Des chercheurs du LSU utilisent l’IA pour suivre la cybercriminalité en Louisiane et au-delà – L’Observateur

Avec des capacités informatiques accrues et plus sophistiquées, les pirates ont toujours de nouvelles façons de se cacher, d’espionner, de voler et de saboter. Comme la technologie évolue rapidement, il est difficile pour les bons de garder une longueur d’avance ou même de prendre conscience des cyberattaques. C’est pourquoi les experts en cybersécurité de LSU développent un nouvel outil, appelé HookTracer, utilisant l’intelligence artificielle, ou IA, pour révéler les cybercriminels et la cybercriminalité connus et inconnus.

HookTracer peut être utilisé par des enquêteurs, tels que l’unité de cybercriminalité de la police de l’État de Louisiane, pour arrêter ou au moins comprendre et atténuer les cyberattaques. Qu’il s’agisse de tentatives de perturbation d’infrastructures énergétiques critiques ou de détention d’écoles et d’entreprises contre rançon, la Louisiane figure en tête de liste des États américains les plus exposés à la cybercriminalité, en fait, la plus élevée de tous les États du Sud, à l’exception de la Floride.

La cybercriminalité est en plein essor parmi les réseaux basés en Louisiane, a déclaré Devin King, analyste de la cybercriminalité à la police de l’État de Louisiane. La forte saturation de nos États des infrastructures les plus critiques du pays en fait une cible attrayante pour les cybercriminels. Enquêter sur ces crimes est un effort laborieux, même pour les analystes les plus qualifiés. C’est pourquoi la police de l’État de Louisiane est toujours à la recherche de nouveaux outils et méthodologies, tels que ceux développés par LSU, pour rendre le processus plus efficace.

Les cyberattaques peuvent prendre de nombreuses formes sur une grande variété de logiciels et de matériel, mais souvent, les pirates insèrent du code qui, d’une certaine manière, modifie les opérations normales du système d’exploitation d’un ordinateur. Par exemple, les logiciels malveillants ou les logiciels malveillants peuvent surveiller les webcams et les microphones, copier les données enregistrées dans le presse-papiers ou espionner tout ce qui est tapé sur un clavier tout en couvrant sournoisement ses propres traces. Les bons et les mauvais logiciels peuvent le faire, ce qui rend la détection des logiciels malveillants encore plus difficile.

HookTracers se concentre sur un type particulier de technique de malware en coulisse, appelée interface de programmation d’application, ou API, hooks. Ceux-ci sont utilisés par les bons et les mauvais programmes pour dire aux systèmes d’exploitation quoi faire, afin qu’ils puissent fonctionner efficacement et être agiles et réactifs.

Alors qu’une interface utilisateur connecte un ordinateur à une personne, les API connectent des ordinateurs ou des logiciels entre eux, afin qu’ils puissent mieux fonctionner ensemble. Leur but même est de cacher les détails internes du fonctionnement d’un système, en n’exposant que les parties dont un utilisateur régulier se soucierait.

La plupart du temps, si un programme informatique semble intuitif et facile à utiliser, c’est parce qu’une complexité considérable a été conçue pour devenir invisible à l’utilisateur. Cet obscurcissement pratique offre cependant de nombreuses opportunités aux pirates. À mesure que de nouvelles versions de logiciels et de matériel apparaissent, les enquêteurs de la cybercriminalité sont confrontés à des cibles en constante évolution.

Des recherches antérieures en criminalistique de la mémoire que nous avons effectuées à LSU ont abordé le problème de la détection de la présence de crochets API, mais un problème connexe est que nous avons utilisé des règles heuristiques empiriques pour différencier les crochets bénins et malveillants, a déclaré le professeur Golden G. Richard III, qui est le directeur du LSU Applied Cybersecurity Lab. Lorsque les logiciels malveillants changent de comportement, cela peut entraîner le marquage de crochets malveillants comme bénins et donc ne pas être examinés par un enquêteur.

