Tehdit Aktörü, EDR Kaçınma Araçları Geliştirmek İçin Yapay Zekayı Kullanıyor Siber Güvenlik

Tehdit Aktörü, EDR Kaçınma Araçları Geliştirmek İçin Yapay Zekayı Kullanıyor

Kırmızı ekip projesi olarak sunulan bir projede, uç nokta tespit ve yanıt (EDR) yazılımını aşacak şekilde tasarlanmış kötü amaçlı yazılımları geliştir...

Kırmızı ekip projesi olarak sunulan bir projede, uç nokta tespit ve yanıt (EDR) yazılımını aşacak şekilde tasarlanmış kötü amaçlı yazılımları geliştirmek ve iyileştirmek için yapay zeka kodlama araçlarını kullanan bir tehdit aktörünün gözlemlendiği görüldü.

Etkinlik Sophos X-Ops tarafından ortaya çıkarıldı. Karşı Tehdit Birimi'nin yeni analizine göre etkinlik, müşteri ortamındaki olağandışı bir uç noktanın yerel bir test klasöründeki kötü amaçlı dosyalar için uyarılar vermesinin ardından keşfedildi.

Bağlantılı bir Git deposunun yanı sıra bu dosyalar, kaçınma araçlarını geliştirmek ve bunu Sophos, CrowdStrike ve Microsoft'un EDR ajanlarına karşı test etmek için oluşturulmuş bir laboratuvarı ortaya çıkardı. Python komut dosyalarının çoğu kısmen yapay zeka tarafından oluşturulmuş ve Rusça yazılmıştır.

İnsanlar Döngüde Kaldı

En önemli bulgu yapay zekanın ne yapmadığıdır. Sophos, iş akışının otonom olarak akıl yürüten bir model tarafından yürütülmediğini ve kötü amaçlı yazılımın kendisinde hiçbir yapay zekanın bulunmadığını vurguladı.

Sonuç ve Değerlendirme

Bunun yerine yapay zeka, her fırsatta hala insan incelemesine dayanan yapılandırılmış bir oluşturma, test etme ve iyileştirme döngüsünü hızlandırdı. Aktör, yapay zekaya özgü bir geliştirme ortamı olan Cursor'da çalıştı ve çeşitli aracılara roller atadı.

Claude Opus üzerinde çalışan biri diğerleri için kuralları belirlerken geri kalanı test, operasyonel güvenlik ve dokümantasyonla ilgileniyordu.

Teknik Analiz

Ayrı bir taktik kitabı, onlara kamu güvenliği araştırması madenciliği yapmak, teknikleri MITRE ATT&CK çerçevesine haritalamak ve bunları laboratuvarda yeniden üretmekle görevlendirdi; taahhütler Model Bağlam Protokolü (MCP) üzerinden geri akıyordu.

Bir Kırmızı Takım Kapak Hikayesi

Gelecekte Ne Bekleniyor?

Laboratuvarın merkezinde, Cobalt Strike ve Sliver gibi saldırgan çerçevelerden yararlanarak özel yükleyiciler üretmek için yükleri şifreleme ve kaçırma katmanlarına saran bir Python aracı vardı.

Sophos, 70'ten fazla tekniği kapsayan yaklaşık 80 modülün bu şekilde oluşturulduğunu söyledi. Temsilciler, modüllerin yinelemeden sonra neredeyse evrensel olarak etkili hale geldiğini bildirdi, ancak Sophos, belgelenen test çıktısının bunu açıkça desteklemediğini belirtti.

Yapay zeka tarafından oluşturulan kötü amaçlı yazılım hakkında daha fazlasını okuyun: Araştırmacılar, VoidLink Linux Kötü Amaçlı Yazılımının Yapay Zeka Aracısı Kullanılarak Oluşturulduğunu Açıkladı

Proje kırmızı ekip olarak çerçevelenmiş olsa da Sophos, etiketin muhtemelen kısmen Claude'un kötü amaçlı yazılım geliştirme konusundaki korkuluklarını aşmak için kullanılan bir kılıf olduğunu değerlendirdi.

Detaylar ve Etkileri

Ekip, "Gerçekte çerçeve, hedef ortamlardaki sömürü sonrası gizli faaliyetler için oluşturuldu" dedi. Sophos ayrıca etkinliği bilinen fidye yazılımı ve veri hırsızlığı operasyonlarıyla da ilişkilendirdi.

Savunmacılar için şirket, yapay zekanın bu tür araçları oluşturmanın önündeki engelleri azaltmasına ve saldırganların boşlukları daha hızlı bulmasına yardımcı olmasına rağmen, değişimin pratikte çok az değiştiğini savundu.

Uzmanların Görüşleri

Ekip, kuruluşları derinlemesine savunma temellerini korumaya çağırdı: zamanında yama uygulama, çok faktörlü kimlik doğrulama (MFA), geçiş anahtarları gibi modern yöntemler ve geniş EDR dağıtımı.

Paylaş: