Siber güvenlik dünyasında yeni bir trend: Saldırganlar, yapay zeka modellerini kullanarak kendi özel kötü amaçlı yazılımlarını oluşturuyor. Huntress güvenlik araştırmacıları, 3 Haziran 2026'da bir olay müdahalesi sırasında, ele geçirilmiş bir Windows sunucusunda bulunan PowerShell betiğinin yapay zeka tarafından üretildiğini tespit etti. Jevon Ang liderliğindeki ekip, betiğin herhangi bir kamu havuzundan indirilmediğini, aksine bir AI modeline yöneltilen komutlar sonucu oluşturulduğunu belirledi. Bu durum, siber suçluların artık mevcut araçları kullanmak yerine, ihtiyaçlarına göre özel yazılımlar geliştirebildiğini gösteriyor.
Betik, PowerShell script blok günlüğü (Event ID 4104) sayesinde tamamen yeniden oluşturuldu. Huntress'in raporuna göre, dosya adı "Untitled1.ps1" olarak kaydedilmişti; bu, bir AI sohbet penceresinden kopyalanan kodun yeniden adlandırılmadan kaydedilmesinin tipik bir göstergesi. Betiğin iç başlığı ise "100% Working AD Information Gathering Script – FULLY FIXED" (Tam Çalışan AD Bilgi Toplama Betiği – TAM DÜZELTİLDİ) şeklindeydi. Bu ifade, bir insanın kendi aracına vereceği bir isimden ziyade, AI ile yapılan deneme yanılma sürecinin bir yan ürünü. Saldırgan, betiği defalarca denemiş, hataları AI'a geri bildirmiş ve sonunda çalışan versiyonu kopyalamış.
Saldırının kendisi teknik olarak yeni değildi. Tehdit aktörü, daha önce ele geçirilmiş kimlik bilgileriyle RDP erişimi sağladı, araçlarını C:\ProgramData dizinine yerleştirdi ve oturumu başlattıktan dakikalar sonra özel keşif betiğini çalıştırdı. Ardından, yaklaşık 30 dakika sonra, veri hırsızlığı için s5cmd.exe adlı meşru bir Amazon S3 komut satırı aracını kullandı. İkinci bir geçişte SharpShares.exe ile ek veri depoları tarandı. Huntress, bu saldırı zincirinin yıllardır görülen klasik "smash-and-grab" taktiğine benzediğini, ancak AI'nın süreci hızlandırdığını vurguluyor.
Gelecekte Ne Bekleniyor?
Betiğin analizi, AI'nın aşırı mühendislik yapma eğilimini ortaya koyuyor. Örneğin, domain denetleyicisini bulmak için beş farklı yöntem sıralanmış: DNS sorgusu, nltest, Active Directory PowerShell modülü, ortam değişkenleri ve son olarak sabit kodlanmış bir yedek değer. Bir insan genellikle en güvenilir bir veya iki yöntemi seçerken, AI, "DC'yi bulamama hatası verme" talimatıyla eğitim verisindeki tüm yöntemleri sıralıyor. En dikkat çekici detay ise sabit kodlanmış yedek değer: $dc = "Server1.HR.local". Bu, AI'nın örnek olarak eklediği bir yer tutucuydu ve saldırı betiğinde hiç değiştirilmeden kullanılmıştı.
Domain denetleyicisini bulduktan sonra betik, Active Directory'deki kullanıcılar, bilgisayarlar, gruplar, organizasyon birimleri, alt ağlar, domain güven ilişkileri, DNS alt ağ kayıtları ve e-posta adresine sahip kullanıcılar gibi bilgileri yapılandırılmış bir şekilde dökümledi. Tüm veriler, zaman damgalı bir dizin altında CSV dosyaları olarak kaydedildi. Ardından, beklenmedik bir şekilde, toplanan verilerin özetini içeren biçimlendirilmiş bir HTML raporu oluşturuldu. Huntress, bu raporun saldırganın talebi olmaksızın AI tarafından eklenmiş olabileceğini belirtiyor. Raporun ardından tüm dosyalar tek bir ZIP arşivine sıkıştırıldı.
Bu olay, savunmacılar için önemli bir zorluk oluşturuyor. Untitled1.ps1 daha önce hiç var olmamıştı ve aynı formda bir daha asla görünmeyecek. Geleneksel uç nokta tespit ve antivirüs araçları, dosya karmalarına ve statik imzalara dayanır. SharpHound gibi bilinen bir araç, ikili dosya tanındığı için hemen yakalanır. Ancak AI tarafından belirli bir olay için oluşturulan bir betiğin eşleşecek bir karması yoktur. Huntress, "vibe coding" (hissi kodlama) olarak adlandırılan bu yaklaşımın siber suçlara giriş engelini düşürdüğünü, deneyimsiz aktörlerin bile anında kaçamak araçlar oluşturmasına olanak tanıdığını vurguluyor.
Çözüm, AI tarafından üretilen kodu tespit etmeye çalışmak değil, çünkü ikili düzeyde insan yazımından güvenilir bir şekilde ayırt edilemiyor. Bunun yerine savunmacılar, katı imza tabanlı düşünceden vazgeçmeli ve davranışsal analitiğe yönelmelidir. AI'nın gizleyemeyeceği temel eylemleri (örneğin, AD sorguları, toplu dosya kopyalama) izlemek, bu tür saldırıları tespit etmenin anahtarıdır. Huntress raporu, "AI oyunu değiştirmiyor; mevcut taktikleri hızlandırıyor" diyerek, savunmacıların da aynı hızla adapte olması gerektiğinin altını çiziyor.
Önemli Gelişmeler
Sonuç olarak, bu vaka, yapay zekanın siber saldırılarda nasıl kullanılabileceğine dair önemli bir örnek teşkil ediyor. Saldırganlar, AI sayesinde sadece mevcut araçları kullanmakla kalmıyor, aynı zamanda ihtiyaçlarına tam uygun, özel ve tespit edilmesi zor araçlar geliştirebiliyor. Güvenlik ekiplerinin, bu yeni tehditlere karşı hazırlıklı olması ve geleneksel yöntemlerin ötesine geçen, davranış odaklı savunma stratejileri benimsemesi hayati önem taşıyor.
Kaynak: securityaffairs.com