سيّد التنكّر: كيف يتفوّق القراصنة على دفاعات الذكاء الاصطناعي في برمجيات لينكس الخبيثة

العنوان الفرعي: مولّد جديد للبرمجيات الخبيثة يكشف نقاطًا عمياء صارخة في أدوات أمن لينكس المعتمدة على الذكاء الاصطناعي.

في عالم الجريمة السيبرانية، ساحة المعركة تتبدّل باستمرار. لسنوات، لعب مؤلفو البرمجيات الخبيثة لعبة القط والفأر مع المدافعين، يعدّلون شيفرتهم لتفادي الرصد. الآن ظهر منعطف جديد في سباق التسلّح الرقمي هذا: فقد كشف باحثون عن أداة قادرة على تحوير برمجيات لينكس الخبيثة بطرق تخدع حتى أكثر كواشف التعلّم الآلي (ML) تقدّمًا - من دون الإخلال بوظائف البرمجية الخبيثة. هل بدأت ثورة أمن الذكاء الاصطناعي تُظهر تشققاتها بالفعل؟

حقائق سريعة

أنظمة لينكس، المحورية في السحابة وإنترنت الأشياء، تتعرض لاستهداف متزايد من مجرمي الإنترنت.
طوّر باحثون في براغ مولّدًا للبرمجيات الخبيثة يتفادى الكشف المعتمد على التعلّم الآلي.
تستخدم الأداة «تحويلات تحافظ على الدلالة» لتغيير البرمجية الخبيثة دون كسرها.
أكثر من ثلثي (67.74%) عينات البرمجيات الخبيثة المُعدّلة أفلتت من كاشف شائع قائم على التعلّم الآلي.
كان حقن سلاسل نصية سليمة فعّالًا على نحو مفاجئ في خداع دفاعات الذكاء الاصطناعي.

فنّ الخداع: برمجيات خبيثة تتطوّر لعصر الذكاء الاصطناعي

بينما حظيت البرمجيات الخبيثة المعتمدة على ويندوز بقدر كبير من الاهتمام، ظلّ لينكس - الذي يشغّل كل شيء من الحواسيب العملاقة إلى أجهزة المنزل الذكي - خارج دائرة الضوء. لكن ذلك يتغيّر بسرعة. فقد أنشأ باحثون في الجامعة التقنية التشيكية في براغ أداة تولّد نسخًا متحورة من برمجيات لينكس الخبيثة صُمّمت خصيصًا لتفادي أدوات الأمن المعتمدة على التعلّم الآلي.

ما الحيلة؟ «تحويلات تحافظ على الدلالة» - مصطلح ثقيل يعني ببساطة تغيير البصمة الرقمية للبرمجية الخبيثة دون التأثير في طريقة عملها. الأداة، المدعومة بخوارزمية جينية مبسطة، تجرّب تلقائيًا عشرات الأنواع من التعديلات، بما في ذلك إلحاق ملفات غير ضارة وتعديل أقسام قليلة الاستخدام في ملفات لينكس من نوع ELF (صيغة التنفيذ والربط). النتيجة: برمجية خبيثة تبدو مختلفة لماسح ذكاء اصطناعي لكنها تتصرف بالطريقة نفسها تمامًا عند تشغيلها.

ولاختبار أداتهم تحت الضغط، استهدف الباحثون MalConv، وهو كاشف برمجيات خبيثة واسع الاستخدام قائم على التعلّم الآلي. كانت النتائج مذهلة: في «وضع التخفي» الكامل، تجاوزت أكثر من 67% من عينات البرمجيات الخبيثة المُعدّلة نظام الذكاء الاصطناعي دون أن تُكتشف. والأكثر إثارة للقلق أن مجرد إضافة سلاسل نصية شائعة من ملفات آمنة - كتلك الموجودة في البرمجيات الشرعية - كان كافيًا لإرباك نموذج التعلّم الآلي. الحيلة الأكثر فاعلية؟ تعديل قسم .strtab، الذي يخزّن رموز الملفات، ليحاكي البرامج النظيفة.

يكشف ذلك عن خلل حرج: كثير من كواشف البرمجيات الخبيثة المعتمدة على الذكاء الاصطناعي تعتمد اعتمادًا مفرطًا على وجود (أو غياب) سلاسل أو رموز معينة داخل الملفات. وإذا استطاع الخصوم حقن محتوى يبدو غير ضار، يمكن جعل هذه الدفاعات عالية التقنية عديمة الجدوى.

ما التالي؟ مستقبل كشف برمجيات لينكس الخبيثة

بالنسبة للمدافعين، يُعد هذا البحث جرس إنذار. فمع استمرار شعبية لينكس في الارتفاع، تزداد جاذبيته لمجرمي الإنترنت. الاعتماد على الذكاء الاصطناعي وحده لرصد التهديدات الجديدة أمر محفوف بالمخاطر - خصوصًا عندما يستطيع المهاجمون استغلال نقاط ضعف بهذه البساطة. سيتعين على مزوّدي حلول الأمن التعمّق أكثر، وتجاوز تحليل السلاسل النصية السطحي، وتطوير أساليب كشف أذكى وأكثر صمودًا.

في الحرب المتصاعدة بين مؤلفي البرمجيات الخبيثة وخبراء الأمن، يثبت هذا البحث أن اللعبة لم تنتهِ بعد - وأن القواعد ما تزال تُعاد كتابتها.

WIKICROOK

ELF (صيغة التنفيذ والربط): ELF هو تنسيق ملفات قياسي للملفات التنفيذية على الأنظمة الشبيهة بيونكس، وهو أساسي لتحميل البرامج وربطها وتحليل الأمن السيبراني.
الدلالة (Semantic): تشير الدلالة إلى منطق البرمجيات وسلوكها المقصود، وتسلّط الضوء على الثغرات التي تنبع من منطق برنامج معيب، لا من أخطاء الترميز فقط.
الخوارزمية الجينية: الخوارزمية الجينية هي أسلوب تحسين مستوحى من التطور، يُستخدم في الأمن السيبراني لمهام مثل كشف التسلل وتحليل الشيفرات.
MalConv: MalConv هو كاشف برمجيات خبيثة قائم على الشبكات العصبية يحلل الملفات التنفيذية الخام على ويندوز، ما يتيح كشف تهديدات متقدمًا وتكيفيًا يتجاوز الأدوات المعتمدة على التواقيع.
قسم .strtab: يخزّن قسم .strtab في ملفات ELF أسماء الرموز وبيانات السلاسل النصية، ما يساعد في التصحيح والربط والتحليل، لكنه لا يُحمَّل أثناء تنفيذ البرنامج.