توسعه بدافزار اثبات مفهوم DeepLocker

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

توسعه بدافزار اثبات مفهوم DeepLocker
q940
دانشمندان IBM دست به توسعه DeepLocker، بدافزار اثبات مفهوم مبتنی بر هوش مصنوعی، زدند.

به تازگی محققان امنیتی و هوش مصنوعی شرکت IBM یک بدافزار اثبات مفهوم را توسعه داده‌اند. DeepLocker به خودی خود یک payload مخرب ندارد، بلکه هدف اصلی آن پنهان‌سازی بدافزار و در امان ماندن آن از آنتی‌ویروس‌ها و تحلیلگران بدافزار است. این بدافزار یک روش نوین پنهانسازی با استفاده از مدل‌های هوش مصنوعی ارائه داده‌است.

هدف اصلی توسعه دهندگان این بدافزار حمله و یا تخریب نبوده‌است، بلکه هدف نشان دادن این قضیه به توسعه دهندگان سیستم‌های امنیتی بوده‌است که به‌زودی بدافزارهایی مبتنی‌بر هوش مصنوعی گسترش خواهندیافت و مکانیزم‌ها و ابزارهای موجود، توانایی مقابله با آنها را ندارند. از این رو محققان و شرکت‌های امنیتی باید به فکر راهکارهای جدیدی برای مقابله با این‌گونه بدافزارها باشند.

بدافزار DeepLocker روش پنهان‌سازی خود را کاملا متفاوت از دیگر بدافزارهای موجود ارائه کرده‌است. این بدافزار برای پنهان ماندن از دست آنتی‌ویروس‌ها و فایروال‌ها، خود را درون نرم‌افزارهای سالم نظیر نرم‌افزار ویدئوکنفرانس پنهان‌سازی می‌کند. این شیوه قبلا هم توسط بسیاری از بدافزارها استفاده شده‌است و چیز جدیدی نیست.

نکته متمایزکننده در رابطه با این بدافزار، استفاده از هوش مصنوعی برای فعال سازی شروط حمله است که مهندسی معکوس آن را به‌شدت سخت و در مواردی فعلا غیر ممکن کرده‌است.

Payload مخرب این بدافزار فقط در صورتی قفل گشایی خواهدشد که شرایط هدف برقرار شود. این شرایط توسط یک مدل آموزش‌دیده هوش مصنوعی شبکه عصبی عمیق بررسی می شود.

مدل هوش مصنوعی تولیدشده به صورت عادی عمل خواهدکرد و فقط در صورتی که شروط موردنظر بر روی سیستم قربانی موجود باشد، فعالیت مخرب را آغاز می کند. در واقع این شبکه عصبی کلید رمزگشایی قسمت مخرب را تولید می‌کند. برای تشخیص هدف، این بدافزار از مشخصه های مختلفی استفاده می کند. نظیر ویژگی های بصری، صوتی، موقعیت جغرافیایی و ویژگیهای سطح سیستم.

برای تولید یک مدل هوش مصنوعی نیاز به استفاده از الگوریتم های یادگیری ماشین داریم. تفاوت الگوریتم‌های عادی و الگوریتم‌ های هوش مصنوعی به این صورت است که به جای تعریف فرمول دقیق و یا شروط دقیق در یک الگوریتم، این الگوریتم ها خود الگو موجود در داده‌ها را آموزش می بینند. برای تولید یک مدل هوش مصنوعی، دو فاز آموزش و تست نیاز است. در فاز آموزش تعدادی نمونه آموزشی که هرکدام دارای یک‌سری ویژگی هستند به ورودی الگوریتم داده می شود. همچنین خروجی صحیح هریک از ورودی‌ها نیز به آن مدل داده می شود. مدل به‌وسیله الگوریتم های یادگیری ماشین، نحوه تولید خروجی ها از ورودی‌های داده‌شده را فرامی‌گیرد و مدل را تولید می کند. سپس می توان به مدل تولیدشده یک داده دیده‌نشده و تازه تزریق کرد و خروجی احتمالی آن را مشاهده کرد.

به عنوان مثال در مبحث تشخیص بدافزار با استفاده از هوش مصنوعی، یک مدل یادگیری ماشینی به این صورت آموزش داده‌می شود: تعدادی فایل سالم و تعدادی فایل مخرب به‌عنوان نمونه آموزشی انتخاب می‌شوند. سپس از هریک از این فایل ها تعدادی ویژگی به روش های مختلف استخراج می شود. این ویژگی ها به‌عنوان ورودی به الگوریتم داده شده و خروجی الگوریتم مخرب بودن یا سالم بودن نمونه خواهدبود. پس از اینکه مدل آموزش دیده‌شد می‌توان یک فایل جدید را به مدل داد تا مخرب یا سالم بودن آن را تشخیص دهد.

