Yapay Zeka Kodlu Kötü Amaçlı Yazılım Active Directory Saldırısında Yakalandı Siber Güvenlik

Yapay Zeka Kodlu Kötü Amaçlı Yazılım Active Directory Saldırısında Yakalandı

Yapay zeka ile oluşturulan kötü amaçlı yazılım, gerçek bir Active Directory saldırısında kullanıldı. Huntress, bu durumun suçluların yapay zekayı nası

Bir tehdit aktörü, gerçek bir ağ saldırısında yapay zeka tarafından üretilen kötü amaçlı yazılım kullanırken yakalandı. Saldırgan, bir yapay zeka asistanının 'vibe-coding' yöntemiyle oluşturduğu PowerShell betiğini kullanarak Active Directory ortamını haritalandırdı. Huntress firmasının 8 Temmuz'da yayımladığı raporda, 3 Haziran'daki bir olayda ele geçirilen ve yeniden oluşturulan betiğin, suçluların yapay zekayı nasıl silah haline getirdiğine dair bir vaka çalışması olduğu belirtildi.

Vibe-coding, yazılımı manuel olarak yazmak yerine doğal dilde bir yapay zekaya komut vererek oluşturma yöntemidir. Bu yöntem, ortalama saldırganlara bile özel, tek kullanımlık araçlar üretme yeteneği kazandırıyor. Huntress'in gözlemlediği araç, '100% Çalışan AD Bilgi Toplama Betiği - TAMAMEN DÜZELTİLDİ' başlığını taşıyordu. Firma, bu ifadenin, büyük dil modeliyle (LLM) yapılan bir dizi hatanın düzeltilmesi sürecini yansıttığını belirtti.

Betikte, yapay zekanın örnek olarak sağladığı bir sunucu adının düzenlenmeden bırakıldığı görüldü. Ayrıca, betiğin aşırı mühendislik ürünü olması, etki alanı denetleyicisini bulmak için beş farklı yedek yöntem içermesi (insan bir kodlayıcı tek bir yöntem seçerdi) ve renkli konsol çıktılarına düşkünlüğü gibi yapay zeka izleri taşıdığı tespit edildi. Betik, etki alanı denetleyicisini bulduktan sonra Active Directory'deki kullanıcılar, bilgisayarlar, gruplar ve güven ilişkilerini toplayarak elektronik tablolara aktardı.

Huntress, bu tür saldırıların yeniliğine rağmen, yapay zekanın oyunun kurallarını değiştirmediğini vurguladı. Saldırı, bilinen bir 'al ve kaç' yöntemini izledi: Saldırgan, çalıntı kimlik bilgileriyle RDP üzerinden oturum açtı, araçları ortak bir Windows klasörüne yerleştirdi ve ağı keşfetmek için vibe-coded betiği çalıştırdı. Veri sızdırma işlemi için s5cmd ve SharpShares gibi meşru bulut araçları kullanıldı.

Savunmacılar için asıl zorluk, bu tür saldırıların tespit edilmesidir. Betik, benzersiz olduğu için daha önce hiç görülmemiş ve aynı formda tekrar ortaya çıkması olası değildir. Bu nedenle, antivirüs araçlarının güvendiği dosya karmaları ve imzaları bu betiğe karşı işe yaramamıştır. Huntress, vibe-coding'in siber suça giriş engelini düşürdüğünü ve deneyimsiz aktörlerin anında yüksek yetenekli, kaçamak araçlar üretmesine olanak tanıdığını belirtti.

Detaylar ve Etkileri

Firma, kodun dağınık, aşırı mühendislik ürünü ve geride bırakılan yorumlar gibi yapay zeka izleriyle dolu olmasına rağmen, tehdidin çok gerçek olduğunu vurguladı. Savunmacıların, katı imza tabanlı düşünceden vazgeçmeleri ve hiçbir LLM'nin gizleyemeyeceği temel eylemleri yakalamak için davranışsal analitiği benimsemeleri gerektiği ifade edildi.

Kaynak: infosecurity-magazine.com

Paylaş: