Als ob die Verteidiger von Software-Lieferketten nicht genug Angriffsvektoren hätten, um die sie sich Sorgen machen müssten, haben sie jetzt einen neuen: Modelle für maschinelles Lernen.
ML-Modelle sind das Herzstück von Technologien wie Gesichtserkennung und Chatbots. Wie Open-Source-Software-Repositories werden die Modelle oft von Entwicklern und Datenwissenschaftlern heruntergeladen und geteilt, sodass ein kompromittiertes Modell verheerende Auswirkungen auf viele Organisationen gleichzeitig haben könnte.
Forscher von HiddenLayer, einem Unternehmen für Maschinensprachensicherheit, enthüllten am Dienstag in einem Blog, wie ein Angreifer ein beliebtes ML-Modell verwenden könnte, um Ransomware einzusetzen.
Die von den Forschern beschriebene Methode ähnelt der Methode, mit der Hacker Steganografie verwenden, um bösartige Payloads in Bildern zu verstecken. Beim ML-Modell ist der Schadcode in den Daten des Modells versteckt.
Laut den Forschern ist der Steganographie-Prozess ziemlich generisch und kann auf die meisten ML-Bibliotheken angewendet werden. Sie fügten hinzu, dass der Prozess nicht auf die Einbettung von bösartigem Code in das Modell beschränkt sein müsse und auch dazu verwendet werden könne, Daten aus einer Organisation herauszufiltern.
Bild mit freundlicher Genehmigung von HiddenLayer
Angriffe können auch betriebssystemunabhängig sein. Die Forscher erklärten, dass die betriebssystem- und architekturspezifischen Payloads in das Modell eingebettet werden könnten, wo sie je nach Plattform dynamisch zur Laufzeit geladen werden können.
Fliegen unter Radar
Das Einbetten von Malware in ein ML-Modell bietet einem Angreifer einige Vorteile, bemerkte Tom Bonner, Senior Director of Adversarial Threat Research bei HiddenLayer mit Sitz in Austin, Texas.
„Es erlaubt ihnen, unter dem Radar zu fliegen“, sagte Bonner gegenüber TechNewsWorld. „Es handelt sich nicht um eine Technik, die von aktueller Antiviren- oder EDR-Software erkannt wird.“
„Es eröffnet ihnen auch neue Ziele“, sagte er. „Es ist ein direkter Weg in Data Scientist-Systeme. Es ist möglich, ein in einem öffentlichen Repository gehostetes maschinelles Lernmodell zu untergraben. Datenwissenschaftler ziehen es herunter und laden es hoch und werden dann kompromittiert.“
„Diese Modelle werden auch auf verschiedene Plattformen für maschinelles Lernen heruntergeladen, was ziemlich beängstigend sein kann, da sie Zugriff auf Amazon S3-Buckets haben und Trainingsdaten stehlen können“, fuhr er fort.
„Die meisten [the] Maschinen, auf denen Modelle für maschinelles Lernen ausgeführt werden, haben große, fette GPUs in sich, sodass Bitcoin-Miner auch auf diesen Systemen sehr effektiv sein könnten“, fügte er hinzu.
HiddenLayer demonstriert, wie sein entführtes, vortrainiertes ResNet-Modell ein Ransomware-Sample in dem Moment ausführte, in dem es von PyTorch auf seinem Testcomputer in den Speicher geladen wurde.
First-Mover-Vorteil
Bedrohungsakteure nutzen oft gerne unvorhergesehene Schwachstellen in neuen Technologien aus, bemerkte Chris Clements, Vizepräsident für Lösungsarchitektur bei Cerberus Sentinel, einem Beratungs- und Penetrationstestunternehmen für Cybersicherheit in Scottsdale, Arizona.
„Angreifer, die an diesen Grenzen nach einem First-Mover-Vorteil suchen, können sowohl weniger Vorbereitung als auch proaktiven Schutz vor der Ausnutzung neuer Technologien genießen“, sagte Clements gegenüber TechNewsWorld.
„Dieser Angriff auf maschinensprachliche Modelle scheint der nächste Schritt im Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern zu sein“, sagte er.
Mike Parkin, leitender technischer Ingenieur bei Vulcan Cyber, einem Anbieter von SaaS für die Behebung von Cyber-Risiken in Unternehmen in Tel Aviv, Israel, wies darauf hin, dass Bedrohungsakteure alle möglichen Vektoren nutzen werden, um ihre Angriffe auszuführen.
„Dies ist ein ungewöhnlicher Vektor, der sich bei sorgfältiger Ausführung an einigen gängigen Tools vorbeischleichen könnte“, sagte Parkin gegenüber TechNewsWorld.
Herkömmliche Anti-Malware- und Endpunkterkennungs- und -reaktionslösungen sind darauf ausgelegt, Ransomware basierend auf musterbasiertem Verhalten zu erkennen, einschließlich Virensignaturen und der Überwachung von Schlüssel-API-, Datei- und Registrierungsanfragen unter Windows auf potenzielle böswillige Aktivitäten, erklärte Morey Haber, Chief Security Officer bei BeyondTrust, ein Hersteller von Privileged-Account-Management- und Vulnerability-Management-Lösungen in Carlsbad, Kalifornien.
„Wenn maschinelles Lernen auf die Bereitstellung von Malware wie Ransomware angewendet wird, können die traditionellen Angriffsvektoren und sogar Erkennungsmethoden so geändert werden, dass sie nicht bösartig erscheinen“, sagte Haber gegenüber TechNewsWorld.
Potenzial für weitreichende Schäden
Angriffe auf Maschinensprachenmodelle nehmen zu, bemerkte Karen Crowley, Director of Product Solutions bei Deep Instinct, einem Unternehmen für Deep-Learning-Cybersicherheit in New York City.
„Es ist noch nicht signifikant, aber das Potenzial für weitreichende Schäden ist vorhanden“, sagte Crowley gegenüber TechNewsWorld.
„Wenn in der Lieferkette die Daten vergiftet werden, sodass beim Training der Modelle auch das System vergiftet wird, könnte dieses Modell Entscheidungen treffen, die die Sicherheit verringern, anstatt sie zu stärken“, erklärte sie.
„In den Fällen von Log4j und SolarWinds haben wir die Auswirkungen nicht nur auf das Unternehmen gesehen, dem die Software gehört, sondern auf alle seine Benutzer in dieser Kette“, sagte sie. „Sobald ML eingeführt ist, könnte sich dieser Schaden schnell vervielfachen.“
Casey Ellis, CTO und Gründer von Bugcrowd, das eine Crowdsourcing-Bug-Bounty-Plattform betreibt, stellte fest, dass Angriffe auf ML-Modelle Teil eines größeren Trends von Angriffen auf Softwarelieferketten sein könnten.
„So wie Angreifer versuchen können, die Lieferkette von Softwareanwendungen zu kompromittieren, um bösartigen Code oder Schwachstellen einzufügen, können sie auch die Lieferkette von Modellen für maschinelles Lernen angreifen, um böswillige oder voreingenommene Daten oder Algorithmen einzufügen“, sagte Ellis gegenüber TechNewsWorld.
„Dies kann erhebliche Auswirkungen auf die Zuverlässigkeit und Integrität von KI-Systemen haben und dazu verwendet werden, das Vertrauen in die Technologie zu untergraben“, sagte er.
Pablum für Skript-Kiddies
Bedrohungsakteure zeigen möglicherweise ein erhöhtes Interesse an Maschinenmodellen, weil sie anfälliger sind, als die Leute dachten, dass sie es waren.
„Dass das möglich ist, wissen die Leute schon seit einiger Zeit, aber sie wussten nicht, wie einfach es ist“, sagt Bonner. „Es ist ziemlich trivial, einen Angriff mit ein paar einfachen Skripten aneinanderzureihen.“
„Jetzt, wo die Leute erkennen, wie einfach es ist, liegt es im Reich der Drehbuch-Kiddies, es durchzuziehen“, fügte er hinzu.
Clements stimmte zu, dass die Forscher gezeigt haben, dass es keine Hardcore-ML/KI-Data-Science-Expertise erfordert, um böswillige Befehle in Trainingsdaten einzufügen, die dann zur Laufzeit von ML-Modellen ausgelöst werden können.
Er fuhr jedoch fort, es erfordere mehr Raffinesse als gewöhnliche Ransomware-Angriffe, die hauptsächlich auf einfachem Credential Stuffing oder Phishing beruhen, um gestartet zu werden.
„Im Moment denke ich, dass die Popularität des spezifischen Angriffsvektors auf absehbare Zeit wahrscheinlich gering sein wird“, sagte er.
„Um dies auszunutzen, muss ein Angreifer ein vorgelagertes ML-Modellprojekt kompromittieren, das von nachgelagerten Entwicklern verwendet wird, das Opfer dazu verleiten, ein vortrainiertes ML-Modell mit den eingebetteten böswilligen Befehlen aus einer inoffiziellen Quelle herunterzuladen, oder den privaten Datensatz kompromittieren, der von ML-Entwicklern zum Einfügen verwendet wird Heldentaten“, erklärte er.
„In jedem dieser Szenarien“, fuhr er fort, „scheint es viel einfachere und unkompliziertere Möglichkeiten zu geben, das Ziel zu kompromittieren, abgesehen vom Einfügen verschleierter Exploits in Trainingsdaten.“
Bild & Quelle: TechNewsWorld