شبکه عصبی معمولی مجموعه ای از گرههایی است که لایه به لایه قرار گرفته اند و به یکدیگر متصل هستند. هر شبکه یک لایه ورودی و یک لایه خروجی و صفر یا تعداد بیشتری لایه میانی یا مخفی دارد. یال های متصل کننده گره ها دارای وزن هستند که این وزن‌ ها در مقدار گرههای سمت چپ ضرب شده و تولید مقدار جدید برای گره سمت راست یال را می کند. این عملیات تا تولید مقدار برای گره های لایه خروجی ادامه پیدا می کند.

شبکه عصبی عمیق یک شبکه عصبی است که تعداد لایه های درونی آن بسیار زیادتر از یک شبکه عصبی معمولی است. تفاوت این دو نوع شبکه را در شکل زیر مشاهده می کنید:
q941
در سال های اخیر استفاده از این نوع شبکه محبوبیت بسیاری پیدا کرده‌است. طرز کار شبکه به این صورت است که تعداد ویژگی به‌عنوان ورودی از هر نمونه می گیرد. همچنین خروجی موردنظر هم به شبکه تحویل داده می شود. شبکه با توجه به ورودی ها و خروجی های متناظر آموزش می بیند و یک مدل تولید می کند. از این به بعد با دادن یک ورودی جدید می توان خروجی احتمالی را از مدل استخراج کرد.

DeepLocker فرایند فعال سازی فاز حمله خود را که شامل قفل گشایی محتوای مخرب و اجرای آن می‌شود به‌وسیله یک مدل آموزش دیده شبکه عصبی عمیق انجام می دهد. این مدل کار تحلیل گران و آنتی‌ویروس را بسیار سخت     می کند، زیرا به جای استفاده از تعدادی شرط رایج به صورت if-then-else در کد خود از یک مدل یادگیری ماشینی استفاده کرده‌است. مدل مورد‌نظر تنها تعداد گره و یال وزن دار است که هیچ دیدی از نحوه عملکرد درونی خود به ما نمی دهد. پس تحلیل گران حتی نمی توانند به‌طور کامل متوجه حالت هایی شوند که بدافزار در آن فعال خواهدشد.

در واقع برای تحلیل گران بدافزار دو چیز مهم است: شرایط وقوع یک حمله سایبری و payload مخرب آن. DeepLocker هر دوی آن را مورد هدف قرار داده است. شرایط حمله به صورت یک جعبه سیاه در آمده است و payload نیز در صورت نامعلومی قفل گشایی خواهد شد.
q942
پنهان سازی دسته مورد حمله: چه اشخاصی و یا سازمان هایی قرار است مورد حمله قرار گیرند.
پنهان سازی نمونه های مورد حمله: مشخص نیست که نمونه مورد‌نظر چه شخص یا سازمانی خواهد‌بود.
پنهان سازی محتوای بدافزار: مشخص نیست که حمله نهایی چگونه شکل خواهد گرفت.
تیم توسعه DeepLocker، برای نشان دادن قابلیت های منحصربه‌فرد این بدافزار از بدافزار معروف WannaCry به عنوان payload بدافزار استفاده کرده اند و آن را درون یک نرم افزار ویدئوکنفرانس سالم جای داده‌ اند. شرایط حمله نیز تشخیص چهره فرد موردنظر است. یعنی فقط در صورتی که فرد مورد‌نظر در ویدئو کنفرانس ظاهر شود کامپیوتر، مورد حمله قرار می‌گیرد.

درنهایت هدف تیم تحقیقاتی امنیتی IBM نه تولید یک بدافزار مخرب، بلکه موارد زیر بوده‌است:
- بالا بردن آگاهی از تهدیدات هوش مصنوعی در بدافزار و اینکه این روش‌ها به سرعت در بین بدافزارنویسان محبوب خواهندشد.
- نشان دادن اینکه چگونه این روش‌ها می‌تواند سیستم‌های دفاعی امروزه را دور بزند.
- ارائه بینش در مورد چگونگی کاهش خطرات و اعمال اقدامات مناسب کافی
مرجع : مرکز ماهر