DeepLocker Malware – Gefahr durch künstliche Intelligenz?

Was ist DeepLocker?

IBM Forscher haben sich überlegt, wie eine Malware in Zukunft KI Technologien Nutzen kann, um sein Verschleierungsarsenal zu erweitern. Aber nicht nur dieser Aspekt kann KI-gestützt erfolgen. Auch die Auswahl des Zieles soll damit erfolgen. Generell gibt es ein paar Überlegungen, die interessant erscheinen:

  • Verschleierung
    • Schreiben von authentisch wirkenden E-Mails
    • Mutation der Malware
  • Ziel Erfassung
    • Identifizierung von Personen mit WebCams (Gesichterkennung)
    • Identifizierung an Hand vom E-Mail Verkehr
    • … weitere kreative Ideen (KI gestützt)

Was ist künstliche Intelligenz genau?

Eigentlich ist die Frage relativ einfach zu beantworten: Eine Sammlung von mathematischen, meistens statistischen, Verfahren und noch einige mehr. Dazu zählen zum Beispiel folgende:

  • Regression
    • linear
    • polynomial
  • Klassifizierung
    • logistische Regression
    • Support Vector Machines
    • Entscheidungsbäume
    • uvm.
  • Clustering
  • NLP (Natural Language Processing)
    • Tokenizing
    • Stemming
    • POS Tagging (Worttypen)

Es gibt natürlich auch noch die beliebten Neuronalen Netzwerke und deren Abkömmlinge wie die sogenannten Convolutional Deep Neural Networks. Letzteres sind, vorausgesetzt ein gutes Training fand statt, äußerst effektiv.

Genaueres zur künstlichen Intelligenz kann ich euch an dieser Stelle nicht näher bringen, da ich selbst noch Anfänger bin und der Rahmen des Blogbeitrags gesprengt wäre. Ihr könnt aber gerne selbst ein wenig damit spielen:

Ziel Erfassung über KI

Wie könnte die Zielerfassung aussehen, und an welchen Kriterien könnte eine künstliche Intelligenz Entscheidungen treffen? Im vorherigen Kapitel habe ich ein paar Einzelheiten in einer Liste zusammengetragen, möchte aber an dieser Stelle mehr Content liefern:

  • Software Umgebung
  • Benutzer Aktivitäten
  • Audio-visuelle Umgebung
  • Sensoren etc.

Software Umgebung

Die KI kann an Hand installierter Software und passender Versionen das Ziel als solches identifizieren oder eventuell sogar eine Klassifikation durchführen wie etwa: Adobe Photoshop und noch ein paar andere Grafikprogramme gefunden, also wird die Klassifierzierung sagen: Designer Rechner. Mit dieser Information kann die KI dann entscheiden, ob sie ein vernünftiges Ziel gefunden hat oder nicht.

Benutzer Aktivitäten

Welche Programme werden vom Benutzer wie oft gestartet? Welche Webseiten surft er zu welchen Uhrzeiten an? Diese Antworten könnten wertvolle Informationen liefern, die eine trainierte KI nutzen kann, um zu entscheiden, ob es sich um ein lohnendes Ziel handelt. Eventuell findet die KI heraus, dass die aktuelle Maschine ein Server sein muss, da keine User Interaktion vorhanden ist. Somit würde man z. B. nur Server angreifen, gleichgültig welches Betriebssystem installiert ist.

Audio-visuelle Umgebung

Die Identifizierung einer Person durch die Webcam habe ich schon erwähnt, aber interessant ist auch der Audioinput. Er kann genauso wie das Bild durch die trainierte KI laufen und entsprechende Ziele erkennen oder auch nicht. Hört man nur das Rauschen von Lüftern und Klimaanlagen? Dann ist man wohl auf einem Server, oder zumindest im Serverraum. Ich wüsste nicht, dass Server Mikrofone installiert haben, oder Webcams :-)

Ich finde, sobald man über das Thema nachdenkt, wird schnell klar, dass es unzählbar viele Möglichkeiten geben muss, um ein Ziel zu identifizieren. Viele kleine Klassifizierungen können vor allem in ihrer Gesamtheit tatsächlich die richtige Antwort liefern. Allein die Frage, ob man sich auf einem Server befindet ließe sich wie folgt klassifizieren:

  • Standard Threshold für Wahrscheinlichkeiten: 80%
  • Audio: Lüfterrauschen und Klimaanlage erkannt (Falls Mikrofon vorhanden)
  • Serverlogs: Keine typischen Logs, die durch Benutzerinteraktion auftreten vorhanden
  • Serverlog Regelmäßigkeit: gleiche Jobs erzeugen ständig zu gleichen Zeiten Aufgaben, die in den Logs stehen. Dienste klassifiziert?
  • Programme auf dem System: Anzahl der Progamme und Art der Programme lässt auf Server schließen
  • Uptime des Systems: Letzter Neustart vor vielen Wochen lässt wohl auf einen Server schließen

Das Beispiel oben ist sicherlich nicht wirklich repräsentativ für ein funktionierendes System, es soll aber exemplarisch dafür stehen, wie man an die Klassifizierung eines Zieles herangehen kann.

Fazit

Wer mehr darüber erfahren möchte, dem lege ich die Links am Ende des Artikels ans Herz. Letztlich stehen wir hier vor neuen Herausforderungen, aber Hersteller wie GData geben Entwarnung, da ihre bereits implementierten heuristischen Methoden gute Arbeit leisten. Nachprüfen können wir es momentan nicht, aber sobald die erste KI-gestützte ausgeklügelte Malware in der freien Wildbahn zu sehen ist, werden wir sehen, wie gut die bisherigen Schutzmaßnahmen sind.

Ansonsten wird es wohl weiterhin ein Katz & Maus Spiel, wie wir es kennen :-)

Interessante Links