Yapay Zeka Destekli Kötü Amaçlı Yazılım: EDR Atlatma Araçları Geliştiriliyor Yazılım

Yapay Zeka Destekli Kötü Amaçlı Yazılım: EDR Atlatma Araçları Geliştiriliyor

Bir tehdit aktörü, EDR yazılımlarını atlatmak için yapay zeka kodlama araçları kullanarak kötü amaçlı yazılım geliştirdi.

Siber güvenlik dünyasında yeni bir endişe kaynağı ortaya çıktı: Tehdit aktörleri, uç nokta tespit ve yanıt (EDR) yazılımlarını atlatmak için yapay zeka destekli araçlar kullanmaya başladı. Sophos X-Ops tarafından keşfedilen bu faaliyet, bir müşteri ortamındaki olağandışı bir uç noktanın yerel bir test klasöründe kötü amaçlı dosyalar tespit etmesiyle gün yüzüne çıktı. Bu dosyalar ve bağlantılı bir Git deposu, saldırganın EDR atlatma araçları geliştirmek ve bunları Sophos, CrowdStrike ve Microsoft'un EDR ajanlarına karşı test etmek için bir laboratuvar kurduğunu ortaya koydu. Python betiklerinin büyük kısmı yapay zeka yardımıyla oluşturulmuş ve Rusça yazılmıştı.

Ancak Sophos'un vurguladığı en önemli nokta, yapay zekanın ne yapmadığıydı. İş akışı, otonom bir şekilde çalışan bir model tarafından yürütülmüyordu ve kötü amaçlı yazılımın içinde herhangi bir yapay zeka bileşeni bulunmuyordu. Bunun yerine yapay zeka, inşa etme, test etme ve iyileştirme döngüsünü hızlandırmak için kullanıldı; ancak her aşamada insan müdahalesi devam etti. Saldırgan, AI odaklı bir geliştirme ortamı olan Cursor içinde çalıştı ve birden fazla ajana roller atadı. Claude Opus üzerinde çalışan bir ajan diğerlerinin kurallarını belirlerken, diğer ajanlar test, operasyonel güvenlik ve dokümantasyon görevlerini üstlendi.

Ayrı bir çalışma kitabı, bu ajanlara kamuya açık güvenlik araştırmalarını tarama, teknikleri MITRE ATT&CK çerçevesine eşleme ve bunları laboratuvar ortamında yeniden üretme görevi veriyordu. Tüm bu işlemler Model Context Protocol (MCP) üzerinden Git deposuna akıtılıyordu. Bu yapı, saldırganın sistematik bir şekilde yeni atlatma teknikleri geliştirmesine ve bunları hızla test etmesine olanak tanıyordu.

Laboratuvarın merkezinde, yükleri şifreleme ve atlatma katmanlarıyla saran ve Cobalt Strike ile Sliver gibi saldırı çerçevelerinden yararlanan bir Python aracı bulunuyordu. Sophos, bu yöntemle 70'ten fazla tekniği kapsayan yaklaşık 80 modülün oluşturulduğunu belirtti. Ajanlar, bu modüllerin iterasyon sonucunda neredeyse evrensel olarak etkili hale geldiğini rapor etse de Sophos, belgelenen test çıktılarının bu iddiayı net bir şekilde desteklemediğini ifade etti.

Proje kendini kırmızı takım (red team) çalışması olarak tanımlasa da Sophos, bu etiketin büyük olasılıkla bir kılıf olduğunu ve kısmen Claude'un kötü amaçlı yazılım geliştirme konusundaki güvenlik önlemlerini aşmak için kullanıldığını değerlendirdi. Gerçekte, çerçevenin hedef ortamlarda gizli sömürü sonrası faaliyetler için inşa edildiği belirtildi. Sophos ayrıca bu faaliyeti bilinen fidye yazılımı ve veri hırsızlığı operasyonlarıyla ilişkilendirdi.

Gelecekte Ne Bekleniyor?

Savunmacılar için Sophos, yapay zekanın bu tür araçların geliştirilmesindeki engeli düşürdüğünü ve saldırganların açıkları daha hızlı bulmasına yardımcı olduğunu, ancak pratikte bu değişimin temel savunma stratejilerini değiştirmediğini savundu. Şirket, kuruluşları savunma-derinliği temellerine bağlı kalmaya çağırdı: zamanında yama yönetimi, çok faktörlü kimlik doğrulama (MFA), geçiş anahtarları gibi modern yöntemler ve yaygın EDR dağıtımı.

Kaynak: infosecurity-magazine.com

Paylaş: