Siber güvenlik firması Huntress, 8 Temmuz'da yayınladığı bir raporda, bir tehdit aktörünün gerçek bir ağ saldırısında yapay zeka (AI) tarafından oluşturulan kötü amaçlı yazılım kullandığını ortaya çıkardı. 3 Haziran'da meydana gelen olayda, saldırgan bir AI asistanının 'vibe-coding' (doğal dil ile kodlama) yöntemiyle oluşturduğu PowerShell betiğini kullanarak Active Directory (AD) ortamını haritaladı. Huntress, bu olayı 'suçluların AI'yı nasıl silah haline getirdiğine dair bir vaka çalışması' olarak nitelendirdi.
Vibe-coding, yazılımı manuel olarak yazmak yerine AI'ya doğal dilde komut vererek oluşturma yöntemidir. Bu teknik, vasat saldırganların bile hızlıca özel ve tek seferlik araçlar üretmesine olanak tanıyor. Huntress tarafından gözlemlenen betik, '100% Working AD Information Gathering Script - FULLY FIXED' başlığını taşıyordu. Bu başlık, saldırganın bir büyük dil modeli (LLM) ile defalarca iletişime geçtiğini ve hataları düzelterek betiği çalışır hale getirdiğini gösteriyor.
Betiğin AI tarafından oluşturulduğunu gösteren diğer işaretler arasında, AI'nın örnek olarak verdiği bir sunucu adının düzenlenmeden bırakılması, aşırı mühendislik ürünü olması (domain denetleyicisini bulmak için beş farklı yöntem kullanması) ve renkli konsol çıktılarına düşkünlük yer alıyordu. Betik, domain denetleyicisini bulduktan sonra Active Directory'deki kullanıcılar, bilgisayarlar, gruplar ve güven ilişkilerini toplayarak elektronik tablolara aktardı. Ardından, çalınan verileri özetleyen düzenli bir HTML raporu oluşturdu. Araştırmacılar, bu raporlama özelliğinin LLM tarafından bağımsız olarak eklendiğini düşünüyor.
Huntress, bu tür saldırıların yenilikçi olmasına rağmen 'AI'nın oyunu değiştirmediğini' vurguladı. Saldırı, bilinen bir 'çal-kaç' yöntemini izledi: Saldırgan, çalıntı kimlik bilgileriyle RDP üzerinden giriş yaptı, araçları ortak bir Windows klasörüne yerleştirdi ve ağı keşfetmek için vibe-coded betiği çalıştırdı. Veri sızıntısı için ise s5cmd ve SharpShares gibi meşru bulut araçları kullanıldı.
Nasıl Önlem Alınmalı?
Savunma açısından asıl zorluk, tespit aşamasında ortaya çıkıyor. Huntress, bu betiğin benzersiz olduğunu, daha önce görülmediğini ve aynı formda tekrar ortaya çıkma ihtimalinin düşük olduğunu belirtiyor. Bu nedenle, antivirüs yazılımlarının kullandığı dosya hash'leri ve imzalar bu tür saldırılara karşı etkisiz kalıyor. 'Vibe-coding, siber suçlara giriş engelini düşürerek deneyimsiz aktörlerin anında yetenekli ve kaçamak araçlar üretmesine olanak tanıyor,' diyor Huntress.
Önemli Gelişmeler
Şirket, 'Kod karmaşık, aşırı mühendislik ürünü ve AI izleriyle dolu olsa da, oluşturduğu tehdit çok gerçek. Bununla mücadele etmek için savunmacıların katı imza tabanlı düşünceden vazgeçip davranışsal analitiği benimsemeleri gerekiyor. Hiçbir LLM'nin gizleyemeyeceği temel eylemleri yakalamalıyız,' uyarısında bulundu.
Bu olay, yapay zeka destekli siber saldırıların arttığı bir dönemde, güvenlik ekiplerinin proaktif ve davranış odaklı savunma stratejilerine yönelmesi gerektiğini bir kez daha gösteriyor. AI'nın kötüye kullanımı, siber güvenlik alanında yeni bir dönemin habercisi olabilir.
Kaynak: infosecurity-magazine.com