PyTorch, piyasadaki en popüler ve yaygın olarak kullanılan makine öğrenimi araç setlerinden biridir.
(Yapay zeka lider tablosunda nerede durduğuna dair bir çizim yapmayacağız - rekabetçi bir alanda yaygın olarak kullanılan birçok açık kaynak araçta olduğu gibi, cevap kime sorduğunuza ve hangi araç setini kullandıklarına bağlı gibi görünüyor. kendileri.)
Başlangıçta Facebook tarafından açık kaynaklı bir proje olarak geliştirilen ve yayınlanan, şimdi Meta olan yazılım, 2022'nin sonlarında Linux Foundation'a devredildi ve şimdi onu PyTorch Foundation himayesi altında yürütüyor.
Ne yazık ki, proje bir tedarik zinciri saldırısı yoluyla ele geçirildi 2022'nin sonundaki tatil sezonunda, Noel Günü [2022-12-25] ile Yılbaşı Arifesinden önceki gün [2022-12-30].
Saldırganlar kötü niyetli olarak adlı bir Python paketi oluşturdular. torchtriton popüler Python Paket Dizini deposu olan PyPI'da.
Adı torchtriton PyTorch sistemindeki bir paketin adıyla eşleşecek ve tehlikeli bir duruma yol açacak şekilde seçildi PyTorch ekibi tarafından açıklandı (vurgumuz) aşağıdaki gibidir:
[A] kötü amaçlı bağımlılık paketi (
torchtriton) […] Python Paket Dizini (PyPI) kod deposuna, PyTorch gecelik paket dizininde gönderdiğimiz paket adıyla aynı adla yüklendi. PyPI indeksi öncelikli olduğundan, resmi depomuzdaki sürüm yerine bu kötü amaçlı paket kuruluyordu. Bu tasarım, birisinin bir üçüncü taraf dizininde bulunanla aynı ada sahip bir paketi kaydetmesini sağlar vepipsürümlerini varsayılan olarak yükleyecektir.
Program pip, bu arada, eskiden şu şekilde biliniyordu: pyinstallve görünüşe göre kısaltması olan özyinelemeli bir şaka pip installs packages. Orijinal ismine rağmen, Python'un kendisini yüklemek için değildir - Python kullanıcılarının yazılım kitaplıklarını ve PyTorch ve diğer birçok popüler araç gibi Python'da yazılmış uygulamaları yönetmesinin standart yoludur.
Tedarik zinciri hilesi tarafından kandırıldı
Tehlike döneminde PyTorch'un pwned sürümünü kuracak kadar talihsiz olan herkes, neredeyse kesinlikle bilgisayarlarına veri çalan kötü amaçlı yazılım yerleştirmiştir.
PyTorch'a göre kısa ama kullanışlı kötü amaçlı yazılım analizi, saldırganlar virüslü sistemlerden aşağıdaki önemli verilerin bir kısmını, çoğunu veya tamamını çaldı:
- Ana bilgisayar adı, kullanıcı adı, sistemdeki bilinen kullanıcılar ve tüm sistem ortamı değişkenlerinin içeriği dahil olmak üzere sistem bilgileri. Ortam değişkenleri, genellikle bulut tabanlı hizmetlere erişim sağlayan kriptografik anahtarlar ve kimlik doğrulama belirteçleri gibi diske kaydedilmemesi gereken veriler de dahil olmak üzere, programların başlatıldıklarında erişebilecekleri yalnızca bellek girdi verilerini sağlamanın bir yoludur. Bilinen kullanıcıların listesi şu adresten çıkarılır:
/etc/passwd, neyse ki aslında herhangi bir şifre veya şifre karması içermez. - Yerel Git yapılandırmanız. Bu çalıntı
$HOME/.gitconfigve genellikle popüler Git kaynak kodu yönetim sistemini kullanan herkesin kişisel kurulumu hakkında faydalı bilgiler içerir. - SSH anahtarlarınız. Bunlar dizinden çalıntı
$HOME/.ssh. SSH anahtarları tipik olarak kendi ağlarınızdaki veya buluttaki diğer sunuculara SSH (güvenli kabuk) veya SCP (güvenli kopya) kullanarak güvenli bir şekilde bağlanmak için kullanılan özel anahtarları içerir. Pek çok geliştirici, özel anahtarlarının en azından bir kısmını şifrelenmemiş halde tutar, böylece kullandıkları komut dosyaları ve yazılım araçları, her seferinde bir parola veya donanım güvenlik anahtarı istemek için duraklamadan uzaktaki sistemlere otomatik olarak bağlanabilir. - Ana dizininizdeki diğer ilk 1000 dosyanın boyutu 100 kilobayttan küçüktür. PyTorch kötü amaçlı yazılım açıklaması, "ilk 1000 dosya listesinin" nasıl hesaplandığını söylemez. Dosya listelerinin içeriği ve sıralaması, listenin alfabetik olarak sıralanıp sıralanmadığına bağlıdır; herhangi bir dizindeki dosyaların işlenmesinden önce, sırasında veya sonrasında alt dizinlerin ziyaret edilip edilmediği; gizli dosyaların dahil olup olmadığı; ve dizinler arasında dolaşan kodda rastgelelik kullanılıp kullanılmadığı. Muhtemelen, boyut eşiğinin altındaki dosyaların çalınabilecek dosyalar olabileceğini varsaymalısınız.
Bu noktada bir müjdeden bahsedelim: yalnızca yazılımın sözde "gecelik" veya deneysel sürümünü getirenler risk altındaydı. ("Gecelik" adı, genellikle her iş gününün sonunda otomatik olarak oluşturulan en son yapı olduğu gerçeğinden gelir.)
Çoğu PyTorch kullanıcısı muhtemelen sadık kalacaktır. bu saldırıdan etkilenmeyen sözde "kararlı" sürüm.
Ayrıca, PyTorch'un raporundan öyle görünüyor ki Triton kötü amaçlı yürütülebilir dosyası, özellikle 64 bit Linux ortamlarını hedef aldı.
Bu nedenle, bu kötü amaçlı programın yalnızca Linux için Windows Alt Sistemi (WSL) kuruluysa Windows bilgisayarlarda çalışacağını varsayıyoruz.
Unutmayın, düzenli "gece hayatı" kurma olasılığı en yüksek olan kişiler, PyTorch'un kendisinin veya onu kullanan uygulamaların geliştiricilerini içerir - belki de kurumsal yapıya özel anahtar tabanlı erişime sahip olabilecek kendi şirket içi geliştiricileriniz de dahil. , test ve üretim sunucuları.
DNS veri çalma
Şaşırtıcı bir şekilde, Triton kötü amaçlı yazılımı verilerini dışarı sızdırmıyor (siber güvenlik endüstrisinin yerine kullanmayı sevdiği askeri jargon terimi). çalmak or yasa dışı kopyalamak) HTTP, HTTPS, SSH veya başka herhangi bir üst düzey protokol kullanarak.
Bunun yerine, çalmak istediği verileri, suçlular tarafından kontrol edilen bir alan adına ait "sunucu adları" gibi görünen bir dizi halinde şifreler ve kodlar.
Bu, dolandırıcıların bir dizi DNS araması yaparak her sahte istekte küçük miktarda veriyi gizlice sızdırabileceği anlamına gelir.
Bu, tarafından kullanılanla aynı türden bir numaradır. Log4Shell bilgisayar korsanları 2021'in sonunda, bellek içi bir ortam değişkeninden yağmalanan gizli AWS erişim anahtarınızın değeri olan "adlara" sahip "sunucular" için DNS aramaları yaparak şifreleme anahtarlarını sızdıran.
Öyleyse, masum gibi görünen, anlamsızsa, gibi bir "sunucu" için DNS araması S3CR3TPA55W0RD.DODGY.EXAMPLE için listelenen resmi DNS sunucusuna yönlendiren basit bir arama kisvesi altında erişim anahtarınızı sessizce sızdırırdı. DODGY.EXAMPLE etki.
DNS ÜZERİNDEN VERİ SÖKÜLMESİNİ AÇIKLAYAN CANLI LOG4SHELL DEMOSU
Buradaki metni net bir şekilde okuyamıyorsanız, Tam Ekran modunu kullanmayı deneyin veya direk izle YouTube'da.
Oynatmayı hızlandırmak veya altyazıları açmak için video oynatıcıdaki dişliye tıklayın.
Dolandırıcılar etki alanına sahipse DODGY.EXAMPLE, bu aramaları yaparken dünyaya hangi DNS sunucusuna bağlanacaklarını söylerler.
Daha da önemlisi, HTTP, SSH ve diğer üst düzey veri paylaşım protokollerini kullanarak TCP tabanlı ağ bağlantılarını sıkı bir şekilde filtreleyen ağlar bile…
…bazen DNS aramaları için kullanılan UDP tabanlı ağ bağlantılarını hiç filtrelemeyin.
Dolandırıcılar için tek dezavantajı, DNS isteklerinin oldukça sınırlı bir boyuta sahip olmasıdır.
Bireysel sunucu adları 64 karakterlik bir diziden 37 karakterle sınırlıdır (AZ, 0-9 ve kısa çizgi veya kısa çizgi simgesi) ve birçok ağ, tüm kapalı istekler, başlıklar ve meta veriler dahil olmak üzere bireysel DNS paketlerini her biri yalnızca 512 baytla sınırlandırır.
Bu durumda kötü amaçlı yazılımın özel anahtarlarınızın peşine düşerek başlamasının ve ardından kendisini her biri 1000 bayttan küçük olan en fazla 100,000 dosyayla sınırlandırmasının nedeninin bu olduğunu tahmin ediyoruz.
Bu şekilde, dolandırıcılar, yönetilemeyecek kadar çok sayıda DNS araması oluşturmadan, özellikle sunucu erişim anahtarları dahil olmak üzere çok sayıda özel veriyi çalabilir.
