Группа ученых из США и Африки разработала передовой метод создания программы-вымогателя, способной обходить современные антивирусные системы на основе ИИ.
Вымогательское ПО представляет серьёзную угрозу, блокируя доступ к аккаунтам, сайтам или компьютерным системам жертвы до тех пор, пока не будет выплачен выкуп. Некоторые виды вымогательских атак используют генеративно-состязательные сети (Generative Adversarial Networks, GAN), архитектуры глубокого обучения, которые совершенствуют свои способности путём проб и ошибок.
GAN-архитектуры состоят из двух искусственных нейросетей, соревнующихся между собой для создания всё более совершенных результатов в конкретной задаче. В данном случае это может означать анализ характеристик вредоносного ПО, которое смогло обойти меры безопасности, и дальнейшее улучшение разработки ПО.
Созданный учеными метод получил название EGAN (Evolution Generative Adversarial Network). EGAN сочетает стратегию эволюции (Evolution Strategy, ES) и генеративно-состязательные сети (GAN) для выбора действий, которые могут изменить файл вымогательского ПО, сохраняя при этом его работоспособность. ES-агент в EGAN соревнуется с алгоритмом, обученным распознавать вредоносное ПО, проверяя различные способы изменения файлов вымогательского ПО.
Схема EGAN, генератора образцов программ-вымогателей
Подход определяет наиболее оптимальную последовательность действий, которая приводит к неправильной классификации вымогательского ПО. Если манипуляции ES-агента оказываются эффективными, GAN генерирует признаки, которые изменяют файл вымогательского ПО так, чтобы он выглядел безвредным.
Исследователи протестировали свой подход в серии экспериментов и обнаружили, что он позволяет создавать вымогательское ПО, которое успешно обходит многие коммерческие антивирусы (в том числе на основе ИИ). Результаты показывают серьёзную угрозу, которую представляет такое ПО, подчеркивая необходимость разработки более надёжных мер безопасности.
В будущем исследование может вдохновить на разработку новых техник кибербезопасности для защиты компьютерных систем от вымогательского ПО. Тем временем, исследователи планируют продолжить изучение других действий и дополнительных структур файлов PE (Portable Executable), которые могут обходить динамический анализ. Эксперименты показывают, что применяемым в настоящее время действиям не хватает надежности, необходимой для уклонения от динамического анализа.