
工具橫向傳輸(T1570)
攻擊者可能會在入侵環境中的系統之間轉移工具或其他檔案。透過將檔案從一個系統複製到另一個系統,為攻擊做準備。
面對這些繞過技術,傳統的自動化威脅分析手段通常難以發現其特徵和痕跡。
人工智慧如何顛覆自動化威脅分析?
CrowdStrike在RSA大會中介紹瞭如何使用機器學習(AI)技術增強自動化威脅分析:包括使用AI進行記憶體轉儲分析、網路活動分析、URL分析。此外,CrowdStrike支援AI評分機制:根據目標惡意軟體在沙箱環境中的執行情況,利用AI模型生成對應的威脅分值,高分值意味著需要關注此沙箱報告中的威脅資訊。
360沙箱雲利用AI技術的自動化威脅分析實踐
近年來,使用新型利用、繞過和攻防技術的惡意程式層出不窮。針對各種新型惡意程式和攻擊,360沙箱雲藉助AI技術實現自動化威脅檢測與發現。
基於AI技術自動化識別DGA域名
域名生成演算法 (Domain Generation Algorithm)是一種利用隨機字元來生成C&C域名,從而逃避域名黑名單檢測的技術手段。360沙箱雲透過採集檔案多維度統計特徵,如域名的長度、元子音佔比、數字佔比等,結合域名可讀性、隨機性等,利用整合機器學習模型XGBOOST分析該域名屬於DGA的可能性,根據文字資訊判定某域名是否為DGA,並對判為DGA的域名進行惡意家族歸類。
基於AI技術自動化分析可疑流量
許多惡意程式(如遠控木馬、勒索病毒等)在活動過程中會產生大量的網路連線和通訊行為。360沙箱雲利用AI技術記錄、解析檔案網路流量,獲取其中的IP協議,提取IP協議長度序列及序列長度的均值、方差等統計特徵,基於提取的特徵利用迴圈神經網路模型LSTM對該網路流量行為的可疑程度進行威脅評估。
基於AI技術提升威脅自動化靜態分析
在面向檔案靜態特徵的機器學習檢測方面,360沙箱雲利用AI技術在PE檔案檢測方面進行了大量的實踐:
1. 使用機器學習模型提升靜態檢測能力
360沙箱雲根據PE檔案屬性、入口點、匯入表、PE段的特徵等形成上百種特徵向量,使用機器學習模型XGBOOST對特徵向量進行學習,獲得有效區別惡意樣本和正常樣本的能力,從而提升對惡意樣本的靜態檢測能力。
2. 使用卷積神經網路模型強化惡意家族分類
360沙箱雲利用卷積神經網路模型CNN,將PE檔案二進位制內容轉換為灰度影像,並根據影像的紋理特徵進行惡意樣本識別,強化惡意家族分類。
3. 使用自然語言處理技術分析彙編指令
360沙箱雲針對PE檔案反編譯後的彙編程式碼,利用自然語言處理技術(NLP)進行文字清洗、令牌化(tokenize)等預處理後,對每個樣本的彙編指令進行分析,識別惡意樣本。
此外,360沙箱雲還將AI技術應用在其他檔案型別的靜態解析上:例如解析PDF文件,提取PDF檔案物件並獲得相關文字特徵,根據篩選後的重要物件及文字特徵進行機器學習模型訓練,進而賦予模型識別惡意樣本的能力。
基於AI技術提升威脅自動化動態監測
動態行為檢測包含系統行為檢測、網路行為檢測與攻防行為檢測等。系統行為檢測覆蓋使用者態和核心態的程式、檔案、登錄檔、網路、WMI 等關鍵行為,並基於時序序列對行為事件進行描述。
360沙箱雲利用NLP技術,分析檔案執行時的API呼叫序列,並分析異常行為。它將序列進行無失真壓縮後透過填補和剪裁處理獲得固定長度的文字序列,使用大量惡意樣本和正常樣本序列資料訓練AI模型,使模型獲得基於API呼叫序列,從而有效判定樣本的黑白。
360沙箱雲的MITRE ATT&CK對映
360沙箱雲具有豐富的檢測指標和特徵知識庫,並和MITRE ATT&CK矩陣攻擊模型框架進行對映,幫助安全分析人員結構化認識惡意程式攻擊過程。MITRE ATT&CK包含三個核心部分,即戰術、技術和過程(TTPs),戰術表示攻擊者的目標,技術表示攻擊者達成戰術目標的方法與手段,過程顯示攻擊者如何執行某項技術。透過MITRE ATT&CK矩陣攻擊模型框架的對映,使用者能夠清晰地認識威脅的攻擊過程和行為階段,以及準備相應的防禦應對措施。
藉助於AI技術,360沙箱雲透過機器學習技術,針對MITRE ATT&CK矩陣攻擊模型框架的戰、技術進行歸類歸集,根據歸集和篩選後的戰、技術特徵進行機器學習模型訓練,進而賦予模型根據相關特徵識別和歸類惡意樣本的MITRE ATT&CK矩陣攻擊模型框架的戰、技術的能力。
360沙箱雲的漏洞利用檢測和攻防對抗檢測
360沙箱雲的核心能力研究團隊多年持續研究威脅自動化分析技術,持續探索檢測漏洞利用行為和分析樣本特徵的機器學習檢測技術,曾多次率先捕獲在野利用0day漏洞攻擊並獲得廠商致謝。
360沙箱雲使用卷積神經網路模型對具體的漏洞利用階段、型別進行歸類。基於海量資料作為樣本集的訓練,獲得有效區別漏洞利用攻擊樣本和常規惡意樣本、正常樣本的能力,從而實現對漏洞利用攻擊樣本的檢測能力。同時,針對各種不同階段和型別的漏洞利用行為。
整合以上AI技術的新版360沙箱雲(https://ata.360.net)平臺將在近期對外發布,幫助使用者更有效發現威脅,敬請期待。