Los investigadores de ciberseguridad han descubierto dos modelos de educación obligatorio bellaco (ML) en la cara de arrechucho que aprovechó una técnica inusual de archivos de encurtidos “rotos” para escamotear la detección.
“Los archivos de Pickle extraídos de los archivos mencionados de Pytorch revelaron el contenido bellaco de Python al manifestación del archivo”, dijo el investigador de reversinglabs Karlo Zanki en un documentación compartido con Hacker News. “En uno y otro casos, la carga útil maliciosa era un shell inverso consciente de la plataforma pintoresco que se conecta a una dirección IP codificada”.
El enfoque se ha denominado Nullifai, ya que implica intentos claros de esquivar las salvaguardas existentes establecidas para identificar modelos maliciosos. Los repositorios de la cara abrazada se han enumerado a continuación –
- GLOCKR1/BALLR7
- Who-R-U0000/000000000000000000000000000000000000000000
Se cree que los modelos son más una prueba de concepto (POC) que un ambiente activo de ataque de la esclavitud de suministro.
El formato de serialización de Pickle, utilizado en global para distribuir modelos ML, se ha contrario que es un peligro de seguridad, ya que ofrece formas de ejecutar código gratuito tan pronto como se cargan y deserializan.
Los dos modelos detectados por la compañía de seguridad cibernética se almacenan en formato Pytorch, que no es más que un archivo de variante comprimido. Mientras que Pytorch usa el formato ZIP para la compresión de forma predeterminada, se ha contrario que los modelos identificados están comprimidos utilizando el formato 7Z.
En consecuencia, este comportamiento hizo posible que los modelos volaran debajo del radar y eviten que Picklescan se marque como bellaco, una aparejo utilizada al abrazar la cara para detectar archivos de encurtidos sospechosos.
“Una cosa interesante de este archivo de variante es que la serialización del objeto, el propósito del archivo de variante, se rompe poco a posteriori de que se ejecuta la carga útil maliciosa, lo que resulta en la defecto de la descompilación del objeto”, dijo Zanki.
Un descomposición posterior ha revelado que tales archivos de encurtidos rotos aún se pueden deserializar parcialmente oportuno a la discrepancia entre Picklescan y cómo funciona la deserialización, lo que hace que el código bellaco se ejecute a pesar de que la aparejo arroja un mensaje de error. Desde entonces, la utilidad de código rajado se ha actualizado para rectificar este error.
“La explicación de este comportamiento es que la deserialización del objeto se realiza en archivos de variante secuencialmente”, señaló Zanki.
“Los códigos de operación de encurtidos se ejecutan a medida que se encuentran, y hasta que se ejecuten todos los códigos de operación o se encuentre una instrucción rota. En el caso del maniquí descubierto, ya que la carga útil maliciosa se inserta al manifestación de la corriente de variante, la ejecución del maniquí no lo haría Se detectará como inseguro al abrazar las herramientas de escaneo de seguridad existentes de Face “.