Alışılmışın dışında çok sayıda DNS araması, özellikle siber güvenlik amacıyla uygulanan herhangi bir inceleme olmasa bile, rutin operasyonel nedenlerden dolayı fark edilebilir.
Ne yapalım?
PyTorch, bu saldırıyı durdurmak için zaten harekete geçti, bu nedenle henüz vurulmadıysanız, şimdi neredeyse kesinlikle vurulmayacaksınız çünkü kötü niyetli torchtriton PyPI'daki paket kasıtlı olarak "boş", aynı adı taşıyan boş bir paketle değiştirildi.
Bu, yüklemeye çalışan herhangi bir kişinin veya herhangi bir yazılımın torchtriton 2022-12-30T08:38:06Z tarihinden sonra PyPI'dan, ister kazara ister tasarım gereği, kötü amaçlı yazılım alınmayacaktır.
PyTorch kullanışlı bir IoC listesi yayınladı veya uzlaşma göstergeleri, ağınızda arayabileceğiniz.
Unutmayın, yukarıda da belirttiğimiz gibi, kullanıcılarınızın neredeyse tamamı bu saldırıdan etkilenmeyen “stabil” sürüme bağlı kalsa bile, stabil kullansalar bile “gecelik” deneyen geliştiricileriniz veya meraklılarınız olabilir. da serbest bırakın.
PyTorch'a göre:
- Kötü amaçlı yazılım, dosya adıyla yüklenir
triton. Varsayılan olarak, onu alt dizinde bulmayı beklersiniz.triton/runtimePython site paketleri dizininizde. Bununla birlikte, dosya adlarının tek başına zayıf kötü amaçlı yazılım göstergeleri olduğu göz önüne alındığında, bu dosyanın varlığını tehlike kanıtı olarak değerlendirin; yokluğunu tamamen açık olarak görmeyin. - Bu özel saldırıdaki kötü amaçlı yazılım, SHA256 toplamına sahip
2385b29489cd9e35f92c072780f903ae2e517ed422eae67246ae50a5cc738a0e. Bir kez daha, kötü amaçlı yazılım farklı bir sağlama toplamı oluşturmak için kolayca yeniden derlenebilir, bu nedenle bu dosyanın olmaması kesin bir sağlık belirtisi değildir, ancak varlığını bir enfeksiyon belirtisi olarak değerlendirebilirsiniz. - Alan adıyla biten verileri çalmak için kullanılan DNS aramaları
H4CK.CFD. DNS aramalarını ada göre kaydeden ağ günlükleriniz varsa, gizli verilerin dışarı sızdığına dair kanıt olarak bu metin dizisini arayabilirsiniz. - Görünüşe göre kötü amaçlı DNS yanıtları şu adrese gitti ve yanıtlar, varsa, adlı bir DNS sunucusundan geldi.
WHEEZY.IO. Şu anda, bu hizmetle ilişkili herhangi bir IP numarası bulamıyoruz ve PyTorch, DNS taffic'ini bu kötü amaçlı yazılıma bağlayacak herhangi bir IP verisi sağlamadı, bu nedenle bu bilgilerin tehdit avı için ne kadar kullanılacağından emin değiliz. şu anda [2023-01-01T21:05:00Z].
Neyse ki, PyTorch kullanıcılarının çoğunluğunun, gecelik derlemeleri kullanmadıkları veya tatil döneminde çalışmadıkları için veya her ikisi nedeniyle bundan etkilenmeyeceğini tahmin ediyoruz.
Ancak, gece yapılarıyla uğraşan bir PyTorch meraklısıysanız ve tatillerde çalışıyorsanız, güvenliğinizin ihlal edildiğine dair net bir kanıt bulamasanız bile…
…yine de önlem olarak yeni SSH anahtar çiftleri oluşturmayı ve SSH yoluyla eriştiğiniz çeşitli sunuculara yüklediğiniz genel anahtarları güncellemeyi düşünebilirsiniz.
Güvenliğinizin ihlal edildiğinden şüpheleniyorsanız, elbette, o zaman bu SSH anahtar güncellemelerini ertelemeyin – henüz yapmadıysanız, hemen şimdi yapın!
- AI
- yapay zeka
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- veri çalmak
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- Kaspersky
- linux
- makine öğrenme
- kötü amaçlı yazılım
- Mcafee
- ML
- Çıplak Güvenlik
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- pytorch
- Triton
- VPN
- web sitesi güvenliği
- zefirnet
![S3 Ep107: Dolandırıcıları kovmak için sekiz ay var ve bunun İYİ olduğunu mu düşünüyorsunuz? [Ses + Metin] PlatoBlockchain Veri Zekası. Dikey Arama. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/bn-1200-300x157.png "S3 Ep107: Dolandırıcıları kovmak için sekiz ay ve bunun İYİ olduğunu mu düşünüyorsunuz? [Ses + Metin]")
![S3 Ep118: Parolanızı tahmin edin? Zaten çalındıysa gerek yok! [Ses + Metin]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png "S3 Ep118: Parolanızı tahmin edin? Zaten çalındıysa gerek yok! [Ses + Metin]")