Νέος συναγερμός: Χάκερ σαρώνουν το Active Directory με AI-generated κώδικα

Active Directory

Οι κυβερνοεγκληματίες αρχίζουν να αξιοποιούν εργαλεία τεχνητής νοημοσύνης για τη δημιουργία εξατομικευμένων κακόβουλων scripts, μειώνοντας το τεχνικό εμπόδιο για την ανάπτυξη επιθέσεων.

Μια νέα περίπτωση που εντοπίστηκε από ερευνητές ασφαλείας της Huntress δείχνει τη χρήση ενός AI-generated PowerShell script με την ονομασία Untitled1.ps1, το οποίο σχεδιάστηκε για την αναγνώριση και χαρτογράφηση περιβαλλόντων Active Directory.

Ο όρος «vibe coding» περιγράφει τη δημιουργία λογισμικού μέσω επαναλαμβανόμενων οδηγιών προς ένα μοντέλο AI, αντί για παραδοσιακή χειροκίνητη συγγραφή κώδικα. Η τεχνική αυτή επιτρέπει ακόμη και σε λιγότερο έμπειρους επιτιθέμενους να δημιουργούν προσαρμοσμένα εργαλεία που δεν εμφανίζουν γνωστά μοτίβα ανίχνευσης.

Επίθεση με κλεμμένα διαπιστευτήρια και συλλογή δεδομένων

Η επίθεση ξεκίνησε όταν ένας δράστης χρησιμοποίησε ήδη παραβιασμένα διαπιστευτήρια για να αποκτήσει πρόσβαση μέσω RDP σε έναν Windows Server συνδεδεμένο σε domain.

Μετά την εγκατάσταση εργαλείων στον φάκελο C:\ProgramData, ο επιτιθέμενος εκτέλεσε το Untitled1.ps1, το οποίο μέσα σε λίγα λεπτά συνέλεξε πληροφορίες για χρήστες, υπολογιστές, ομάδες και σχέσεις εμπιστοσύνης του Active Directory.

Περίπου μισή ώρα αργότερα χρησιμοποιήθηκε το s5cmd.exe, ένα νόμιμο εργαλείο της Amazon S3 που συχνά γίνεται αντικείμενο κατάχρησης για εξαγωγή δεδομένων, ενώ ακολούθησε η χρήση του SharpShares.exe για τον εντοπισμό κοινόχρηστων φακέλων.

Ενδείξεις ότι ο κώδικας δημιουργήθηκε από AI

Οι ερευνητές ανέκτησαν το script μέσω των καταγραφών PowerShell Event ID 4104, οι οποίες αποθηκεύουν τα εκτελεσμένα τμήματα κώδικα.

Το εργαλείο εντόπιζε τον domain controller χρησιμοποιώντας μια υπερβολικά περίπλοκη διαδικασία πέντε εναλλακτικών μεθόδων, όπως αναζήτηση DNS, nltest, Active Directory modules, μεταβλητές περιβάλλοντος και μια προκαθορισμένη εφεδρική τιμή.

Στη συνέχεια εξήγαγε δεδομένα για χρήστες, υπολογιστές, ομάδες, οργανωτικές μονάδες, υποδίκτυα και σχέσεις εμπιστοσύνης σε αρχεία CSV, δημιουργώντας παράλληλα μια αναφορά HTML και συμπιέζοντας όλα τα δεδομένα.

Ορισμένα χαρακτηριστικά πρόδωσαν την προέλευση του κώδικα. Ο τίτλος «100% Working AD Information Gathering Script – FULLY FIXED» μοιάζει με αποτέλεσμα συνεχών διορθώσεων μέσω chatbot, ενώ ένα αμετάβλητο placeholder όνομα υπολογιστή, «Server1.HR.local», παρέμεινε μέσα στον κώδικα.

Η συμπεριφορική ανίχνευση γίνεται πιο σημαντική

Τα AI-generated scripts δυσκολεύουν τις παραδοσιακές λύσεις ασφαλείας, καθώς μπορούν να δημιουργούνται σε μοναδικές εκδόσεις και να αποφεύγουν την ανίχνευση μέσω στατικών υπογραφών.

Ωστόσο, οι βασικές συμπεριφορές τους παραμένουν αναγνωρίσιμες. Οι κλήσεις συστήματος, η αναζήτηση Active Directory και η συλλογή δεδομένων αφήνουν συγκεκριμένα ίχνη που μπορούν να εντοπιστούν μέσω ανάλυσης συμπεριφοράς.

Η συγκεκριμένη επίθεση δείχνει ότι η τεχνητή νοημοσύνη δεν αλλάζει απαραίτητα τις μεθόδους των hackers, αλλά τους επιτρέπει να δημιουργούν ταχύτερα και πιο εξατομικευμένα εργαλεία. Για τον λόγο αυτό, οι ομάδες κυβερνοασφάλειας καλούνται να εγκαταλείψουν την αποκλειστική εξάρτηση από signatures και να επενδύσουν περισσότερο στην ανάλυση πραγματικής δραστηριότητας μέσα στα συστήματα.

Scroll to Top