Siber güvenlik araştırmacıları, sarılma yüzünde, algılamadan kaçınmak için alışılmadık bir “kırık” turşu dosyası tekniğini kullanan iki kötü amaçlı makine öğrenimi (ML) modelini ortaya çıkardılar.
Hacker News ile paylaşılan bir raporda ReversingLabs araştırmacısı Karlo Zanki, “Bahsedilen Pytorch arşivlerinden çıkarılan turşu dosyaları, dosyanın başında kötü niyetli Python içeriğini ortaya çıkardı.” Dedi. “Her iki durumda da, kötü amaçlı yük yükü, sabit kodlu bir IP adresine bağlanan tipik bir platform duyulan ters kabuktu.”
Yaklaşım Nullifai olarak adlandırıldı, çünkü ClearCut, kötü niyetli modelleri tanımlamak için uygulanan mevcut güvenceleri kaldırmaya çalışmayı içeriyor. Sarılma yüz depoları aşağıda listelenmiştir –
- Glockr1/Ballr7
- WHO-R-U0000/00000000000000000000000000000000000
Modellerin aktif tedarik zinciri saldırısı senaryosundan daha çok bir kavram kanıtı (POC) olduğuna inanılmaktadır.
ML modellerini dağıtmak için yaygın olarak kullanılan turşu serileştirme formatı, yüklendikleri ve süzülür hale getirilmez keyfi kod yürütmenin yollarını sunduğundan, tekrar tekrar bir güvenlik riski olarak bulunmuştur.
Siber güvenlik şirketi tarafından tespit edilen iki model, sıkıştırılmış bir turşu dosyasından başka bir şey olmayan Pytorch formatında saklanır. Pytorch varsayılan olarak sıkıştırma için zip biçimini kullanırken, tanımlanan modellerin 7Z formatı kullanılarak sıkıştırıldığı bulunmuştur.
Sonuç olarak, bu davranış, modellerin radarın altında uçmasını ve şüpheli turşu dosyalarını tespit etmek için yüz sararak kullanılan bir araç olan Picklescan tarafından kötü niyetli olarak işaretlenmesini mümkün kıldı.
Zanki, “Bu turşu dosyası hakkında ilginç bir şey, nesne serileştirmenin – turşu dosyasının amacı – kötü niyetli yük yükü yürütüldükten kısa bir süre sonra kırılması ve nesnenin ayrışmasının başarısız olmasına neden olmasıdır.” Dedi.
Daha ileri analizler, bu tür kırık turşu dosyalarının, turşu ve süzelleştirmenin nasıl çalıştığı arasındaki tutarsızlık nedeniyle hala kısmen fasili olabileceğini ve bir hata mesajı atmasına rağmen kötü amaçlı kodun yürütülmesine neden olduğunu ortaya koymuştur. Açık kaynak yardımcı programı o zamandan beri bu hatayı düzeltmek için güncellendi.
Zanki, “Bu davranışın açıklaması, nesnenin seansizasyonunun turşu dosyalarında sırayla gerçekleştirilmesidir.” Dedi.
“Turşu opcodes karşılaşıldıkça yürütülür ve tüm opcodes yürütülene veya kırık bir talimatla karşılaşılıncaya kadar. Keşfedilen model durumunda, kötü niyetli yük yükü turşu akışının başlangıcına eklendiğinden, modelin yürütülmesi ‘Yüzün mevcut güvenlik tarama araçlarına sarılarak güvensiz olarak tespit edilmez. “