Malwarebytes veröffentlichte seinen Hintergrundbericht zum Einsatz Künstlicher Intelligenz (KI) innerhalb der Malware-Branche. Wenn KI mit böswilliger Absicht verwendet wird, wird es einige alarmierende Folgen haben.
In diesem Bericht wirft Malwarebytes dabei einen Blick zurück auf die Anfänge von KI, gibt einen Einblick in die Vorteile von KI und Machine Learning innerhalb der Cybersicherheitsbranche, definiert Einsatzgebiete mit Beispielen von KI bei Malware-Angriffen und gibt einen Ausblick, wozu bösartige Angriffe auf KI-Basis in Zukunft im Stande sind.
Als Gesellschaft nutzen wir künstliche Intelligenz bereits in einer Vielzahl von Branchen: Spracherkennung, Wortvervollständigung, Biometrie, maschinelle Lernplattformen. KI ist über den Hype hinaus und wir werden bald feststellen, dass sie mittlerweile weit verbreitet ist. Malwarebytes geht davon aus, dass es einen entscheidenden Zeitraum in der Entwicklung der künstlichen Intelligenz gibt, in dem diejenigen, die diese relativ neue Technologie in die Welt bringen, die Wahl haben, sie verantwortungsbewusst zu nutzen oder ihre Entwicklung einfach um jeden Preis zu beschleunigen. Es ist jetzt an der Zeit, darüber nachdenken, bevor es Cyberkriminelle tun werden.
Was also, wenn jemand herausfindet, wie man KI-Anwendungen missbraucht? In den letzten Jahren haben wir erlebt, wie der Markt für intelligente Heimassistenten und Internet der Dinge (IoT) förmlich explodierte und damit die Aufmerksamkeit von Cyberkriminellen weckte, die schnell erkannten, dass sie mit geringem Aufwand in Heimnetze eindringen konnten. Die meisten der gängigen IoT-Geräte werden ohne Privatsphäre- oder Sicherheitseinrichtungen ausgeliefert.
Um zu verstehen, wie KI und maschinelles Lernen (ML) für kriminelle Zwecke genutzt werden könnten, hilft es, in die jüngere Vergangenheit zu blicken. In den letzten 20 Jahren haben wir massive Zwischenfälle durch die Einführung von Touch-Technologie, Social Media, Smartphones und sogar MP3s erlebt. In allen Fällen folgten auf die erste freudige Annahme von Technologie zeitnah Beispiele für ihren Missbrauch.
Werfen wir also einen Blick darauf, wie KI und ML heute eingesetzt werden, welchen Nutzen unsere Anliegen haben, sowie darauf, welche echte Missbrauchsmöglichkeiten wir in naher Zukunft sehen, so dass Entwickler, Sicherheitsexperten und andere Organisationen die KI verantwortungsbewusst integrieren und sich vor möglichen Angriffen schützen können.
Welche Vorteile hat der Einsatz von KI und ML in der Cyber-Sicherheit?
Die Cyber-Sicherheitsbranche – insbesondere Lösungsanbieter – benötigt eine technische Lösung, um der wachsenden Zahl neuer Malware-Varianten zu begegnen, die täglich eingesetzt werden. Angesichts des bekannten Mangels an qualifizierten IT-Mitarbeitern und Malware-Analysten und der rasanten Veränderungen in der Bedrohungslandschaft können KI-gestützte Technologien Prozesse einleiten und automatisieren, die den Menschen viel länger in Anspruch nehmen würden. Die Verwendung von KI in Cyber-Sicherheitslösungen ist nicht nur zur Zusammenstellung von Malware-Samples für Erkennungsmaschinen von Vorteil, sondern auch bei der Erstellung intelligenter Analysemechanismen, die zukünftige Versionen derselben Malware oder anderer Varianten derselben Malware-Familie erfassen können. Dadurch, dass KI Bedrohungsvarianten evaluiert, zusammenfasst und alltägliche Aufgaben skaliert, gibt sie Sicherheitsforschern die Möglichkeit, sich auf eine tiefere Analyse interessanterer, neuartiger Bedrohungen zu konzentrieren.
