Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Infosecurity Magazine · 42M SIDEN · sikkerhet

Huntress fant vibe-kodet skadevare i innbrudd mot Active Directory

SYNOPSIS_GENERERT

Huntress rekonstruerte et PowerShell-skript fra et nettverksinnbrudd 3. juni og fant tydelige spor av at det var «vibe-kodet», blant annet et glemt eksempel-servernavn fra modellen.

Skriptet het «100% Working AD Information Gathering Script - FULLY FIXED». Tittelen alene fortalte sikkerhetsselskapet Huntress det meste: dette var sluttproduktet av en fram-og-tilbake med en språkmodell, der feilmeldinger ble limt inn til koden endelig kjørte. Huntress hentet ut og rekonstruerte skriptet fra et innbrudd 3. juni, og publiserte funnene 8. juli.

De øvrige sporene var like tydelige. Skriptet hadde fem separate fallback-metoder for å finne domenekontrolleren, der en menneskelig koder ville valgt én. Angriperen hadde latt et eksempel-servernavn som modellen selv fant på, bli stående urørt. Da skriptet fant kontrolleren, høstet det brukere, maskiner, grupper og tillitsforhold fra Active Directory til regneark, og genererte til slutt en ryddig HTML-rapport over tyveriet. Den rapporten mener forskerne at modellen la til på eget initiativ.

Selve innbruddet var gammeldags. Angriperen logget inn over RDP med stjålne passord, la verktøyene sine i en vanlig Windows-mappe og kjørte skriptet for å kartlegge nettverket. Eksfiltreringen gikk via legitime skyverktøy som s5cmd og SharpShares. «KI endrer ikke spillet», understreket Huntress.

«Vibe-koding senker terskelen for nettkriminalitet og lar lite avanserte aktører generere svært kapable verktøy på sparket. Selv om koden er rotete og overkonstruert, er trusselen høyst reell.» — Huntress, i rapporten

Problemet for forsvarere er deteksjon. Fordi skriptet var unikt og aldri vil dukke opp i samme form igjen, var filhashene og signaturene antivirusverktøy hviler på, verdiløse. Huntress selger selv atferdsbasert deteksjon, så anbefalingen er ikke uegennyttig. Mekanismen er reell likevel: et engangsverktøy har ingen signatur å matche mot.

Hva bør du gjøre?

  1. Slutt å stole på filhasher alene. Se etter atferden i stedet, som masseoppslag mot LDAP og eksport av AD-objekter til fil.
  2. Overvåk RDP-innlogginger med gyldige passord, siden det fortsatt er inngangen, uansett hvem eller hva som skrev verktøyet.
  3. Behandle legitime skyverktøy som s5cmd og SharpShares som mulige eksfiltreringskanaler når de dukker opp i mapper der de ikke hører hjemme.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN