一、小白剧场
小白:大东,最近的网络安全报告有点让人头疼啊,听说恶意软件都开始进化了?
大东:没错,小白。有一些黑客现在利用AI,开发出了能绕过YARA规则的恶意软件,你信吗?
小白:真的吗?YARA不是挺厉害的吗?
大东:原本是这样,但AI给恶意软件穿上了隐形斗篷,让它们变得更难被发现。
隐形斗篷(图片来源:网络)
小白:我们得更加小心了。不过,大东,能不能先告诉我YARA规则到底是什么呢?我一直听你提起,但具体是怎么一回事,我还真不太清楚。
大东:YARA规则,简单来说,就是一种帮助网络安全专家们识别和分类恶意软件的工具。你可以把它想象成是网络世界的DNA检测,通过定义一系列的模式和字符串,它能帮助我们快速识别特定的恶意代码,就像通过DNA序列识别不同的生物物种一样。
小白:那听起来挺强大的嘛!那它是怎么被AI绕过去的呢?
大东:很简单,通过AI的学习和自我调整能力,黑客可以让恶意软件的代码不断变化,从而避开YARA规则的检测。就好比是变色龙根据环境变化其皮肤的颜色,让它能够在不同的环境中隐藏自己。
小白:那岂不是意味着传统的防御方式已经不够用了?
大东:在一定程度上是这样。这就是为什么我们需要不断更新和改进我们的防御策略,采用更先进的技术来对抗这些由AI加持的恶意软件。
小白:大东,能详细解释一下事情的具体情况吗?
二、话说事件
大东:近期,Recorded Future 发布了一份引起广泛关注的报告,揭露了一种全新的AI驱动网络威胁。
小白:报告都谈到了哪些内容?
大东:报告中提到,AI能够对恶意软件的小型变种进行代码增强,从而规避基于字符串匹配的YARA规则,有效降低了这些软件被侦测的可能性。
小白:那它是怎样绕过YARA规则的呢?
大东:黑客通过利用AI学习并优化恶意软件的源代码,创建出能够有效规避YARA规则检测的新型变体。
小白:这是如何发现的?
大东:这一发现由一家网络安全公司做出。他们向一种先进的AI模型提交了与APT28黑客组织关联的一种恶意软件STEELHOOK及其YARA规则,以测试是否能通过修改源代码来逃避检测。结果表明,AI生成的代码不仅保持了软件的原有功能,而且在语法上也完全正确无误。
小白:那岂不是说,直接让AI处理就可以生成新代码,从而避开检测了?
AI模型(图片来源:网络)
大东:正是如此。这种反馈机制让AI模型生成的调整后的恶意软件有可能避开基于字符串匹配的简易YARA规则检测。
小白:听起来操作起来并不复杂,只需给AI下达指令,它就能提供解决方案。
大东:确实,虽然方法简单,但效果却非常显著。
小白:这种技术已经被实际运用了吗?
大东:的确如此,现在已有恶意行为者开始利用这种AI技术来开发恶意软件代码片段、制造钓鱼邮件,并对潜在目标进行侦查。
小白:这种方法没有任何局限性吗?
大东:实际上,它的一个主要局限性是大模型一次处理的文本量有限,这意味着在处理庞大的代码库时,该方法可能会受限。
小白:看起来,这技术不仅仅能用于优化恶意代码啊。
大东:没错,除了修改恶意软件之外,这种AI工具还能被用来创造假冒的高级管理人员和领导人的视频,甚至大规模模仿合法网站进而影响正常网站访问。
小白:简直是防不胜防!
大东:而且,生成式AI还可能加速攻击者对关键基础设施的侦察和信息收集,这些信息在未来的攻击中可能发挥战略作用。
小白:这还可能对国家安全构成威胁呢。
大东:通过利用多模态模型,除了航拍图像外,ICS 和制造设备的公共图像和视频也可被解析和丰富,以找到更多的元数据,如地理位置、设备制造商、型号和软件版本。
小白:这已经不仅仅是个小问题了。
大东:与此同时,我们还看到了一些学者的新发现,他们指出可以利用ASCII艺术形式作为输入,这样就能“越狱”由大型语言模型(LLM)驱动的工具,并使其生成有害内容。
小白:这类攻击有专门的名称吗?
