Искусственный интеллект в руках киберпреступников: созданные с помощью AI PowerShell-скрипты нацелены на системы Active Directory!

Стремительное развитие технологий искусственного интеллекта (ИИ) значительно упростило процесс создания программного обеспечения. Однако эти возможности начали активно использовать не только разработчики и организации, но и киберпреступники. Последние наблюдения показывают, что злоумышленники теперь используют специальные PowerShell-скрипты, созданные с помощью искусственного интеллекта, вместо традиционных хакерских инструментов для анализа инфраструктуры Active Directory (AD) в корпоративных сетях.

Данный случай, обнаруженный специалистами компании по кибербезопасности Huntress, еще раз подтвердил, что вредоносные инструменты, созданные с помощью искусственного интеллекта, используются в реальных атаках.

Что такое «Vibe Coding»?

Эксперты называют этот метод «Vibe Coding».

При таком подходе разработчик или злоумышленник вместо написания кода вручную дает модели искусственного интеллекта инструкции на естественном языке. ИИ на основе этих указаний генерирует необходимый код. Если результат не соответствует ожиданиям, пользователь дает новые указания и улучшает код в несколько этапов.

В результате люди, не обладающие глубокими знаниями в области программирования, могут за короткое время создавать рабочие, уникальные скрипты, адаптированные для каждой конкретной атаки.

Это снижает затраты киберпреступников на разработку инструментов атак и способствует их дальнейшей массовизации.

Как осуществляется атака?

По данным экспертов Huntress, атака начинается с использования ранее скомпрометированных учетных данных пользователя.

Злоумышленник:

  • подключается к системе Windows Server через RDP (Remote Desktop Protocol);
  • размещает необходимые инструменты в каталоге C:\ProgramData;
  • затем запускает PowerShell-скрипт с именем Untitled1.ps1, созданный с помощью ИИ.

Основная задача скрипта — полный анализ среды Active Directory.

Он собирает следующую информацию:

  • пользователи домена;
  • компьютеры;
  • группы безопасности;
  • организационные подразделения (Organizational Units);
  • междоменные отношения доверия (Trusts);
  • сетевые подсети;
  • конфигурацию домена и другие важные данные.

Все собранные данные экспортируются в CSV-файлы, и в итоге создается подробный отчет в формате HTML. Затем все файлы архивируются и подготавливаются для следующего этапа атак или для передачи данных наружу.

Как были обнаружены следы искусственного интеллекта?

Экспертам удалось восстановить скрипт из записей журнала Windows PowerShell Operational с идентификатором события 4104.

В ходе анализа был обнаружен ряд признаков, указывающих на то, что скрипт был создан с помощью искусственного интеллекта.

В частности:

  • название скрипта — «100% Working AD Information Gathering Script – FULLY FIXED» — напоминает типичный стиль именования, который возникает после нескольких взаимодействий с AI-чатами;
  • внутри кода осталось неизмененным примерное имя сервера (placeholder) — Server1.HR.local;
  • для определения контроллера домена использовались не один, а пять последовательных методов;
  • в консоли PowerShell выводились избыточные цветные и декоративные сообщения.

По мнению экспертов, опытный разработчик обычно не пишет такой избыточно сложный и повторяющийся код. Подобный стиль характерен для кода, созданного искусственным интеллектом.

Атака не завершилась на этом

После анализа инфраструктуры Active Directory злоумышленник использовал дополнительные инструменты.

В частности:

  • с помощью s5cmd.exe была проведена подготовка к передаче данных в сервисы Amazon S3;
  • с помощью SharpShares.exe были найдены общие сетевые папки (Network Shares) и проверена возможность доступа к ним.

Это указывает на то, что на следующем этапе атаки планировалось хищение конфиденциальных данных или дальнейшее перемещение по внутренней сети (Lateral Movement).

Почему скрипты, созданные с помощью ИИ, опасны?

Традиционные вредоносные программы обычно используются многократно. Поэтому антивирусы и EDR-системы могут обнаруживать их по хешу файла или статическим сигнатурам.

Скрипты, созданные с помощью ИИ, разрабатываются практически для каждой атаки отдельно.

В результате:

  • код каждого скрипта уникален;
  • хеш файла постоянно меняется;
  • средства защиты, основанные на сигнатурах, с трудом их обнаруживают;
  • даже менее опытные злоумышленники получают возможность создавать сложные инструменты.

Однако, хотя искусственный интеллект может изменять внешний вид кода, он не может скрыть основное поведение атаки.

Например, такие действия, как запрос объектов Active Directory, отправка запросов через LDAP, создание CSV-файлов или вызов PowerShell-модулей, все равно регистрируются в системном журнале.

Поэтому современные платформы SIEM, XDR и EDR имеют возможность обнаруживать такие атаки с помощью поведенческого анализа (Behavior-based Detection) и анализа телеметрии.

Рекомендации для организаций

Для защиты от подобных атак рекомендуется принять следующие меры:

  • регулярно мониторить активность PowerShell в среде Active Directory;
  • постоянно анализировать журналы безопасности Windows, включая события Event ID 4104, 4688 и другие;
  • включить функции PowerShell Script Block Logging, Module Logging и Transcription;
  • внедрить многофакторную аутентификацию (MFA) для учетных записей администраторов и сервисных аккаунтов;
  • ограничить доступ к службе RDP через VPN или доверенные IP-адреса;
  • отозвать ненужные права администратора и соблюдать принцип наименьших привилегий (Least Privilege);
  • применять правила поведенческого анализа (Behavior Analytics) в решениях SIEM, EDR и XDR;
  • регулярно проводить аудит Active Directory и отслеживать подозрительные LDAP-запросы и массовую активность по перечислению объектов;
  • защищать учетные данные сотрудников и регулярно проводить учебные мероприятия по защите от фишинговых атак.

Заключение

Искусственный интеллект не создает для киберпреступников совершенно новые методы атак, но позволяет реализовывать существующие методы быстрее, дешевле и адаптированными под каждую конкретную цель. В результате уникальные PowerShell-скрипты, создаваемые для каждой атаки, могут обходить традиционные средства защиты, основанные на сигнатурах.

Поэтому организациям теперь необходимо сосредоточиться не только на обнаружении вредоносных файлов, но и на мониторинге подозрительного поведения в системе, контроле активности PowerShell и внедрении современных механизмов защиты, основанных на поведенческом анализе. Именно такой подход имеет решающее значение для своевременного обнаружения кибератак нового поколения, создаваемых с помощью искусственного интеллекта, и устранения их негативных последствий.