محققان مدل‌های یادگیری ماشینی را با باج‌افزار مسلح می‌کنند


گویی مدافعان زنجیره تامین نرم‌افزار بردار حمله کافی برای نگرانی ندارند، اکنون بردار جدیدی دارند: مدل‌های یادگیری ماشین.

مدل‌های ML در قلب فناوری‌هایی مانند تشخیص چهره و ربات‌های گفتگو قرار دارند. مانند مخازن نرم‌افزار متن‌باز، مدل‌ها اغلب توسط توسعه‌دهندگان و دانشمندان داده دانلود و به اشتراک گذاشته می‌شوند، بنابراین یک مدل در معرض خطر می‌تواند به طور همزمان بر بسیاری از سازمان‌ها تأثیر منفی بگذارد.

محققان HiddenLayer، یک شرکت امنیتی زبان ماشین، روز سه‌شنبه در وبلاگی فاش کردند که چگونه یک مهاجم می‌تواند از یک مدل محبوب ML برای استقرار باج‌افزار استفاده کند.

روش توصیف شده توسط محققان مشابه نحوه استفاده هکرها از استگانوگرافی برای پنهان کردن بارهای مخرب در تصاویر است. در مورد مدل ML، کد مخرب در داده های مدل پنهان می شود.

به گفته محققان، فرآیند استگانوگرافی نسبتاً عمومی است و می تواند در اکثر کتابخانه های ML اعمال شود. آنها اضافه کردند که این فرآیند نیازی به تعبیه کدهای مخرب در مدل ندارد و همچنین می تواند برای استخراج داده ها از یک سازمان استفاده شود.

ربودن مدل یادگیری ماشینی

تصویر از HiddenLayer


حملات نیز می توانند سیستم عامل را آگنوستیک باشند. محققان توضیح دادند که سیستم‌عامل و محموله‌های خاص معماری را می‌توان در مدل جاسازی کرد، جایی که می‌توان آن‌ها را به صورت پویا در زمان اجرا، بسته به پلت‌فرم، بارگذاری کرد.

پرواز زیر رادار

تام بونر، مدیر ارشد تحقیقات تهدیدات متخاصم در HiddenLayer مستقر در آستین، تگزاس، مشاهده کرد که جاسازی بدافزار در یک مدل ML مزایایی را برای دشمن ارائه می‌کند.

بونر به TechNewsWorld گفت: «این به آنها اجازه می دهد تا زیر رادار پرواز کنند. “این تکنیکی نیست که توسط آنتی ویروس یا نرم افزار EDR فعلی شناسایی شود.”

او گفت: “این همچنین اهداف جدیدی را برای آنها باز می کند.” “این یک مسیر مستقیم به سیستم های دانشمند داده است. این امکان وجود دارد که یک مدل یادگیری ماشینی که در یک مخزن عمومی میزبانی شده است را واژگون کرد. دانشمندان داده آن را پایین می کشند و بارگذاری می کنند، سپس در معرض خطر قرار می گیرند.

او ادامه داد: «این مدل‌ها همچنین در پلتفرم‌های مختلف عملیات یادگیری ماشینی دانلود می‌شوند، که می‌تواند بسیار ترسناک باشد زیرا می‌توانند به سطل‌های آمازون S3 دسترسی داشته باشند و داده‌های آموزشی را سرقت کنند.»

“بیشتر [the] ماشین‌هایی که مدل‌های یادگیری ماشینی را اجرا می‌کنند دارای پردازنده‌های گرافیکی بزرگ و چاق هستند، بنابراین استخراج‌کنندگان بیت‌کوین می‌توانند روی این سیستم‌ها نیز بسیار موثر باشند.»

HiddenLayer نشان می‌دهد که چگونه مدل ResNet از قبل آموزش‌دیده ربوده‌شده، یک نمونه باج‌افزار را در لحظه بارگذاری آن در حافظه توسط PyTorch در دستگاه آزمایشی خود اجرا می‌کند.


مزیت اولین حرکت دهنده

کریس کلمنتز، معاون معماری راه حل ها در Cerberus Sentinel، یک شرکت مشاوره امنیت سایبری و تست نفوذ در اسکاتسدیل، آریز، اشاره کرد که عوامل تهدید اغلب دوست دارند از آسیب پذیری های پیش بینی نشده در فناوری های جدید سوء استفاده کنند.

کلمنتز به TechNewsWorld گفت: مهاجمانی که به دنبال اولین مزیت محرک در این مرزها هستند، می توانند از آمادگی کمتر و محافظت فعال در برابر بهره برداری از فناوری های جدید برخوردار شوند.

او گفت: “به نظر می رسد این حمله به مدل های زبان ماشینی ممکن است گام بعدی در بازی موش و گربه بین مهاجمان و مدافعان باشد.”

مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، ارائه‌دهنده SaaS برای اصلاح ریسک سایبری سازمانی در تل آویو، اسرائیل، خاطرنشان کرد که عوامل تهدید از هر عاملی که می‌توانند برای اجرای حملات خود استفاده می‌کنند.

پارکین به TechNewsWorld گفت: «این یک بردار غیرمعمول است که اگر با دقت انجام شود، می‌تواند از کنار چند ابزار رایج عبور کند.