大东:确实有,这种策略被命名为“ArtPrompt”。它巧妙地利用了LLM在处理ASCII艺术时的识别不足,通过这个漏洞绕开了一些基本的安全措施,从而操纵LLM表现出不期望的行为。
三、大话始末
小白:这种技术已经被实际使用过了吗?
大东:的确如此,微软和OpenAI最近发出警告,指出APT28通过大型语言模型(LLMs)获得了关于卫星通信协议、雷达成像技术以及特定技术参数的深入了解,这清楚地表明他们正深入挖掘并利用卫星技术的潜力。
小白:听上去就像是直接从科幻故事里跳出来的情节。
大东:没错,这正说明黑客和恶意行为者的能力正在快速进化,他们不满足于仅仅执行传统的网络攻击。通过AI,他们可以迅速适应并突破现有的安全防护,有时甚至威胁到国家安全。
小白:APT28?我好像在哪里听说过。
大东:APT28,又名“Fancy Bear”、“Sofacy Group”、“Sednit”或“STRONTIUM”,是一支众所周知的高级持续性威胁组织,背后有国家支持,专注于网络间谍活动和信息战,他们的目标涵盖了政府机构、军事目标和媒体机构。
APT28(图片来源:网络)
小白:他们背后有国家支持?
大东:确实如此,APT28具有国家背景,它们执行的网络攻击行动通常都有深远的政治和军事目的。
小白:APT28有什么著名的攻击行为吗?
大东:他们不仅攻击了国际体育组织,如国际奥委会(IOC)和世界反兴奋剂机构(WADA),而且也参与了干预政治事件。
小白:听起来是一个相当强大的黑客组织。
大东:非常强大。对抗这样的威胁,我们需要采取更先进的策略。
小白:那面对这种新兴的威胁,我们该如何应对?
大东:首先,网络安全社区需要意识到AI技术的双面性。我们要加强AI在安全领域的应用,开发出更先进的AI驱动安全工具,以识别和防御由AI生成的威胁。同时,合理的监管和控制AI技术的使用也非常关键,避免其被恶意利用。
小白:听上去我们要做的事情还真不少。
大东:确实如此。除此之外,政府和相关组织也需采取行动。比如,微软和OpenAI建议组织仔细检查并删除可公开访问的关于敏感设备的图片和视频,以减少这种新型AI技术带来的风险。
小白:有没有具体的案例表明我们正在正确的道路上前进?
大东:有一些积极的迹象。一些网络安全公司已经开始利用AI技术提升恶意软件检测的能力,而且一些国家已经开始认识到制定相关政策来规范AI技术发展和应用的重要性。这是一场持久战,需要全球合作和共同努力。
小白:看来,尽管挑战重重,但只要我们团结一心,共同努力,我们就有希望克服这些新兴的威胁。
大东:小白说的不错。
小白:那我们个人呢?我们能做些什么来保护自己不受这些高级威胁的影响?
大东:个人用户也有很多可以做的。首先,保持对网络安全的基本认知,如定期更新软件、不点击可疑链接、使用强密码和双因素认证等。其次,了解最新的网络安全威胁和防护措施,保持警惕。最重要的是,使用可信赖的安全软件来保护个人设备和数据。
小白:看来,无论是个人还是组织,我们都需要持续学习和适应新的安全威胁。
大东:没错。网络安全是一个动态发展的领域,随着技术的进步,攻击手段也在不断演变。我们必须保持学习的态度,不断提升自己的安全意识和技术能力,才能在这场看不见的战争中保持优势。
AI安全(图片来源:网络)
四、小白内心说
小白:这次和大东的对话让我深刻意识到,随着技术的不断进步,网络安全的战场也在日新月异地变化。APT28这样的组织通过利用AI技术,不仅展示了他们在网络攻击方面的创新能力,也让我们看到了AI技术可能带来的巨大风险。这种由AI驱动的威胁,对于现有的安全防护措施提出了前所未有的挑战。
大东:要应对这类威胁,仅仅依靠传统的安全措施已经远远不够。我们需要加强AI在安全领域的应用,利用AI的力量来对抗AI生成的威胁。这包括但不限于,开发出能够识别和防御AI生成威胁的先进AI安全工具,以及提高安全系统的自适应能力,使其能够快速响应和防御新型攻击手段。
扫码下载APP
科普中国APP
科普中国
科普中国
京公网安备11010202008423号