KI-gestützte Automatisierung hilft Unternehmen, Bedrohungen mit verbesserten Erkennungsfunktionen zu bekämpfen, indem Cyber-Sicherheitsprodukte Malware und andere Bedrohungen besser identifizieren, isolieren und beseitigen können, ohne dabei IT-Ressourcen belasten zu müssen. So nutzt Malwarebytes beispielsweise das maschinelle Lernen in seiner Anomalie-Erkennungsmaschine, um zusätzliche Bedrohungen zu identifizieren, die über die von anderen Technologieschichten bekannten hinausgehen, wie z.B. Anti-Ransomware oder die Blockierung bösartiger Websites. Von den fast 94 Millionen Nicht-PUPs, die von Januar bis Mai 2019 protokolliert wurden, waren 4,5 Millionen der Anomalieerkennung zugeordnet.
Welche Bedenken gibt es bei KI und ML?
Eines der Hauptprobleme von KI ist ihre Stabilität. Während KI meist eine sinnvolle Ergänzung zu Sicherheitslösungen ist, kann eine fehlerhafte Implementierung zu unzufriedenstellenden Ergebnissen führen. Der Einsatz von KI und ML in der Malware-Detektion erfordert eine ständige Feinabstimmung. Die heutige KI verfügt nicht über das notwendige Wissen, um gutartige Dateien zu ignorieren, die nicht den erwarteten Mustern entsprechen. Wenn das Geflecht eines neuronalen Netzes zu breit ist, kann Malware der Erkennung entgehen; zu fein, und die Sicherheitslösung löst ständig Fehlalarm aus.
Mit der überfallartigen Einführung von KI in der Sicherheitstechnologie wird auch für Cyber-Kriminelle eine Chance geschaffen, die Schwächen der derzeit eingesetzten KI gegen Sicherheitsanbieter und -nutzer zu verwenden. Sobald Bedrohungsakteure herausgefunden haben, wonach ein Sicherheitsprogramm sucht, können sie Lösungen finden, die ihnen helfen, die Erkennung zu umgehen und ihre eigenen bösartigen Dateien unter Verschluss zu halten.
Ein weiteres Feld, in dem wir bereits einen moralisch fragwürdigen Einsatz von KI und ML sehen, ist das Social Engineering, insbesondere im Bereich Fake News. In einem Blog-Post auf Malwarebytes Labs diskutierten wir die möglichen Auswirkungen von DeepFakes, einer Methode zur Erstellung gefälschter Videos von echten Menschen auf der Grundlage künstlicher Intelligenz. Die Autoren füttern einen Computer mit Informationen aus vielen Gesichtsausdrücken einer Person und finden jemanden, der die Stimme dieser Person nachahmen kann. Der KI-Algorithmus ist dann in der Lage, Mund und Gesicht aufeinander abzustimmen, um sich mit gesprochenen Worten zu synchronisieren. Das Endergebnis ist im Wesentlichen ein Face-Swap; das Transformieren des Kopfes einer Person auf den Körper einer anderen Person mit nahezu unauffälligen Veränderungen. Während sie hauptsächlich in Pornovideos in Underground-Foren verwendet werden, sind mit dieser Technologie bereits Beispiele für Fake News aufgetaucht.
Stellen Sie sich jetzt vor, Sie bekommen einen Videoanruf von Ihrem Chef, der Ihnen sagt, dass Sie Bargeld auf ein Konto für eine Geschäftsreise überweisen müssen, das das Unternehmen später zurückerstatten wird. DeepFakes könnte in unglaublich überzeugenden Speer-Phishing-Angriffen eingesetzt werden, die die Benutzer schwer als falsch zu identifizieren wären. Laut dem Jahresbericht der Sicherheitsfirma Mimecast nehmen Angriffe basierend auf Imitationen bereits zu. Etwa zwei Drittel der Unternehmen verzeichneten in den letzten 12 Monaten einen Anstieg von Imitationsangriffen. Von den Opfern erlitten 73 Prozent einen direkten Schaden.
Bösartige KI in Malware
Es gibt derzeit noch keine konkreten Beispiele für KI-fähige Malware. Einige realistische Szenarien sind jedoch:
Würmer
Stellen Sie sich Würmer vor, die in der Lage sind, die Erkennung zu umgehen, indem sie aus jedem Erkennungsereignis lernen. Wenn eine solche Familie von Würmern in der Lage ist, herauszufinden, was sie entdeckt hat, werden sie dieses Verhalten oder diese Eigenschaft beim nächsten Infektionsversuch vermeiden. Wenn der Code zum Beispiel bekannt wurde, könnten Wurmautoren den Code ändern oder wenn sein Verhalten markiert ist, könnten sie den Regeln zur Mustererkennung Zufälligkeiten hinzufügen.
