Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Нападот LotL крие малвер во нативниот AI стек на Windows

Објавено: 31.10.2025

Безбедносните програми им веруваат на датотеките со податоци од вештачката интелигенција, но не треба: тие можат да го сокријат малициозниот софтвер поприкриено од повеќето типови датотеки.

Еден истражувач демонстрираше дека нативниот вештачки интелект (AI) стек на Windows може да послужи како вектор за доставување на малвер.

Во година кога сложените техники на „prompt injection“ цветаат насекаде, безбедносниот истражувач hxr1 идентификува многу покласичен начин да се злоупотреби расипаниот (rampant) AI. Во proof-of-concept (PoC) споделен ексклузивно со Dark Reading, тој опиша напад „living-off-the-land“ (LotL) кој користи доверливи датотеки од Open Neural Network Exchange (ONNX) за да заобиколи безбедносни двигатели. „Сите тие разни ‚living off the land‘ бинарни фајлови со кои сме запознаени постојат веќе со години,“ вели hxr1. „Тие се стари и добро познати, и најмногу од [endpoint detection and response системите, или EDR] и антивирусите се доволно добри да фатат видови напади што ги користат. Затоа напаѓачите секогаш бараат нови living-off-the-land бинарни фајлови за да можат да заобиколат постојните одбрани и да го стават својот payload на таргетираниот систем. Тука влегува ONNX моделот.“

Краток вовед во Windows AI

Сајбербезбедносните програми се ефикасни онолку колку што ги дизајнираат нивните развивачи. Тие може да откријат необична количина на податоци што се извезуваат од мрежа или стран .exe фајл кој почнува да се извршува, бидејќи тоа се познати индикатори на сомнително однесување. Но, многу помалку веројатно е да го забележат тоа доколку малверот пристигне во форма која никогаш порано не им била видена.
На пример, од 2018 година, Windows постепено додава функционалност што им дозволува на апликациите да вршат AI inference локално, без поврзување со cloud сервиси. Windows Hello, Photos и Office апликациите користат вграден AI за препознавање на лица, детекција на објекти и функции за продуктивност, соодветно. Тие го прават тоа преку повикување на Windows Machine Learning (ML) API, кој ги вчитува ML моделите во форма на ONNX фајлови. Windows и безбедносните програми ги третираат ONNX фајловите како доверливи. Зошто да не? Малвер обично доаѓа во EXE, PDF и други формати, но досега во дивина не е прикажано дека некој закана има намера или може да ги оружи невронските мрежи за злонамерни цели. Сепак тоа е сосема возможно, преку низа методи.

Кодирање малвер во AI модел

Еден лесен метод за труење на невронска мрежа би бил да се вметне злонамерен payload во нејзините метаподатоци. Недостатокот е што таков малвер би седел во чист текст и би бил полесно за безбедносна програма случајно да го забележи.
Потешко, но попретен и потесен е да се вгради малвер парче по парче меѓу именуваните компоненти на моделот — јазли (nodes), влезови (inputs) и излези (outputs). Или напаѓачот може да користи напредна стеганографија за да сокрие payload внатре во самите тежини (weights) што ја сочинуваат невронската мрежа.

Сите три методи работат, доколку се обезбеди loader близу кој може да повика релевантни Windows API-та за да го распакува, реконструира во меморија и да го изврши. И двата начина се исклучително скриени. Обидот да се реконструира фрагментиран payload од невронски модел би бил како да се обидувате да реконструирате игла од делчиња расфрлани низ слама.

Да речеме дека напаѓач успеал да внесе малвер во ONNX фајл. Тогаш има низа опции за тоа како би го пренел до жртвата. Фишинг-пошта би била доволна, носејќи ONNX фајл и loader. Или напаѓачот би можел да искористи широко распространетото доверие што корисниците го имаат во AI софтверите, објавувајќи злонамерен модел на платформа со отворен код (OSS) како Hugging Face.

Но постои клучна разлика помеѓу PDF и ONNX во фишинг-пошта, или меѓу софтверско преземање од Hugging Face во споредба со GitHub.

Алатки за избегнување на детекција

„Кога ќе преземете GitHub репо, тоа секогаш ќе биде, на пример, Python скрипта или .NET код или нешто слично. И EDR моторите се доволно добри да ги скенираат тие типови датотеки,“ забележува hxr1.

Во споредба, кога безбедносна програма ќе види процес што вчитува ONNX фајл, тоа ќе го оцени како безбедно AI inference. Особено затоа што е тешко да се најде payload во таков сложен бинарен фајл.

Уште повеќе затоа што ONNX фајлот се подразбира дека само содржи податоци, па „овие модели не мора да бидат потпишани бинарни фајлови. Можете да преземете било кој модел, можете да користите нативни библиотеки за да ги екстрахирате, и нема валидации или проверки на потписите што се случуваат таму,“ укажува hxr1. Тие ќе минат директно покрај анализаторите фокусирани на однесување на извршливи датотеки.

Уште еден фактор е како фајлот се вчитува и извршува, додава hxr1. „Можете да сокриете payload во било кој формат на фајл. На пример, можете да го ставите во аудио фајл. Но како ќе го извлечете? Кој API ќе го употребите? Дали EDR-ите се доволно добри да ги мониторираат сомнителните API повици додека тие го влечат, читаат фајлот и извлекуваат податоци од него?“ Затоа неговиот PoC толку добро функционираше — динамичките библиотеки (DLL) кои работат со ONNX фајлови се потпишани од Microsoft и вградени во Windows. Значи, кога злонамерен ONNX ќе се вчита на таргетиран систем, сè што безбедносната програма ќе види е доверливи Windows DLL-ови кои читаат податоци од модел за да извршат AI задача.

Од перспектива на hxr1, нема проблем со тоа како Windows AI работи. Наместо тоа, заедницата за сајбербезбедност треба да се прилагоди. Безбедносните алатки треба да се преуредат за да бараат закани сокриени во AI фајлови.

„EDR-ите треба да мониторираат кој ги вчитува тие фајлови, што е извлечено, каде се пренесуваат извлечените податоци, и тие патеки треба да се следат,“ предлага тој. „Покрај тоа имаме статички анализатори, како YARA правила, кои можеме да ги користиме за да скенираме за сомнителни низа во податоците. Исто така, можеме да користиме контролa на апликации како AppLocker. Сите тие мерки можеме да ги вклучиме како дел од стратегијата за ублажување и детекција.“ Ако ништо друго, вели тој, „главната цел овде е да се докаже дека моделите не се доверливи. Не им верувајте слепо на моделите што ги наоѓате на Интернет.“

Извори:

  • Darkreading – „LotL Attack Hides Malware in Windows Native AI Stack“ Darkreading