資安研究人員 hxr1 發現,攻擊者可透過 Windows 原生 AI 堆疊,將惡意程式隱藏在受信任的 AI 資料檔中,藉此繞過現有的資安防護工具。這項概念驗證(PoC)攻擊利用 Open Neural Network Exchange(ONNX)檔案,執行 Living-off-the-Land(LotL,寄生攻擊)手法。
傳統LotL攻擊手法面臨瓶頸,Windows AI功能成為攻擊新途徑
hxr1 表示,過去常見的 LotL 二進位檔案已存在多年,大多數端點偵測與回應系統(EDR)和防毒軟體都能有效偵測這類攻擊。因此,攻擊者持續尋找新的 LotL 工具來繞過現有防禦機制,將惡意程式植入目標系統。而 ONNX 模型正是新發現的攻擊載體。
自 2018 年起,Windows 作業系統逐步加入本地 AI 推論功能,讓應用程式無需連接雲端服務即可執行 AI 運算。Windows Hello、相片和 Office 應用程式都運用內建 AI 執行臉部辨識、物件偵測和生產力功能。這些功能透過呼叫 Windows Machine Learning(ML) API 載入 ONNX 格式的 ML 模型。
目前 Windows 和資安程式預設信任 ONNX 檔案。過去惡意軟體主要藏身於 EXE、PDF 等格式,但至今尚未有攻擊者在實際環境中利用神經網路發動攻擊。
惡意程式植入的三種手法
最簡單的方式是
將惡意程式置於神經網路的中繼資料中,但這種方法會以明文形式存在,較容易被資安程式偵測。
更隱蔽的作法是
將惡意程式分散嵌入模型的各個元件中,例如節點、輸入和輸出。攻擊者也可
運用進階隱寫術,將惡意程式隱藏在構成神經網路的權重數值中。這些方法都需搭配載入器,透過呼叫 Windows API 來解壓縮、重組並執行惡意程式。從神經網路中重建分散的惡意程式,就像在乾草堆中尋找被拆散的針一樣困難。
攻擊者可
透過網路釣魚郵件夾帶 ONNX 檔案和載入器,或利用使用者對 AI 軟體的普遍信任,在 Hugging Face 等開源平台上發布惡意模型。
ONNX 檔案逃避偵測的四大優勢
研究員指出,當使用者從 GitHub 下載程式碼時,通常是 Python 腳本或 .NET 程式碼,EDR 引擎能有效掃描這類檔案。相較之下,當資安程式看到載入 ONNX 檔案的程序時,會將其視為良性的 AI 推論。由於 ONNX 是複雜的二進位檔案,要在其中找到惡意程式相當困難。
其次,ONNX 檔案被視為資料檔,不需經過數位簽章驗證。使用者可下載任何模型並使用原生函式庫解壓縮,過程中不會進行驗證或簽章檢查,因此能輕易繞過專注於可執行檔行為的分析工具。
第三,檔案載入和執行的方式使偵測更加困難。操作 ONNX 檔案的動態連結函式庫(DLL)由微軟簽署並內建於 Windows 系統中。當惡意 ONNX 在目標系統上載入時,資安程式只會看到受信任的 Windows DLL 正在讀取模型資料以執行 AI 任務。
建議防護措施
專家認為,Windows AI 運作本身並無問題,關鍵在於資安社群需要調整因應策略。資安工具必須重新設計,以偵測隱藏在 AI 檔案中的威脅。
專家建議採取以下防護措施:
- EDR 應監控檔案載入者、提取內容及資料傳輸路徑
- 運用 YARA 規則等靜態分析工具,監控資料中的可疑字串
- 採用 AppLocker 等應用程式控制機制
本文轉載自 DarkReading。