Мир информационной безопасности давно напоминает бесконечную игру в кошки-мышки: создатели вредоносного программного обеспечения постоянно совершенствуют свои методы, а разработчики антивирусов пытаются их опередить. Однако с появлением искусственного интеллекта (ИИ) эта гонка вышла на принципиально новый уровень. По данным исследования 2025 Global Threat Landscape Report, злоумышленники активно используют ИИ для улучшения своих вредоносных программ, в то время как специалисты по кибербезопасности применяют аналогичные технологии для анализа и нейтрализации угроз.
Описание
Распаковка и деобфускация с помощью ИИ
Современные вредоносные программы почти всегда упакованы или обфусцированы, что значительно усложняет их анализ. Пока ИИ не справляется с автоматической распаковкой - как показал эксперимент с образцом ботнета Linux/Prometei, ИИ тратил время на анализ логики упаковщика, не обнаруживая основного вредоносного кода. Этот этап по-прежнему требует ручной работы аналитика.
Однако в борьбе с обфускацией ИИ демонстрирует куда более впечатляющие результаты. Например, в случае с Linux/Ladvix.E алгоритм успешно проанализировал метод обфускации и создал рабочий деобфускатор, восстановив строку "/etc/cron.hourly/0". Это серьезный шаг вперед для индустрии антивирусов, так как стандартные инструменты вроде IDA Pro или Ghidra не всегда справляются даже с простыми видами обфускации.
ИИ против новых языков и фреймворков
Еще один тренд в мире вредоносов - использование современных языков программирования (Go, Rust) и фреймворков (например, Flutter). Пока ИИ испытывает трудности с анализом таких угроз: при попытке разобрать Android/SpyLoan, написанный на Flutter, алгоритм не смог корректно идентифицировать функции или строки. Однако, если предварительно обработать код с помощью инструментов вроде Blutter, ИИ уже способен восстанавливать читаемый Dart-код, что существенно упрощает анализ для специалистов.
Любопытно, что с более старыми языками, такими как Delphi, ИИ справляется гораздо лучше. Вероятно, это связано с тем, что модели машинного обучения обучались на большом объеме материала по Delphi и Pascal. Например, при анализе Linux/Filecoder.BR (известного также как Trigona) ИИ успешно отфильтровал служебные вызовы компилятора, оставив только значимые для анализа части кода. Это сделало декомпилированный исходный код гораздо понятнее, чем результат работы Ghidra.
Что дальше?
Хотя ИИ уже сейчас способен значительно ускорять анализ вредоносного ПО, он пока не заменяет экспертов, а лишь дополняет их инструментарий. Злоумышленники тоже не стоят на месте, адаптируя свои методы под новые технологии. В ближайшие годы можно ожидать еще большего усложнения как вредоносного ПО, так и средств защиты, а ключевым фактором успеха станет способность экспертов гибко комбинировать традиционные подходы с возможностями ИИ.
Остается открытым вопрос: кто окажется быстрее - "кошки" из мира кибербезопасности или "мыши"-злоумышленники? Одно ясно точно - гонка только начинается.
Индикаторы компрометации
SHA256
- 943e1539d07eaffa4799661812c54bb67ea3f97c5609067688d70c87ab2f0ba4
- c08a752138a6f0b332dfec981f20ec414ad367b7384389e0c59466b8e10655ec
- c65298b6cd5a1769c747a0c7fb589ffa12fdf832b64787283953eaa57b65bc1c
- cc7ab872ed9c25d4346b4c58c5ef8ea48c2d7b256f20fe2f0912572208df5c1a