Malware est un terme générique désignant les virus, les vers, les ransomwares et les logiciels espions, mais pas les bogues, car les dommages qu’ils causent ne sont pas intentionnels. Pour faire face à la complexité et aux variations parfois subtiles entre les combinaisons matérielles, logicielles et malveillantes, les chercheurs en cybersécurité de LSU derrière HookTracer utilisent l’IA pour aider les enquêteurs à identifier les cyberattaques qui pourraient ne pas correspondre exactement à d’autres attaques connues auparavant, mais similaires en termes significatifs. peut-être en accédant à un certain emplacement dans la mémoire de l’ordinateur ou en suivant une séquence spécifique d’étapes. L’IA est exceptionnellement douée pour découvrir des modèles suffisamment proches dans de grandes quantités de données, tout comme l’apprentissage en profondeur pour la reconnaissance faciale peut apprendre à reconnaître une personne avec et sans lunettes.

Pour les enquêtes sur les cyber-intrusions, la police de l’État de Louisiane recueille régulièrement des preuves auprès d’une multitude d’hôtes fonctionnant dans des réseaux de victimes, a déclaré King. Passer au crible ces données et trouver les mauvaises est l’une des étapes les plus critiques. Une grande partie de nos efforts d’investigation est consacrée à descendre dans des terriers de lapin pour exclure les faux positifs et négatifs afin de nous assurer que le mal est bien ce qui a été trouvé. La capacité de prendre rapidement cette décision est essentielle.

Les chercheurs du LSU s’efforcent de rendre HookTracer à la fois flexible et explicable, à la fois des caractéristiques importantes de la criminalistique de la mémoire et de la sécurité des données, avec des implications juridiques. Un problème courant avec l’IA est que le résultat, une décision ou une réponse, est souvent fourni sans aucune des raisons sous-jacentes pour lesquelles une certaine décision a été prise ou une réponse spécifique a été obtenue. Cependant, des explications cohérentes sont essentielles pour les enquêteurs qui doivent valider leur processus d’enquête et potentiellement utiliser leurs conclusions comme preuves dans des procédures judiciaires. Le réseau d’attention à plusieurs niveaux HookTracers, une caractéristique souhaitable de l’IA développée par l’équipe LSU, permet à l’outil de se concentrer sur ce qu’il apprend par rapport à l’expérience précédente, puis de communiquer ses priorités révisées aux enquêteurs.

Un réseau neuronal profond est tristement célèbre pour sa complexité et peut être très difficile à expliquer, nous devons donc travailler sur différentes stratégies pour nous assurer de mieux comprendre non seulement les décisions des IA, mais aussi pourquoi ces décisions ont été prises, a déclaré Mingxuan Sun. , professeur agrégé à la division informatique et ingénierie du LSU et développeur principal des composants IA de HookTracer. Si nous obtenons une recommandation de musique ou de film basée sur un algorithme d’IA, nous pouvons simplement l’essayer, même si nous ne savons pas pourquoi cela nous a été recommandé, car le coût en clics, en temps ou en dollars est faible. Mais lorsque des vies et des moyens de subsistance sont en jeu, comme c’est le cas dans la sécurité ainsi que dans les applications médicales, nous avons besoin de plus de pouvoir d’explication.

L’équipe de cybersécurité de LSU utilisera ce qu’on appelle une formation contradictoire pour rendre HookTracers AI plus robuste et moins crédule, tout comme se maquiller ne devrait pas perturber la reconnaissance faciale ou un autocollant sur un panneau d’arrêt ne devrait pas faire atterrir une voiture autonome dans un fossé. En essayant intentionnellement de tromper l’IA avec des sosies et des données manipulées, l’IA peut apprendre à voir à travers eux. Non seulement cet apprentissage contradictoire rendra HookTracer moins susceptible de permettre aux logiciels malveillants d’échapper à la détection, mais il rendra également l’outil plus adaptable et plus utile sur toutes les plates-formes et types de données.

Dès le départ, HookTracer a été conçu pour s’intégrer au framework d’analyse de mémoire Volatility open source, l’une des principales plates-formes médico-légales de mémoire au monde. En effet, Andrew Case, directeur de la recherche chez Volatilitys, fait partie du LSU Applied Cybersecurity Lab depuis 2017, offrant aux étudiants un lien direct avec l’industrie.

La plus grande force de HookTracers est qu’il utilise le code des logiciels malveillants contre lui-même en émulant les instructions dans un environnement en bac à sable, a déclaré Case. Cela permet aux décisions prises par HookTracer d’être directement pilotées par l’activité du code malveillant. Peu d’autres projets dans le domaine permettent une telle puissance de manière évolutive, et cela donne à nos étudiants la possibilité de développer rapidement de nouvelles capacités de détection de logiciels malveillants qui peuvent être immédiatement appliquées sur le terrain.