موری هابر، افسر ارشد امنیتی در توضیح داد: راه حل های سنتی ضد بدافزار و تشخیص و پاسخ نقطه پایانی برای شناسایی باج افزار بر اساس رفتارهای مبتنی بر الگو، از جمله امضای ویروس و نظارت بر API، فایل و درخواست های رجیستری کلیدی در ویندوز برای فعالیت های مخرب بالقوه طراحی شده اند. BeyondTrust، سازنده مدیریت حساب کاربری ممتاز و راه حل های مدیریت آسیب پذیری در Carlsbad، کالیفرنیا.

هابر به TechNewsWorld گفت: «اگر یادگیری ماشین برای تحویل بدافزارهایی مانند باج‌افزار اعمال شود، بردارهای حمله سنتی و حتی روش‌های تشخیص را می‌توان تغییر داد تا غیر مخرب به نظر برسند.

احتمال آسیب گسترده

کارن کرولی، مدیر راه حل های محصول در Deep Instinct، یک شرکت امنیت سایبری با یادگیری عمیق در شهر نیویورک، خاطرنشان کرد که حملات به مدل های زبان ماشینی در حال افزایش است.

کراولی به TechNewsWorld گفت: “این هنوز قابل توجه نیست، اما احتمال آسیب گسترده وجود دارد.”

او توضیح داد: «در زنجیره تأمین، اگر داده‌ها مسموم شوند به طوری که وقتی مدل‌ها آموزش می‌بینند، سیستم نیز مسموم می‌شود، آن مدل می‌تواند تصمیم‌هایی بگیرد که امنیت را به جای تقویت آن کاهش دهد».

او گفت: «در موارد Log4j و SolarWinds، ما تأثیر آن را نه تنها بر سازمان صاحب نرم‌افزار، بلکه بر همه کاربران آن در آن زنجیره دیدیم. هنگامی که ML معرفی شود، این آسیب می تواند به سرعت چند برابر شود.

کیسی الیس، مدیر ارشد فناوری و بنیانگذار Bugcrowd، که یک پلتفرم پاداش باگ جمع‌سپاری شده را اداره می‌کند، خاطرنشان کرد که حملات به مدل‌های ML می‌تواند بخشی از روند بزرگ‌تر حملات به زنجیره‌های تامین نرم‌افزار باشد.

الیس به TechNewsWorld گفت: «همان‌طور که دشمنان ممکن است سعی کنند زنجیره تأمین برنامه‌های نرم‌افزاری را برای وارد کردن کدهای مخرب یا آسیب‌پذیری‌ها به خطر بیاندازند، ممکن است زنجیره تأمین مدل‌های یادگیری ماشینی را نیز برای درج داده‌ها یا الگوریتم‌های مخرب یا مغرضانه هدف قرار دهند.

او گفت: «این می‌تواند تأثیرات قابل‌توجهی بر قابلیت اطمینان و یکپارچگی سیستم‌های هوش مصنوعی داشته باشد و می‌تواند برای تضعیف اعتماد به این فناوری استفاده شود».

Pablum برای اسکریپت Kiddies

عوامل تهدید ممکن است علاقه بیشتری به مدل‌های ماشین نشان دهند، زیرا آسیب‌پذیرتر از آن چیزی هستند که مردم فکر می‌کردند.

بونر گفت: «مردم برای مدتی می‌دانستند که این امکان وجود دارد، اما نمی‌دانستند که چقدر آسان است. “این کاملاً پیش پا افتاده است که یک حمله را با چند اسکریپت ساده در کنار هم قرار دهیم.”

او افزود: «اکنون که مردم می‌دانند چقدر آسان است، انجام آن در قلمرو بچه‌های فیلمنامه است.

کلمنتز موافقت کرد که محققان نشان داده‌اند که برای وارد کردن دستورات مخرب در داده‌های آموزشی که می‌توانند توسط مدل‌های ML در زمان اجرا راه‌اندازی شوند، به تخصص علوم داده ML/AI نیاز ندارد.

با این حال، او ادامه داد، این به پیچیدگی بیشتری نسبت به حملات باج‌افزاری معمولی نیاز دارد که عمدتاً برای راه‌اندازی به پر کردن اعتبار ساده یا فیشینگ متکی هستند.

او گفت: “در حال حاضر، من فکر می کنم محبوبیت بردار حمله خاص احتمالاً برای آینده قابل پیش بینی کم خواهد بود.”

استفاده از این امر مستلزم به خطر انداختن یک پروژه مدل ML بالادستی است که توسط توسعه دهندگان پایین دستی استفاده می شود، قربانی را فریب می دهد تا یک مدل ML از پیش آموزش دیده را با دستورات مخرب تعبیه شده از یک منبع غیر رسمی دانلود کند، یا مجموعه داده خصوصی مورد استفاده توسعه دهندگان ML را به خطر می اندازد. او توضیح داد.

او ادامه داد: «در هر یک از این سناریوها، به نظر می‌رسد که راه‌های بسیار ساده‌تر و ساده‌تری برای به خطر انداختن هدف وجود داشته باشد، جدای از درج اکسپلویت‌های مبهم در داده‌های آموزشی».



منبع