AI 隐匿工具催生“隐身型”网络攻击，侦测难度急增

网络犯罪分子已被发现采用AI驱动的伪装工具，以绕过传统安全措施，并隐藏其钓鱼网站和恶意软件站点，使其难以被检测。

SlashNext的最新研究显示，诸如Hoax Tech和JS Click Cloaker等平台正在提供“伪装即服务”（CaaS），使威胁行为者能够将恶意内容隐藏在看似无害的网站背后。

这些工具利用先进的指纹识别、机器学习和行为定向技术，选择性地仅向真实用户展示诈骗页面，同时向自动化扫描程序提供安全内容。

“我认为这是技术和工具被恶意使用的明显例子，”Apollo Information Systems的首席信息安全官（CISO）安迪·贝内特（Andy Bennett）表示。“就像威胁行为者使用加密一样，他们采用这种原本旨在帮助机会主义营销人员的技术，并将其用于针对特定受害者或逃避检测，这并不令人惊讶。”

这种被称为“伪装”的技术并非新事物，但其对AI的应用代表了一次重大演进。Hoax Tech利用基于指纹的分析和自学习AI引擎，实时分析数百个访问者数据点。可疑流量会被重定向到无害页面，而真实用户则会看到预设的诈骗内容。

复杂的伪装服务商业化

JS Click Cloaker提供类似功能，通过评估每次点击的900多项特征来判断访问的合法性。尽管自称是基于JavaScript的工具，但据报道它避免依赖JavaScript，以应对Google等搜索引擎的检测。

两项服务都宣传提供诸如A/B测试、地理过滤和实时重定向等功能。

“这项研究揭示了网络威胁格局的关键性演进，”Qualys的安全研究经理马尤雷什·丹尼（Mayuresh Dani）先生表示。“像Hoax Tech和JS Click Cloaker这样的平台暴露了威胁行为者能力的显著升级。”

为了应对这些系统，丹尼建议：

• 实施行为和运行时分析工具
• 使用多视角和差异扫描
• 投资于自适应的、AI驱动的防御技术
• 在网络中全面采用零信任框架
• 制定针对基于AI威胁的事件响应计划

贝内特警告说，其风险远不止于逃避检测。“利用AI来区分一个检查电子邮件链接是否恶意的工具，和一个因为未检测到恶意活动而通过邮件过滤器、点击了链接的真实用户，这无疑是更高级别的操作，”贝内特说。他补充道，攻击者可能会越来越多地实时为每位访问者个性化定制内容，这进一步增加了检测难度。

安全专家敦促采取更广泛的防御措施

Bugcrowd的CISO特雷·福特（Trey Ford）指出了一些历史相似之处。“这是一个由来已久的问题。二十年前，攻击者使用FastFlux DNS来分析目标的风险并进行漏洞测绘——如今AI驱动的伪装服务就是该能力的现代化版本，”福特解释说。“检测与响应的军备竞赛不能只依赖单一的工具或层面。端点补丁管理、系统加固和浏览器保护仍然是关键的控制和监测点。”

随着伪装技术的演进，安全团队面临着日益增长的压力去适应。没有多层、行为感知的防御措施，恶意网站可能会继续逃避检测，毫无阻碍地触达用户。

消息来源： infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；