Case et Richard ont récemment présenté un document de recherche à BlackHat, la première conférence sur la cybersécurité au monde, qui s’est tenue à Las Vegas le mois dernier. Comme HookTracer, le document propose de nouvelles façons de lutter contre les logiciels malveillants qui exploitent les hooks d’API. Intitulé New Memory Forensics Techniques to Defeat Device Monitoring Malware, il couvre les trois principaux systèmes d’exploitation : Linux, Mac et Windows.

Alors que les défenseurs de la cybersécurité et les sociétés de services de sécurité informatique sont devenus plus conscients des faiblesses du noyau des ordinateurs, en ajoutant de nouveaux correctifs et protections, de plus en plus d’attaques de logiciels malveillants se produisent maintenant dans ce que les programmeurs informatiques appellent userland, programmes et applications qui interagissent avec le noyau et normalement ont moins de privilèges, à moins que ces privilèges ne soient augmentés d’une manière ou d’une autre, ce qui est un objectif clé des logiciels malveillants.

Vous pouvez le voir comme un restaurant, où l’espace utilisateur est la salle à manger. Dans un scénario normal, les invités ou les utilisateurs d’ordinateurs peuvent passer des commandes auprès de serveurs ou d’applications qui livrent de la nourriture, mais ni les invités ni les serveurs ne peuvent entrer eux-mêmes dans la cuisine ou le noyau pour cuisiner. Une fois qu’il a été découvert qu’un invité avait en quelque sorte soudoyé un sous-chef dans la cuisine pour envoyer tout le beurre coûteux par la porte arrière et le remplacer par de la margarine, les propriétaires du restaurant, ou Linux, Mac et Windows, ont installé des caméras dans la cuisine, ce qui rend plus difficile la corruption et la manipulation du personnel de cuisine. Un mauvais invité, cependant, peut toujours commander 99 soufflés au chocolat à la fois, surchargeant la cuisine, ce qui s’appellerait un déni de service, ou DOS, attaquer, soudoyer un serveur ou profiter d’un serveur sans méfiance en changeant son badge et en l’hypnotisant. pour accéder au réfrigérateur-chambre.

Découvrir exactement ce qui est arrivé au beurre dans le monde de la cybersécurité est connu sous le nom de mémoire médico-légale. Case et Richard sont parmi les meilleurs chercheurs en médecine légale de la mémoire au monde et ont développé HookTracer spécifiquement pour aider à la réponse aux incidents, ce qui implique d’expliquer comment un crime informatique s’est produit et de rassembler des preuves.

L’Agence américaine de cybersécurité et de sécurité des infrastructures, ou CISA, a récemment souligné à nouveau l’importance de l’investigation médico-légale de la mémoire dans les enquêtes sur les incidents et les vulnérabilités de cybersécurité, augmentant encore la demande nationale d’expertise en matière d’investigation médico-légale de la mémoire.

La médecine légale de la mémoire n’était pas largement adoptée lorsque nous avons commencé à travailler sur les problèmes de médecine légale de la mémoire vers 2006, mais beaucoup de gens se rendent compte que c’est incroyablement important, a déclaré Richard. Aujourd’hui, nous voyons de nombreux logiciels malveillants que vous ne pouvez tout simplement pas trouver à l’aide de techniques médico-légales traditionnelles, telles que l’examen de copies de disques durs. HookTracer élimine davantage de lacunes où les logiciels malveillants peuvent se cacher.

L’équipe de Richards a collaboré avec la police de l’État de Louisiane dans le cadre des initiatives LSU FIREStarter et plus récemment LSU FIREStarter 2, qui offrent aux étudiants une formation pratique sur la réponse aux incidents, un effort continu financé par le Louisiana Board of Regents et avec une menace en temps réel. données fournies par la police de l’État de Louisiane. Les étudiants acquièrent également de l’expérience avec les derniers outils d’investigation de la mémoire, tels que HookTracer.

La capacité d’effectuer des analyses de mémoire et de données volatiles est l’épine dorsale de toute unité d’enquête sur la cybercriminalité, a déclaré King. C’est l’analyse ADN du cybermonde.