
Sun’iy intellekt kiberjinoyatchilar qo’lida: AI yordamida yaratilgan PowerShell skriptlari Active Directory tizimlarini nishonga olmoqda!
Sun’iy intellekt (AI) texnologiyalarining jadal rivojlanishi dasturiy ta’minot yaratish jarayonini sezilarli darajada soddalashtirdi. Biroq ushbu imkoniyatlardan nafaqat dasturchilar va tashkilotlar, balki kiberjinoyatchilar ham faol foydalanishni boshladi. So’nggi kuzatuvlar shuni ko’rsatmoqdaki, tahdid ishtirokchilari endilikda an’anaviy xakerlik vositalari o’rniga sun’iy intellekt yordamida yaratilgan maxsus PowerShell skriptlaridan foydalanib, korporativ tarmoqlardagi Active Directory (AD) infratuzilmasini tahlil qilmoqda.
Kiberxavfsizlik kompaniyasi Huntress mutaxassislari tomonidan aniqlangan ushbu holat sun’iy intellekt yordamida yaratilgan zararli vositalarning amaliy hujumlarda qo’llanilayotganini yana bir bor tasdiqladi.
«Vibe Coding» nima?
Mutaxassislar ushbu usulni «Vibe Coding» deb atashmoqda.
Mazkur yondashuvda dasturchi yoki hujumchi kodni qo’lda yozish o’rniga sun’iy intellekt modeliga tabiiy tilda topshiriqlar beradi. AI esa ushbu ko’rsatmalar asosida kerakli kodni yaratadi. Agar natija kutilganidek bo’lmasa, foydalanuvchi yangi ko’rsatmalar berib, kodni bir necha bosqichda takomillashtiradi.
Natijada murakkab dasturlash bilimiga ega bo’lmagan shaxslar ham qisqa vaqt ichida ishlaydigan, o’ziga xos va har bir hujum uchun alohida tayyorlangan skriptlarni yaratish imkoniyatiga ega bo’lmoqda.
Bu esa kiberjinoyatchilar uchun hujum vositalarini ishlab chiqish xarajatlarini kamaytirib, ularni yanada ommalashishiga sabab bo’lmoqda.
Hujum qanday amalga oshirilgan?
Huntress mutaxassislari qayd etishicha, hujum avvaldan qo’lga kiritilgan foydalanuvchi hisob ma’lumotlari yordamida boshlanadi.
Tajovuzkor:
- RDP (Remote Desktop Protocol) orqali Windows Server tizimiga ulanadi;
- kerakli vositalarni C:\ProgramData katalogiga joylashtiradi;
- so’ng AI yordamida yaratilgan Untitled1.ps1 nomli PowerShell skriptini ishga tushiradi.
Skriptning asosiy vazifasi Active Directory muhitini to’liq tahlil qilishdan iborat bo’lgan.
U quyidagi ma’lumotlarni yig’adi:
- domen foydalanuvchilari;
- kompyuterlar;
- xavfsizlik guruhlari;
- tashkiliy bo’linmalar (Organizational Units);
- domenlararo ishonch munosabatlari (Trusts);
- tarmoq subnetlari;
- domen konfiguratsiyasi va boshqa muhim ma’lumotlar.
Yig’ilgan barcha ma’lumotlar CSV fayllarga eksport qilinadi hamda yakunda HTML formatidagi batafsil hisobot yaratiladi. So’ngra barcha fayllar arxivlanib, keyingi bosqichdagi hujumlar yoki ma’lumotlarni tashqariga uzatish uchun tayyor holga keltiriladi.
Sun’iy intellekt izlari qanday aniqlandi?
Mutaxassislar skriptni Windows PowerShell Operational jurnalidagi Event ID 4104 yozuvlari orqali qayta tiklashga muvaffaq bo’lishdi.
Tahlil davomida skript sun’iy intellekt yordamida yaratilganini ko’rsatuvchi bir qator belgilar aniqlandi.
Jumladan:
- skriptning nomi «100% Working AD Information Gathering Script – FULLY FIXED» tarzida bo’lib, AI chatbotlari bilan bir necha bor muloqot natijasida hosil bo’ladigan tipik nomlash uslubini eslatadi;
- kod ichida Server1.HR.local kabi namunaviy (placeholder) server nomi o’zgartirilmagan holda qolgan;
- domen boshqaruvchisini aniqlash uchun bir emas, balki beshta ketma-ket usul qo’llangan;
- PowerShell konsolida ortiqcha rangli va bezakli xabarlar chiqarilgan.
Mutaxassislarning fikricha, tajribali dasturchi odatda bunday ortiqcha murakkab va takrorlanuvchi kod yozmaydi. Bunday uslub esa sun’iy intellekt tomonidan yaratilgan kodlarga xos xususiyatlardan biri hisoblanadi.
Hujum shu bilan yakunlanmagan
Active Directory infratuzilmasi tahlil qilingach, hujumchi qo’shimcha vositalardan ham foydalangan.
Jumladan:
- s5cmd.exe yordamida Amazon S3 xizmatlariga ma’lumotlarni uzatishga tayyorgarlik ko’rilgan;
- SharpShares.exe vositasi orqali tarmoqdagi umumiy papkalar (Network Shares) qidirilib, ularga kirish imkoniyati tekshirilgan.
Bu esa hujumning keyingi bosqichida maxfiy ma’lumotlarni o’g’irlash yoki ichki tarmoq bo’ylab yanada chuqurroq harakatlanish (Lateral Movement) rejalashtirilganini ko’rsatadi.
Nima uchun AI yordamida yaratilgan skriptlar xavfli?
An’anaviy zararli dasturlar odatda bir necha marotaba qayta ishlatiladi. Shu sababli antivirus va EDR tizimlari ularni fayl xeshi yoki statik signaturalar asosida aniqlay oladi.
AI yordamida yaratilgan skriptlar esa deyarli har bir hujum uchun alohida ishlab chiqiladi.
Natijada:
- har bir skriptning kodi o’ziga xos bo’ladi;
- fayl xeshi doimo o’zgarib turadi;
- signatura asosidagi himoya vositalari ularni aniqlashda qiynaladi;
- kam tajribaga ega hujumchilar ham murakkab vositalarni yaratish imkoniyatiga ega bo’ladi.
Biroq sun’iy intellekt kod ko’rinishini o’zgartira olsa-da, hujumning asosiy xatti-harakatlarini yashira olmaydi.
Masalan, Active Directory obyektlarini so’rov qilish, LDAP orqali murojaatlar yuborish, CSV fayllar yaratish yoki PowerShell modullarini chaqirish kabi amallar baribir tizim jurnalida qayd etiladi.
Shu sababli zamonaviy SIEM, XDR va EDR platformalari xulq-atvor (Behavior-based Detection) hamda telemetriya tahlili orqali bunday hujumlarni aniqlash imkoniyatiga ega.
Tashkilotlarga tavsiyalar
Mazkur turdagi hujumlardan himoyalanish maqsadida quyidagi choralarni amalga oshirish tavsiya etiladi:
- Active Directory muhitida PowerShell faoliyatini muntazam monitoring qilish;
- Windows Event ID 4104, 4688 va boshqa xavfsizlik jurnallarini doimiy tahlil qilish;
- PowerShell Script Block Logging, Module Logging va Transcription funksiyalarini yoqish;
- Administrator va xizmat hisoblari uchun ko’p faktorli autentifikatsiyani (MFA) joriy etish;
- RDP xizmatiga kirishni VPN yoki ishonchli IP manzillar bilan cheklash;
- Keraksiz administrator huquqlarini bekor qilish hamda «Least Privilege» tamoyiliga amal qilish;
- SIEM, EDR va XDR yechimlarida xulq-atvorga asoslangan aniqlash (Behavior Analytics) qoidalarini qo’llash;
- Active Directory auditini muntazam o’tkazish hamda shubhali LDAP so’rovlari va ommaviy enumeratsiya faoliyatini kuzatib borish;
- Xodimlarning autentifikatsiya ma’lumotlarini himoyalash va fishing hujumlariga qarshi muntazam o’quv mashg’ulotlarini tashkil etish.
Sun’iy intellekt kiberjinoyatchilar uchun mutlaqo yangi hujum usullarini yaratmayapti, biroq mavjud usullarni tezroq, arzonroq va har bir nishon uchun moslashtirilgan shaklda amalga oshirish imkonini bermoqda. Natijada har bir hujum uchun alohida yozilgan, noyob PowerShell skriptlari an’anaviy signatura asosidagi himoya vositalarini chetlab o’tishi mumkin.
Shu bois tashkilotlar endilikda faqat zararli fayllarni aniqlashga emas, balki tizimdagi shubhali xatti-harakatlarni kuzatish, PowerShell faoliyatini nazorat qilish va xulq-atvorga asoslangan zamonaviy himoya mexanizmlarini joriy etishga alohida e’tibor qaratishlari zarur. Aynan shunday yondashuv sun’iy intellekt yordamida yaratilayotgan yangi avlod kiberhujumlarini o’z vaqtida aniqlash va ularning salbiy oqibatlarini bartaraf etishda muhim ahamiyat kasb etadi.



