Saldırganlar Aktif Dizini Yapay Zeka ile Yazılmış PowerShell Betiğiyle Haritaladı Linux

Saldırganlar Aktif Dizini Yapay Zeka ile Yazılmış PowerShell Betiğiyle Haritaladı

Siber güvenlik araştırmacıları, kimliği belirsiz bir tehdit aktörünün Active Directory ortamını haritalamak için yapay zeka destekli bir PowerShell be

Siber güvenlik araştırmacıları, kimliği belirsiz bir tehdit aktörünün Active Directory (AD) ortamını haritalamak için yapay zeka destekli bir PowerShell betiği kullandığını tespit etti. Olay, Haziran 2026 başında meydana geldi. Saldırgan, önceden ele geçirilmiş kimlik bilgileriyle bir Windows sunucusuna Uzak Masaüstü Protokolü (RDP) üzerinden erişti ve C:\ProgramData\ klasörüne araçlar yerleştirdi. Bu araçlar arasında, yapay zeka tarafından üretildiği düşünülen ve AD yapısını haritalayan bir PowerShell betiği bulunuyordu. Huntress araştırmacıları Jevon Ang ve Dray Agha, betiğin Domain Controller'ı (DC) bulup kullanıcıları, bilgisayarları ve alanları haritaladığını, ardından bir dizin oluşturup dosyaları dışa aktardığını ve son olarak AD_Report.html adlı bir rapor oluşturduğunu belirtti.

Huntress, betiği 'yüksek derecede agresif' ve 'gürültülü' olarak nitelendirdi. Betik, Domain Controller'ı bulmak için 'beş aşamalı kademeli yedekleme mekanizması' kullanıyor ve keşif faaliyetlerini yürütüyor. Betiğin başlığı '100% Working AD Information Gathering Script - FULLY FIXED' (Tam Çalışan AD Bilgi Toplama Betiği - TAMAMEN DÜZELTİLDİ) olarak belirlenmiş. Bu başlık, bir büyük dil modeliyle (LLM) yapılan deneme-yanılma sürecine işaret ediyor. Araştırmacılar, betiğin yapay zeka tarafından oluşturulduğuna dair ipuçları arasında yineleme başlıkları, yer tutucu dizeler, aşırı mühendislik ürünü kod ve siyan, yeşil, kırmızı ve sarı renklerle süslenmiş konsol çıktıları olduğunu belirtti.

Domain Controller bulunduktan sonra betik, AD kullanıcılarını, bilgisayarlarını, gruplarını, organizasyon birimlerini (OU) ve güven ilişkilerini sistematik olarak toplamaya başlıyor. Veriler bir sahneleme dizininde saklanıyor. Yaklaşık 30 dakika sonra saldırgan, s5cmd adlı meşru bir toplu dosya işleme aracını ve SharpShares adlı C# tabanlı bir ağ paylaşımı numaralandırma aracını kullanarak kullanıcı tarafından erişilebilir veri depolarını hedef aldı. Son aşamada, veriler CSV dosyalarına dönüştürüldü, arşivlendi ve uzak bir sunucuya sızdırıldı. İlginç bir şekilde, saldırgan bir HTML dosyası oluşturarak çalınan verileri Active Directory Envanter Raporu şeklinde özetledi. Araştırmacılar, bu HTML dosyasının saldırgan tarafından bilinçli olarak eklenmemiş olabileceğini, LLM'nin 'yardımsever' bir müdahalesi olabileceğini belirtti.

Bu gelişme, tehdit aktörlerinin cephaneliklerine yapay zeka destekli kötü amaçlı yazılımlar eklediğinin bir başka işareti. Teknoloji, daha önce görülmemiş şekillerde kötüye kullanılmasa da, siber suçlara giriş engelini düşürüyor. Daha az yetenekli aktörler, minimum çabayla yüksek kabiliyetli ve kaçamak araçlar üretebiliyor. Huntress, 'Saldırı zinciri hâlâ yıllardır gördüğümüz denenmiş ve test edilmiş smash-and-grab oyun kitabına benziyor. Bu temel metodoloji tutarlı kaldı, ancak şimdi yapay zeka tarafından seçici olarak güçlendiriliyor. Bu hibrit yaklaşım, gizlilikten ziyade saldırganlık ve hıza öncelik veriyor ve tehdit aktörlerinin daha önce hiç olmadığı kadar hızlı bir şekilde yüksek hasarlı kampanyalar yürütmesine olanak tanıyor' dedi.

Detaylar ve Etkileri

Sygnia tarafından yayınlanan bir raporda, yapay zeka destekli saldırganların mutlaka yeni kötü amaçlı yazılımlara veya sıfır gün açıklarına ihtiyaç duymadığı, asıl değişimin siber saldırıların savunmacıların kontrol edebileceğinden daha hızlı ve daha büyük ölçekte gerçekleştirilebilmesi olduğu vurgulandı. Sygnia, büyük bir AWS tabanlı ortamda 72 saat içinde ilk erişimden geniş çaplı ihlale geçen yapay zeka destekli bir bulut saldırısı gözlemledi. Saldırgan, yeni elde edilen kimlik bilgilerini sürekli olarak keşif, sır toplama, kalıcılık ve etki faaliyetleri için kullandı. Saldırı, yeni kötü amaçlı yazılımlar veya sıfır günler yerine bilinen bulut tekniklerine dayanıyordu.

Gelecekte Ne Bekleniyor?

Sygnia'ya göre saldırgan, internet üzerinden erişilebilen bir uygulamadaki zafiyetler aracılığıyla bir AWS hesabının erişim anahtarını ele geçirdi. Her yeni erişim, yenilenen numaralandırma, ek sır toplama, erişim anahtarları ve IAM kullanıcıları oluşturarak kalıcılık girişimleri ve veri sızdırma ile sonuçlandı. Aynı zamanda, saldırganın oluşturduğu bazı eserler sızma testi veya kırmızı takım egzersizi gibi maskelendi. Saldırgan, kurbanlara baskı yapmak için S3 bucket'larına erişimi engelleme, ECS hizmetlerini veya konteynerlerini sıfır kapasiteye düşürme, ACL kuralları oluşturarak ağ erişimini engelleme ve SQS kuyruklarını temizleme gibi eylemler gerçekleştirdi.

Sygnia, 'Önemli olan, yapay zekanın yeni saldırı teknikleri sunması değildi, çünkü gözlemlenen her eylem uzun süredir bilinen düşman davranışlarıyla eşleşiyordu. Asıl önemli olan, yapay zekanın bu teknikleri karmaşık bir ortamda uygulamak için gereken zamanı ve çabayı azaltmasıydı' dedi. Tehdit aktörü, her yeni erişim anahtarıyla ilişkili izinleri, ulaşılabilir kaynakları ve en değerli sonraki adımları hızla belirleyebildi. Bu durum, yapay zekanın siber saldırılarda bir güç çarpanı olarak rolünü bir kez daha gözler önüne seriyor.

Kaynak: thehackernews.com

Paylaş: