Выявление

Оригинал: Discovery

Злоумышленник пытается разобраться в ИИ-среде организации-жертвы.

Выявление включает техники, которые злоумышленник может использовать для получения сведений о системе и внутренней сети. Эти техники помогают злоумышленникам наблюдать за средой и ориентироваться в ней, прежде чем решить, как действовать дальше. Они также позволяют злоумышленникам исследовать, что они могут контролировать и что находится вокруг их точки входа, чтобы понять, как это может помочь достижению текущей цели. Для такого сбора информации после компрометации часто используются встроенные средства операционной системы.

Техники

AML.T0007Выявление ИИ-артефактов AML.T0013Выявление онтологии ИИ-модели AML.T0014Выявление семейства ИИ-модели AML.T0062Выявление галлюцинированных сущностей LLM AML.T0063Выявление выходных данных ИИ-модели AML.T0069Выявление системной информации LLM AML.T0069.000Наборы специальных символовПодтехника AML.T0069.000Наборы специальных символовПодтехника AML.T0069.001Ключевые слова системных инструкцийПодтехника AML.T0069.001Ключевые слова системных инструкцийПодтехника AML.T0069.002Системный промптПодтехника AML.T0069.002Системный промптПодтехника AML.T0075Выявление облачных сервисов AML.T0084Выявление конфигурации ИИ-агента AML.T0084.000Встроенные знанияПодтехника AML.T0084.000Встроенные знанияПодтехника AML.T0084.001Определения инструментовПодтехника AML.T0084.001Определения инструментовПодтехника AML.T0084.002Триггеры активацииПодтехника AML.T0084.002Триггеры активацииПодтехника AML.T0084.003Цепочки вызововПодтехника AML.T0084.003Цепочки вызововПодтехника AML.T0089Выявление процессов

Примеры процедур из кейсов

AML.CS0003Обход ИИ-детектора вредоносного ПО CylanceАктор: Skylight Cyber / Тактика: AML.TA0008 Выявление

Исследователи включили подробное логирование, раскрывающее внутреннюю логику работы ML-модели, особенно в части репутационного скоринга и ансамблирования моделей.

AML.CS0008Обход ProofPointАктор: Researchers at Silent Break Security / Тактика: AML.TA0008 Выявление

Исследователи обнаружили, что ProofPoint Email Protection оставляла выходные оценки модели в заголовках писем.

AML.CS0012Обход системы идентификации лиц с помощью физических контрмерАктор: MITRE AI Red Team / Тактика: AML.TA0008 Выявление

Команда определила список идентичностей, на которые была нацелена модель, отправляя запросы к API инференса целевой модели.

AML.CS0022Галлюцинация пакетов ChatGPTАктор: Vulcan Cyber, Lasso Security / Тактика: AML.TA0008 Выявление

Исследователи просили ChatGPT предложить программные пакеты и выявляли среди рекомендаций галлюцинации — пакеты, которых нет в публичном репозитории. Например, на вопрос "how to upload a model to huggingface?" модель предложила установить пакет `huggingface-cli` командой `pip install huggingface-cli`. Такого пакета в PyPI не существовало; реальный CLI-инструмент Hugging Face входит в пакет `huggingface_hub`.

AML.CS0026Перехват финансовой транзакции с использованием M365 Copilot в роли инсайдераАктор: Zenity / Тактика: AML.TA0008 Выявление

Исследуя ответы Copilot, исследователи выявили специальные разделители и маркеры, например `**`, `**END**`, `Actual Snippet:` и `[^1^]`. Эти строки используются как служебные признаки для отделения разных частей промпта Copilot друг от друга.

AML.CS0026Перехват финансовой транзакции с использованием M365 Copilot в роли инсайдераАктор: Zenity / Тактика: AML.TA0008 Выявление

Исследуя ответы Copilot, исследователи выявили плагины и конкретные функции, к которым Copilot имеет доступ. Среди них были функция `search_enterprise` и объект `EmailMessage`.

AML.CS0027Путаница с организациями на Hugging FaceАктор: threlfall_hax / Тактика: AML.TA0008 Выявление

Исследователь мог искать ИИ-модели в среде организации-жертвы.

AML.CS0028Подмена ИИ-модели через атаку на цепочку поставокАктор: Trend Micro Nebula Cloud Research Team / Тактика: AML.TA0008 Выявление

Исследователи обнаружили 1 453 уникальные ИИ-модели, встроенные в приватные контейнерные образы. Около половины из них были в формате Open Neural Network Exchange (ONNX).

AML.CS0030LLM-джекингАктор: Unknown / Тактика: AML.TA0008 Выявление

Злоумышленники использовали keychecker, чтобы выяснить, какие LLM-сервисы включены в облачной среде и есть ли для этих сервисов квоты ресурсов. Затем злоумышленники проверили, дают ли украденные учетные данные доступ к LLM-ресурсам. Они использовали легитимные запросы `invokeModel` с недопустимым значением -1 для параметра `max_tokens_to_sample`: если учетные данные не давали нужного доступа для вызова модели, такой запрос вызывал ошибку `AccessDenied`. Проверка показала, что украденные учетные данные действительно предоставляли доступ к LLM-ресурсам. Злоумышленники также использовали `GetModelInvocationLoggingConfiguration`, чтобы понять, как настроена модель. Это позволяло им определить, включено ли логирование промптов, и избегать обнаружения при выполнении промптов.

AML.CS0036AIKatz: атака на десктопные LLM-приложенияАктор: Lumia Security / Тактика: AML.TA0008 Выявление

Злоумышленник получил список всех процессов, запущенных на машине жертвы, и выявил среди них процессы десктопных LLM-приложений.

AML.CS0037Эксфильтрация данных через инструменты ИИ-агента в Copilot StudioАктор: Zenity / Тактика: AML.TA0008 Выявление

Исследователи обнаруживают, что ИИ-агент имеет доступ к источнику данных «Customer Support Account Owners.csv».

AML.CS0037Эксфильтрация данных через инструменты ИИ-агента в Copilot StudioАктор: Zenity / Тактика: AML.TA0008 Выявление

Исследователи делают вывод, что у ИИ-агента есть инструмент для отправки писем.

Показано 12 из 19 примеров.