Los investigadores de ciberseguridad han descubierto dos modelos de aprendizaje automático malicioso (ML) en la cara de abrazo que aprovechó una técnica inusual de archivos de encurtidos «rotos» para evadir la detección.
«Los archivos de Pickle extraídos de los archivos mencionados de Pytorch revelaron el contenido malicioso de Python al comienzo del archivo», dijo el investigador de reversinglabs Karlo Zanki en un informe compartido con Hacker News. «En ambos casos, la carga útil maliciosa era un shell inverso consciente de la plataforma típico que se conecta a una dirección IP codificada».
El enfoque se ha denominado Nullifai, ya que implica intentos claros de esquivar las salvaguardas existentes establecidas para identificar modelos maliciosos. Los repositorios de la cara abrazada se han enumerado a continuación –
- GLOCKR1/BALLR7
- Who-R-U0000/000000000000000000000000000000000000000000
Se cree que los modelos son más una prueba de concepto (POC) que un escenario activo de ataque de la cadena de suministro.
El formato de serialización de Pickle, utilizado en común para distribuir modelos ML, se ha encontrado que es un riesgo de seguridad, ya que ofrece formas de ejecutar código arbitrario tan pronto como se cargan y deserializan.
Los dos modelos detectados por la compañía de seguridad cibernética se almacenan en formato Pytorch, que no es más que un archivo de encurtido comprimido. Mientras que Pytorch usa el formato ZIP para la compresión de forma predeterminada, se ha encontrado que los modelos identificados están comprimidos utilizando el formato 7Z.
En consecuencia, este comportamiento hizo posible que los modelos volaran debajo del radar y eviten que Picklescan se marque como malicioso, una herramienta utilizada al abrazar la cara para detectar archivos de encurtidos sospechosos.
«Una cosa interesante de este archivo de encurtido es que la serialización del objeto, el propósito del archivo de encurtido, se rompe poco después de que se ejecuta la carga útil maliciosa, lo que resulta en la falla de la descompilación del objeto», dijo Zanki.
Un análisis posterior ha revelado que tales archivos de encurtidos rotos aún se pueden deserializar parcialmente debido a la discrepancia entre Picklescan y cómo funciona la deserialización, lo que hace que el código malicioso se ejecute a pesar de que la herramienta arroja un mensaje de error. Desde entonces, la utilidad de código abierto se ha actualizado para rectificar este error.
«La explicación de este comportamiento es que la deserialización del objeto se realiza en archivos de encurtido secuencialmente», señaló Zanki.
«Los códigos de operación de encurtidos se ejecutan a medida que se encuentran, y hasta que se ejecuten todos los códigos de operación o se encuentre una instrucción rota. En el caso del modelo descubierto, ya que la carga útil maliciosa se inserta al comienzo de la corriente de encurtido, la ejecución del modelo no lo haría Se detectará como inseguro al abrazar las herramientas de escaneo de seguridad existentes de Face «.