Huntress güvenlik araştırmacıları, 3 Haziran 2026'da bir olay müdahale incelemesi sırasında, saldırganın kurbanın Active Directory ortamını haritalamak için kullandığı bir PowerShell betiği keşfetti. Jevon Ang tarafından kurtarılan betik, herhangi bir genel depodan indirilmemiş veya bilinen bir saldırı araç takımından alınmamıştı. Aksine, neredeyse kesinlikle bir yapay zeka modeline çıktı üretilene kadar komut verilerek oluşturulmuş özel bir araçtı. Araştırmacılar, PowerShell betik blok günlüğü (Event ID 4104) sayesinde betiğin tamamını yeniden oluşturdu.
Huntress raporuna göre, betik '100% Working AD Information Gathering Script – FULLY FIXED' başlığıyla oldukça agresif, gürültülü ve özel yapım bir AD keşif aracıydı. Betik, işlevlerini gizleme çabası göstermiyor ve belirgin aşamalardan oluşuyor. Saldırgan, ele geçirilmiş kimlik bilgileriyle RDP erişimi sağladıktan sonra araçları C:\ProgramData'ya yerleştirdi ve oturumu başlatır başlatmaz keşif betiğini çalıştırdı. Yaklaşık 30 dakika sonra ise veri hırsızlığı için s5cmd.exe adlı meşru bir Amazon S3 komut satırı aracını kullandı.
Raporda, 'AI bu olayda oyunun kurallarını değiştirmiyor. Temel saldırı zinciri hala yıllardır gördüğümüz geleneksel 'kap ve kaç' taktiğine benziyor' deniyor. Bununla birlikte, AI'nın seçici olarak bu sürece dahil olduğu ve saldırganların saldırganlık ve hızı gizliliğe tercih eden hibrit bir yaklaşım benimsediği vurgulanıyor. Bu sayede tehdit aktörleri, yıkıcı kampanyaları her zamankinden daha hızlı gerçekleştirebiliyor.
Sistem Güvenliği
Betiğin dosya adı 'Untitled1.ps1' olarak kaydedilmişti; bu, bir AI sohbet penceresinden kod kopyalanıp yeniden adlandırılmadan kaydedildiğinde oluşan tipik bir isimlendirmeydi. Betiğin iç başlığı ise '100% Working AD Information Gathering Script – FULLY FIXED' idi. Bu, bir insanın kendi aracını yazarken seçmeyeceği, ancak AI'nın testleri geçen sürüme verdiği bir etiketti. Betik, domain denetleyicisini bulmak için beş ayrı yöntemi sırayla deniyordu: DNS sorgusu, nltest, Active Directory PowerShell modülü, ortam değişkenleri ve son olarak sabit kodlanmış bir yedek değer.
Huntress, 'Bir domain denetleyicisini bulmak için beş farklı yöntemin kullanılması AI üretimini ele veriyor. Bir insan genellikle en iyi bir veya iki yöntemi seçerdi. Bir LLM ise 'DC'yi bulamama hatası olmasın' dendiğinde eğitim verilerindeki tüm yöntemleri sıralar' yorumunu yaptı. En dikkat çekici ayrıntı, DC keşif bloğundaki sabit kodlanmış yedek değerdi: $dc = "Server1.HR.local". AI'nın örnek olarak eklediği bu yer tutucu, saldırgan tarafından değiştirilmeden kopyalanmıştı.
Nasıl Önlem Alınmalı?
Betik, domain denetleyicisini bulduktan sonra Active Directory kullanıcıları, bilgisayarlar, gruplar, organizasyon birimleri, alt ağlar ve domain güven ilişkileri gibi bilgileri yapılandırılmış bir şekilde döküyordu. Tüm veriler zaman damgalı bir dizine CSV dosyaları olarak kaydediliyordu. Ardından, toplanan verileri özetleyen bir HTML raporu oluşturuyordu. Huntress, bu raporun AI tarafından istenmeden eklenmiş bir 'yardımsever' dokunuş olduğunu belirtiyor. Son aşamada ise tüm dosyalar tek bir arşive sıkıştırılıyordu.
Geleneksel uç nokta koruma ve antivirüs yazılımları, dosya hash'leri ve statik imzalara dayandığı için 'Untitled1.ps1' gibi daha önce hiç görülmemiş betikleri tespit etmekte zorlanıyor. Huntress, bu tür AI destekli tehditlerle mücadele için savunmacıların katı imza tabanlı düşünceden vazgeçip davranışsal analitiğe yönelmesi gerektiğini vurguluyor. AI tarafından üretilen kodun ikili düzeyde insan yazımından ayırt edilemeyeceği, bu nedenle davranışsal tespitin önem kazandığı belirtiliyor.
Kaynak: securityaffairs.com