محققان از مدل های ML با باج افزار استفاده می کنند
محققان از مدل های ML با باج افزار استفاده می کنند
انگار حامیان زنجیره تامین نرمافزار بردار حمله کافی برای نگرانی ندارند، اکنون بردار جدیدی دارند: مدلهای یادگیری ماشین.
مدلهای ML در قلب فناوریهایی مانند تشخیص چهره و رباتهای گفتگو قرار دارند. مانند مخازن نرم افزار منبع باز، مدل ها اغلب توسط توسعه دهندگان و دانشمندان داده دانلود و به اشتراک گذاشته می شوند، بنابراین یک مدل در معرض خطر می تواند تأثیری قاطع بر بسیاری از سازمان ها به طور همزمان داشته باشد.
محققان HiddenLayer، یک شرکت امنیتی زبان ماشین، در یک پست وبلاگی در روز سهشنبه نشان دادند که چگونه یک مهاجم میتواند از مدل محبوب ML برای انتشار باجافزار استفاده کند.
روش توصیف شده توسط محققان مشابه نحوه استفاده هکرها از استگانوگرافی برای پنهان کردن بارهای مخرب در تصاویر است. در مورد فرم ML، کد مخرب در داده های فرم پنهان می شود.
به گفته محققان، فرآیند استگانوگرافی نسبتاً کلی است و میتواند در اکثر کتابخانههای یادگیری ماشین اعمال شود. آنها افزودند که این فرآیند نباید محدود به جاسازی کدهای مخرب در فرم باشد و همچنین می تواند برای استخراج داده ها از یک سازمان استفاده شود.
کاشت بدافزار در مدل زبان ماشین آن را قادر میسازد تا از دفاعهای سنتی ضد بدافزار دور بزند. (تصویر ارائه شده توسط HiddenLayer)
حملات نیز می توانند سیستم عامل را آگنوستیک کنند. محققان نشان میدهند که سیستم عامل و محمولههای خاص معماری را میتوان در مدل تعبیه کرد، زیرا بسته به پلتفرم، میتوانند در زمان اجرا به صورت پویا بارگذاری شوند.
پرواز زیر رادار
تام بونر، مدیر ارشد تحقیقات تهدیدات اتفاقی در HiddenLayer در آستین، تگزاس، خاطرنشان کرد که گنجاندن بدافزار در مدل ML مزایایی را برای کسر مالیات فراهم می کند.
بونر به TechNewsWorld گفت: “این به آنها اجازه می دهد تا زیر رادار پرواز کنند.” “این یک فناوری نیست که توسط آنتی ویروس یا نرم افزار EDR فعلی شناسایی شود.”
او گفت: “این همچنین اهداف جدیدی را برای آنها باز می کند.” “این یک مسیر مستقیم به سیستم دانشمندان داده است. ممکن است یک مدل یادگیری ماشینی که در یک مخزن عمومی میزبانی شده است شکسته شود. دانشمندان داده آن را بالا می کشند و آپلود می کنند و سپس در معرض خطر قرار می گیرد.”
او ادامه داد: «این مدلها همچنین در بسیاری از پلتفرمهای یادگیری ماشین دانلود میشوند، که میتواند بسیار ترسناک باشد زیرا میتوانند به کانتینرهای آمازون S3 دسترسی داشته باشند و دادههای آموزشی را سرقت کنند.»
“اکثر [the] سختافزارهایی که مدلهای یادگیری ماشینی را اجرا میکنند دارای پردازندههای گرافیکی بزرگ و چاق هستند، بنابراین استخراجکنندگان بیتکوین میتوانند در این سیستمها نیز بسیار کارآمد باشند.
https://www.youtube.com/watch?v=nq9V8mZvRSg
HiddenLayer نشان می دهد که چگونه یک مدل ResNet ربوده شده و از قبل آموزش دیده، یک باج افزار نمونه را در لحظه بارگذاری آن در حافظه توسط PyTorch در دستگاه آزمایشی خود اجرا می کند.
ویژگی حرکت اول
کریس کلمنتز، معاون مهندسی راه حل در Cerberus Sentinel، یک شرکت مشاوره امنیت سایبری و تست نفوذ در اسکاتسدیل، آریزونا، خاطرنشان کرد که عوامل تهدید اغلب می خواهند از آسیب پذیری های غیرمنتظره در فناوری های جدید سوء استفاده کنند.
کلمنتز به TechNewsWorld گفت: «حملهگرانی که به دنبال مزیت حرکت اول در این مرزها هستند، میتوانند هوشیاری کمتری داشته باشند و در برابر بهرهبرداریهای فناوریهای جدید از محافظت فعال برخوردار باشند.
او گفت: “به نظر می رسد که این حمله به مدل های زبان ماشین ممکن است گام بعدی در بازی موش و گربه بین مهاجمان و مدافعان باشد.”
مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، ارائهدهنده SaaS سازمانی برای اصلاح ریسک سایبری در تلآویو، اسرائیل، خاطرنشان کرد که عوامل تهدید از هر انگیزهای برای انجام حملات خود استفاده خواهند کرد.
پارکین به TechNewsWorld گفت: «این یک بردار غیرمعمول است که اگر با دقت انجام شود میتواند از میان گجتهای معمولی عبور کند.
او توضیح داد که راه حل های سنتی ضد بدافزار و تشخیص نقطه پایانی و پاسخ برای شناسایی باج افزار بر اساس رفتارهای مبتنی بر الگو، از جمله امضای ویروس، و نظارت بر API کلیدی ویندوز، فایل ها و درخواست های رجیستری برای فعالیت های بالقوه مخرب طراحی شده اند. Maury Haber، مدیر امنیت افسر BeyondTrust، سازنده مدیریت حساب ممتاز و راه حل های مدیریت آسیب پذیری در کارلزبد، کالیفرنیا.
هابر به TechNewsWorld گفت: «اگر یادگیری ماشین برای تحویل بدافزارهایی مانند باجافزار اعمال شود، بردارهای حمله سنتی و حتی روشهای تشخیص را میتوان تغییر داد تا بیضرر به نظر برسند.
احتمال آسیب گسترده
کارن کراولی، مدیر راه حل های محصول در Deep Instinct، یک شرکت امنیت سایبری که بر روی یادگیری عمیق در شهر نیویورک کار می کند، خاطرنشان می کند که حملات به مدل های زبان ماشین در حال افزایش است.
کراولی به TechNewsWorld گفت: “این هنوز قابل توجه نیست، اما احتمال آسیب گسترده وجود دارد.”
او توضیح داد: «در زنجیره تأمین، اگر دادهها مسموم شوند، به طوری که وقتی مدلها آموزش میبینند، سیستم نیز مسموم میشود، آنگاه ممکن است مدل تصمیماتی بگیرد که امنیت را به جای افزایش آن کاهش دهد».
او گفت: «در مورد Log4j و SolarWinds، ما تأثیر آن را نه تنها بر سازمان صاحب نرمافزار، بلکه بر همه کاربران آن در آن زنجیره دیدیم. هنگامی که ML را معرفی می کنید، این آسیب می تواند به سرعت چند برابر شود.
کیسی الیس، مدیر ارشد فناوری و بنیانگذار Bugcrowd، که یک پلتفرم پاداش جمعی برون سپاری را اداره می کند، خاطرنشان کرد که حملات به مدل های ML می تواند بخشی از روند بزرگتر حملات به زنجیره های تامین نرم افزار باشد.
الیس به TechNewsWorld گفت: «همانطور که دشمنان ممکن است برای وارد کردن کد یا آسیبپذیریهای مخرب، زنجیره تأمین برنامههای نرمافزاری را به خطر بیاندازند، ممکن است زنجیره تأمین مدلهای یادگیری ماشینی را نیز برای تزریق دادهها یا الگوریتمهای مخرب یا مغرضانه هدف قرار دهند.
او گفت: «این میتواند تأثیرات قابلتوجهی بر قابلیت اطمینان و یکپارچگی سیستمهای هوش مصنوعی داشته باشد و میتواند برای تضعیف اعتماد به این فناوری استفاده شود».
بابلوم برای بچه های سناریو
عوامل تهدید ممکن است علاقه بیشتری به مدلهای ماشین نشان دهند، زیرا آسیبپذیرتر از آنچه مردم فکر میکنند هستند.
بونر گفت: «مردم برای مدتی میدانستند که این امکان پذیر است، اما متوجه نشدند که چقدر آسان است. حمله با چند متن ساده بسیار پیش پا افتاده است.
وی افزود: اکنون که مردم متوجه شده اند چقدر آسان است، در حوزه فیلمنامه کودکان قرار دارد.
کلمنتز موافقت کرد که محققان نشان دادهاند که برای تزریق دستورات مخرب به دادههای آموزشی که میتوانند توسط مدلهای ML در زمان اجرا اجرا شوند، نیازی به تخصص دقیق علم داده ML/AI نیست.
با این حال، ادامه دهید، پیچیدگی بیشتری نسبت به حملات باجافزار معمولی که در درجه اول به پر کردن اعتبار ساده یا فیشینگ متکی هستند، نیاز دارد.
او گفت: «در حال حاضر، من فکر میکنم که محبوبیت این بردار حمله خاص احتمالاً در آینده قابل پیشبینی کم خواهد بود.
این اکسپلویت به مهاجم نیاز دارد که پروژه نمونه اولیه ML مورد استفاده توسعه دهندگان پایین دستی را به خطر بیاندازد، قربانی را فریب دهد تا یک مدل ML از پیش آموزش دیده را با دستورات داخلی مخرب از یک منبع غیر رسمی دانلود کند، یا مجموعه داده خصوصی را که توسعه دهندگان ML برای درج استفاده می کنند به خطر بیاندازد. او توضیح داد.
وی ادامه داد: در هر یک از این سناریوها، به نظر میرسد که راههای بسیار آسانتر و مستقیمتری برای شکست دادن هدف به غیر از وارد کردن اکسپلویتهای مخفیانه در دادههای آموزشی وجود خواهد داشت.