I ricercatori di Cybersecurity hanno scoperto due modelli di apprendimento automatico dannoso (ML) sull’abbinamento che ha sfruttato una tecnica insolita di file di sottaceti “rotti” per eludere il rilevamento.
“I file di sottaceti estratti dagli archivi di Pytorch menzionati hanno rivelato il contenuto di Python dannoso all’inizio del file”, il ricercatore di Inverversinglabs Karlo Zanki disse In un rapporto condiviso con le notizie di Hacker. “In entrambi i casi, il payload dannoso period un tipico shell inverso consapevole della piattaforma che si collega a un indirizzo IP con codifica dura.”
L’approccio è stato soprannominato Nullifai, in quanto comporta tentativi di chiara SEMPRE SEMPRE SUPAGARDE ESISTENTI mettere in atto per identificare modelli dannosi. I repository di abbracci sono stati elencati di seguito –
- GLOCKR1/BALLR7
- WHO-R-U0000/0000000000000000000000000000000000000
Si ritiene che i modelli siano più una prova di concetto (POC) che uno state of affairs di attacco a catena di approvvigionamento attivo.
Il formato di serializzazione del sottaceto, usato comune per la distribuzione di modelli ML, è stato ripetutamente trovato Essere un rischio per la sicurezza, in quanto offre modi per eseguire il codice arbitrario non appena vengono caricati e deserializzati.
I due modelli rilevati dalla società di sicurezza informatica sono archiviati nel formato Pytorch, che non è altro che un file sottaceto compresso. Mentre Pytorch utilizza il formato zip per la compressione per impostazione predefinita, i modelli identificati sono risultati compressi usando il formato 7Z.
Di conseguenza, questo comportamento ha permesso ai modelli di volare sotto il radar ed evitare di essere contrassegnato come dannoso da Picklesscan, uno strumento utilizzato abbracciando il viso per rilevare file di sottaceti sospetti.
“Una cosa interessante di questo file sottaceto è che la serializzazione dell’oggetto – lo scopo del file sottaceto – si rompe poco dopo l’esecuzione del payload dannoso, risultando nel fallimento della decompilazione dell’oggetto”, ha detto Zanki.
Ulteriori analisi hanno rivelato che tali file di sottaceti rotti possono ancora essere parzialmente deserializzati a causa della discrepanza tra PickleScan e come funziona la deserializzazione, causando l’esecuzione del codice dannoso nonostante lo strumento che lancia un messaggio di errore. Da allora l’utilità open supply è stata aggiornato Per correggere questo bug.
“La spiegazione di questo comportamento è che la deserializzazione dell’oggetto viene eseguita in sequenza su file di sottaceto”, ha osservato Zanki.
“I codi di sottaceti vengono eseguiti come si incontrano e fino a quando tutti i codici operativi non vengono eseguiti o si incontrano un’istruzione rotta. Nel caso del modello scoperto, poiché il carico utile dannoso viene inserito all’inizio del flusso di pickle, l’esecuzione del modello non sarebbe “Essere rilevato come non sicuro abbracciando gli strumenti di scansione di sicurezza esistenti di Face.”