Trojaner
Es gibt bereits Trojaner-Malware-Varianten wie Swizzor, die ständig neue Dateiversionen von sich selbst erzeugen, um Erkennungsroutinen zu täuschen. Die Verbesserung dieser Methode durch die Verwendung von KI ist vielleicht nicht so weit hergeholt, wie man denken könnte.
DeepLocker
Als Fallstudie entwickelte IBM Research ein Angriffs-Tool namens DeepLocker, das auf künstlicher Intelligenz basiert. DeepLocker wurde auf der Black Hat USA 2018 vorgestellt, um besser zu verstehen, wie einige bereits vorhandene KI-Modelle mit modernen Malware-Techniken kombiniert werden können, um eine neue Art von Malware zu entwickeln. Die IBM-Sicherheitsexperten Jiyong Jang und Dhilung Kirat erklärten: „DeepLocker ist so konzipiert, dass es heimlich arbeitet. Es fliegt unter dem Radar und vermeidet die Erkennung, bis es ein bestimmtes Ziel erfasst.“ Als Videokonferenzsoftware getarnt, wartet DeepLocker geduldig, bis er ein System erreicht, in dem eine bestimmte Bedingung erfüllt ist (das Ziel), und setzt dann seine schädliche Nutzlast ein. Dies macht es schwierig, den bösartigen Code zu finden und fast unmöglich, ihn zurück zu entwickeln. Malware, die mit diesen Spezifikationen entwickelt wurde, könnte viele Computer infizieren, ohne erkannt zu werden, und dann auf den Zielcomputern gemäß dem Befehl des Bedrohungsakteurs eingesetzt werden.
Welche Probleme können wir vorhersehen, wenn KI in Malware implementiert wird?
Wenn KI mit böswilliger Absicht verwendet wird, wird es einige alarmierende Folgen haben. Da KI-fähige Malware besser in der Lage ist, sich mit ihrer Umgebung vertraut zu machen, bevor sie zuschlägt, könnten wir schwer zu erkennende Malware, präzisere Bedrohungen, Phishing, destruktivere, netzwerkweite Malware-Infektionen, effektivere Verbreitungsmethoden, überzeugendere Fake News und Clickbait und mehr plattformübergreifende Malware erwarten.
Methoden, die Malware einsetzen könnte, um ihre Erkennung durch Sicherheitslösungen zu verhindern, umfassen etwa die Änderung des eigenen Verhaltens und der Eigenschaften basierend auf der Umgebung, das Löschen von sich selbst, wenn der Verdacht entstehet, dass sie analysiert wird, die Änderung ihres Erscheinungsbilds und die Bereitstellung bösartiger Aktivitäten nur auf bestimmten Systemen. Darüber hinaus könnten Malware-Autoren Sicherheitslösungen trainieren, die auf maschinellem Lernen basieren, um bestimmte bösartige Dateien in Ruhe außen vor zu lassen oder, wie bereits erwähnt, eine große Anzahl von Fehlalarmen zu erzeugen.
Die kombinierte Verwendung von KI und Big Data könnte die jetzt schon unzureichend geschützte Privatsphäre zunichtemachen. Malware-Autoren wüssten Details über ihre Ziele, die seit Jahren nicht mehr entdeckt wurden oder die sogar für Nutzer selbst unbekannt sind. Wenn man sich über die Macht von Cyberkriminellen im Klaren ist, ist der Weg zu sich schnell verbreitenden Speer-Phishing-Kampagnen nicht mehr weit, die kaum als bösartig erkannt werden können. Selbst erfahrenste Nutzer können auf solche personalisierten Angriffe hereinfallen. Wir haben bereits gesehen, wie die Verwendung exponierter personenbezogener Daten bei Fällen sogenannten „Sextortion-Betrug“ verwendet wird, um die Nutzer zu täuschen, große Summen an den „Hacker“ zahlen, der angeblich einen Videobeweis für potentiell schlüpfrige Aktionen hat. Darüber hinaus ahmen Betrüger, die Aktionen über WhatsApp oder Messenger durchführen, das Verhalten und den Wortlaut von Verwandten so genau nach, dass sie Nutzer davon überzeugen, große Geldbeträge zu senden, weil sie denken, dass sie ihren Liebsten dadurch helfen können.
Es gibt viele andere mögliche Szenarien, aber die oben genannten sind Techniken, die bereits heute im Einsatz sind und leicht aber auch rapide verbessert durch die Verwendung von KI eingesetzt werden können.
Weitere Informationen:
Der komplette (englischsprachige) Hintergrundbericht ist hier verfügbar.
www.malwarebytes.com