Yapay Zeka Destekli PowerShell Betiği ile Aktif Dizin Haritalama Saldırısı Yazılım

Yapay Zeka Destekli PowerShell Betiği ile Aktif Dizin Haritalama Saldırısı

Huntress araştırmacıları, yapay zeka ile oluşturulmuş bir PowerShell betiği kullanarak Active Directory ortamını haritalayan bir saldırı tespit etti.

Siber güvenlik araştırmacıları, bilinmeyen bir tehdit aktörünün Active Directory (AD) ortamını haritalamak için yapay zeka destekli bir PowerShell betiği kullandığı bir saldırıyı gün yüzüne çıkardı. Huntress araştırmacıları Jevon Ang ve Dray Agha, saldırganın Domain Controller (DC) bulma, kullanıcıları, bilgisayarları ve alanları haritalama, ardından bir dizin oluşturup dosyaları dışa aktarma ve son olarak AD_Report.html dosyası oluşturarak numaralandırma başarısını ölçme adımlarını izlediğini belirtti.

Olay zinciri, tehdit aktörünün önceden ele geçirilmiş kimlik bilgileriyle bir Windows Sunucusuna Uzak Masaüstü Protokolü (RDP) erişimi sağlamasıyla başladı. Ardından araçlarını 'C:\ProgramData\' klasöründe hazır hale getirdi. Olay Haziran 2026 başlarında gerçekleşti. Saldırgan, Active Directory ortamını haritalamak için yapay zeka tarafından üretilmiş bir yük kullandı. Bu değerlendirme, istem yineleme başlığı, yer tutucu dizeler, Domain Controller bulmak için birden fazla yöntem içeren aşırı mühendislik ürünü kod ve camgöbeği, yeşil, kırmızı ve sarı renklerle güzelleştirilmiş konsol çıktısı gibi çeşitli belirtilere dayanıyor.

Huntress, özel PowerShell betiğini 'oldukça agresif' ve 'gürültülü' olarak tanımladı. Betik, keşif ve tespit için 'beş aşamalı basamaklı geri dönüş mekanizması' kullanıyor. Betiğin başlığı '100% Working AD Information Gathering Script - FULLY FIXED' olarak belirlenmiş; bu da bir büyük dil modeli (LLM) ile yapılan bir dizi denemeyi işaret ediyor. Birincil Domain Controller bulunduğunda, AD kullanıcılarını, bilgisayarları, grupları, organizasyon birimlerini (OU) ve güven ilişkilerini sistematik olarak toplamak için bir veri toplama rutini başlatılıyor ve bilgiler bir hazırlık dizininde saklanıyor.

Gelecekte Ne Bekleniyor?

Yaklaşık 30 dakika sonra saldırgan, toplu dosya işlemleri için kullanılan meşru bir araç olan s5cmd'yi ve C# tabanlı bir ağ paylaşım numaralandırma aracı olan SharpShares'ı kullanarak kullanıcı tarafından erişilebilir veri depolarını aramaya başladı. Son aşamada, veriler CSV dosyalarına dönüştürülüp arşivlenerek uzak bir sunucuya sızdırıldı. Dikkat çekici bir şekilde, veri hırsızlığını özetleyen bir Active Directory Envanter Raporu HTML dosyası da oluşturuldu. Araştırmacılar, 'Bu, saldırganın kasıtlı olarak betiğe eklemediği, sadece LLM'den gelen 'yardımsever' bir enjeksiyon olabilir' yorumunu yaptı.

Uzmanların Görüşleri

Bu gelişme, tehdit aktörlerinin yapay zeka modelleri yardımıyla oluşturulan 'vibe coding' kötü amaçlı yazılımlarla cephaneliklerini genişlettiğini gösteriyor. Teknoloji daha önce görülmemiş şekillerde kötüye kullanılmasa da, siber suçlara giriş engelini düşürüyor. Daha az yetenekli aktörlerin minimum çabayla son derece yetenekli ve kaçamak araçlar geliştirmesine olanak tanıyor. Huntress, 'Altta yatan saldırı zinciri hâlâ yıllardır gördüğümüz denenmiş ve test edilmiş 'kap ve kaç' oyun kitabına benziyor. Bu temel metodoloji tutarlı kaldı, ancak şimdi seçici olarak yapay zeka ile güçlendiriliyor. Bu hibrit yaklaşım, gizlilikten çok saldırganlık ve hızı önceliklendirerek tehdit aktörlerinin daha hızlı bir şekilde yıkıcı kampanyalar yürütmesine olanak tanıyor' dedi.

Sygnia tarafından yayınlanan bir raporda, yapay zeka destekli saldırganların mutlaka yeni kötü amaçlı yazılımlara veya sıfır gün açıklarına ihtiyaç duymadığı, ancak siber saldırıların savunucuların karşı koyabileceğinden daha hızlı ve daha büyük bir ölçekte gerçekleştirilebileceği belirtildi. Sygnia, büyük bir AWS ortamında 72 saat içinde ilk erişimden geniş çaplı ihlale ilerleyen bir yapay zeka destekli bulut saldırısı gözlemledi. Saldırının nihai hedefinin finansal olduğu ve saldırganın kurbanın bulut altyapısına erişimi fidye için kullandığı değerlendiriliyor.

Saldırgan, yeni ele geçirilen kimlik bilgilerini sürekli olarak keşif, sır toplama, kalıcılık ve etki faaliyetlerini yeniden başlatmak için kullandı. Sygnia, 'Saldırgan tek bir yanlış yapılandırmayı değil, uygulama hizmetleri, AWS kaynakları, kaynak kontrol depoları, CI/CD iş akışları, çalışma zamanı bileşenleri ve veri depoları arasındaki zayıflıkları zincirleyerek hızlı bir şekilde kimlik bilgisi keşfi, sır toplama, bulut numaralandırma, dağıtım hattı istismarı, çalışma zamanı değişikliği, veritabanı erişimi ve operasyonel kesinti gerçekleştirdi' dedi. Saldırgan, kurbanlara daha fazla baskı yapmak için S3 bucket'larına erişimi engelleme, ECS hizmetlerini sıfır kapasiteye düşürme, ACL kurallarıyla ağ erişimini engelleme ve SQS kuyruklarını temizleme gibi eylemler gerçekleştirdi.

Kaynak: thehackernews.com

Paylaş: