由兩名以色列資安專家在澳洲設立的資安公司Skylight,在上周揭露了他們如何找到BlackBerry Cylance端點防護平台的安全漏洞,而且找到一個非常可靠的方式,允許惡意程式繞過該平台的防禦機制,使得Cylance完全無法辨識今年的前十大惡意程式,若以網路上可找到的385個惡意程式來測試,得以繞過偵測的比例也高達83.59%。

BlackBerry在今年2月買下了基於人工智慧與機器學習技術的資安業者Cylance,Cylance為端點保護領域的佼佼者,也因此成為Skylight的實驗對象,Skylight還說,他們相信挖掘Cylance漏洞的方式能夠應用在其它基於AI的安全產品。

Skylight指出,人工智慧模擬了人類的大腦對物件的判斷,它利用大量的物件及屬性進行訓練,而可於安全系統上判斷檔案的良劣,它有許多好處,例如一個經過良好訓練的模型甚至可辨識一個過去未曾出現的惡意檔案,而且它不太需要更新,也使用很少的系統資源,然而,駭客也可以從人工智慧的模型中,找到它辨識良劣的基礎,再用以愚弄該系統,而這就是Skylight所做的事。

Skylight發現Cylance使用了7,000個特徵值來判斷一個檔案的良劣,當研究人員以修改過後的惡意檔案Mimikatz進行測試時,Cylance給予它的分數是-852,理所當然地被打進封鎖的黑名單。

不過,Skylight以反向工程解析了Cylance的端點保護產品,發現它非常仰賴字串,還偏坦一款特定的網路遊戲,猜測可能是為了避免遊戲的執行檔在該防毒解決方案中造成誤報,於是,研究人員便汲取了該遊戲執行檔的字串列表,再把它們附加在其它的惡意檔案上,就能繞過Cylance的防護機制。

當Skylight把Mimikatz加上字串再送進Cylance時,這次它得到了999的高分,直接被歸類為良性檔案,若是將今年5月全球排名前十大的惡意程式加上字串,也全數都通過了Cylance的偵測,研究人員進一步蒐集了網路上的384個惡意檔案,發現有83.59%繞過Cylance的安全機制,當進一步改善字串之後,繞過Cylance的比例則可提高至88.54%。

研究人員認為,純粹的AI產品也許無法完全實現端點保護,他們相信相關的解決方案應該採用混合手法,以AI+或機器學習來辨識未知的威脅,另使用傳統技術進行驗證,此外,基於AI的端點保護平台開發商也應該適時地維護與更新系統。

另一方面,Cylance也在本周證實了該漏洞的存在,指出該漏洞允許駭客在有限的情況下操縱由演算法所分析的特定型態的特徵,但強調它並非是個通用旁路,而只是一個可在特殊情況下繞過其中一個防毒元件的技術。

Cylance也已修補了該漏洞,包括添增了防竄改控制器以偵測特徵的操作並避免它們影響評分,亦改善了模型以檢測某些特徵的比例是否超重,同時移除模型中最容易被竄改的多個特徵。


Advertisement

更多 iThome相關內容