Сбивание с толку антивирусных нейронных сетей

Оригинал: Confusing Antimalware Neural Networks

Облачные хранилища и вычисления стали популярными платформами для развертывания ML-детекторов вредоносного ПО.

В таких случаях признаки для моделей формируются на системах пользователей, а затем отправляются на серверы компаний, занимающихся кибербезопасностью.

Исследовательская группа Kaspersky ML изучила этот gray-box-сценарий и показала, что знания о признаках достаточно для состязательной атаки на ML-модели.

Исследователи атаковали одну из ML-моделей Kaspersky для защиты от вредоносного ПО без доступа к ней в режиме белого ящика и успешно обошли обнаружение для большинства состязательно модифицированных вредоносных файлов.

Процедура

  1. AML.TA0002 Разведка

    AML.T0001 Поиск открытых материалов по анализу уязвимостей ИИ

    Исследователи провели обзор состязательных атак на ML-компоненты антивирусных продуктов.

    Они обнаружили, что техники, заимствованные из атак на классификаторы изображений, уже успешно применялись в области защиты от вредоносного ПО.

    Однако было неясно, эффективны ли такие подходы против ML-компонента промышленных антивирусных решений.

  2. AML.TA0002 Разведка

    AML.T0003 Поиск на сайтах организации-жертвы

    Использование компанией Kaspersky антивирусных детекторов на основе ML публично описано на сайте компании. На практике злоумышленник мог бы использовать эту информацию для выбора цели.
  3. AML.TA0000 Доступ к ИИ-модели

    AML.T0047 Продукт или сервис с поддержкой ИИ

    На протяжении кейса исследователи использовали доступ к целевому антивирусному продукту на основе ML.

    Продукт сканирует файлы на системе пользователя, локально извлекает признаки, а затем отправляет их в облачный ML-детектор вредоносного ПО для классификации.

    Поэтому у исследователей был только доступ к самому детектору в режиме чёрного ящика, но из экстрактора признаков они могли получить ценную информацию для построения атаки.

  4. AML.TA0003 Подготовка ресурсов

    AML.T0002.000 Наборы данных

    Исследователи собрали набор данных из вредоносных и чистых файлов.

    Они просканировали этот набор целевым антивирусным решением на основе ML и разметили образцы в соответствии с предсказаниями ML-детектора.

  5. AML.TA0001 Подготовка атаки на ИИ

    AML.T0005 Создание прокси-модели ИИ

    На размеченном наборе данных была обучена прокси-модель.

    Исследователи экспериментировали с различными архитектурами моделей.

  6. AML.TA0003 Подготовка ресурсов

    AML.T0017.000 Состязательные атаки на ИИ

    С помощью реверс-инжиниринга локального экстрактора признаков исследователи смогли собрать сведения о входных признаках, используемых облачным ML-детектором.

    Модель собирает признаки PE-заголовка, признаки секций и статистику данных секций, а также информацию о строках файла.

    Был разработан градиентный состязательный алгоритм для исполняемых файлов.

    Алгоритм изменяет признаки файла, чтобы избежать обнаружения прокси-моделью, сохраняя при этом ту же вредоносную полезную нагрузку.

  7. AML.TA0001 Подготовка атаки на ИИ

    AML.T0043.002 Перенос на модель чёрного ящика

    С помощью разработанного градиентного алгоритма из вредоносных файлов были созданы состязательные вредоносные файлы для прокси-модели, предназначенные для переноса на целевую модель в режиме чёрного ящика.
  8. AML.TA0001 Подготовка атаки на ИИ

    AML.T0042 Проверка атаки

    Состязательные вредоносные файлы были протестированы на целевом антивирусном решении, чтобы проверить их эффективность.
  9. AML.TA0007 Уклонение от защиты

    AML.T0015 Обход ИИ-модели

    Исследователи показали, что для большинства состязательных файлов антивирусная модель была успешно обойдена.

    На практике злоумышленник мог бы развернуть специально подготовленное вредоносное ПО и заражать системы, избегая обнаружения.

Источники

  1. Article, "How to confuse antimalware neural networks. Adversarial attacks and protection"