Možná jste si tak jako já ani nevšimli, že společnost IBM v rámci vývoje umělé inteligence naprogramovala virus obdařený umělou inteligencí. Tento kód se jmenuje DeepLocker a dokáže se vyhnout detekci, skrývá svůj škodlivý obsah v důvěryhodných aplikacích (při testech to bylo v software podporujícím videokonference). Kód ukrývá vlastní škodlivý obsah a spouštěcí podmínky, je odolný reverznímu inženýringu. Umělá inteligence umožňuje, aby tento kód zaútočil jen na specifickou oběť (na základě její geolokace, vizuální podoby, hlasu atd.). Není to už počítačový virus, je to zbraň, je to „snajperská puška“, která eliminuje vybrané cíle.

Během testu byl vytvořen falešný program obsluhující videokonference, do něhož byl vložen ransomware („vyděračský software“) WannaCry , a ten byl vpuštěný do testovací sítě. Takto ukrytý malware (škodlivý software) dokázal projít přes kontrolní nástroje, analytické nástroje a dokonce i sandbox, takže při spuštění na PC funguje jako běžný software pro videokonference. Mohl by tak nepozorovaně nakazit milióny PC. Dalším krokem je ovládnutí webkamery, která pak posílá všechny zaznamenané obličeje umělé inteligenci, a v okamžiku, kdy se před objektivem webkamery notebooku objeví vytipovaná oběť, je spuštěn ransomware. Test proběhl úspěšně, DeepLocker fungoval tak, jak bylo zamýšleno.

A jak je to na druhé straně barikády? Jak budeme tomuto čelit? Projděme si historii …

V 80. a 90. letech minulého století, v době, kdy se objevily první škodlivé kódy a také první varianty polymorfních a metamorfních virů navržených tak, aby poškodily nebo zničily data, bylo prostředkem, který jim umožňoval uniknout antivirovým systémům (vyhledávaly v souborech vzory kódu podobné statickým signaturám vytvořeným na základě znalosti daného virusu) různé zakrývání nebo mutováním jejich obsahu. Následně antivirový průmysl vyvinul metody pro statickou analýzu kódu (heuristika), aby se antivir dokázal vypořádat s mutacemi kódu.

V pozdějších 90. létech přicházejí autoři škodlivých kódů se šifrováním jejich škodlivého obsahu, to znamená, že škodlivý kód je dešifrován teprve v paměti stroje oběti těsně před svým spuštěním. Antivirové firmy reagují dynamickou analýzou škodlivých kódů a s prvními verzemi sandboxů, jako jsou virtualizované systémy, ve kterých je podezřelý vzorek spouštěn a je sledováno jeho chování.

V první dekádě nového milenia se objevují první skutečně se vyhýbající (evasive) malware. A pokud jsou zachyceny, tak se snaží uniknout analýze. Tyto kódy jsou schopny detekovat, zda jsou spouštěny ve virtuálním prostředí a ověřují si známé spouštěcí procesy pro různé sandboxy. V takovém případě zastaví spuštění škodlivé části svého kódu kvůli uchování svého tajemství. Tyto techniky ještě v roce 2018 představovaly více než 98 % únikových technologií všech zachycených vzorků škodlivých kódů.
Na druhu stranu se však stávají i sandboxy stále promyšlenější (pro oklamání škodlivých kódů), a tak mění útočníci postupně svoji strategii. Zaměřují se více a více na cílené útoky a ověřují si prostředí, ve kterém bude jejich kód spuštěn tak, aby nebyl identifikován.

Pokud tedy nevíte, jak efektivně čelit malware, co byste měli udělat hned a co počká, jaký bezpečnostní systém je vhodný pro vás s ohledem na váš business a velikost, klidně se obraťte na AUTOCONT.
Rádi Vám poradíme a jak se říká za zeptání, nic nedáte :-) AUTOCONT ví jak.