Sió-Informatika Rendszerház

HÍREK

Hackerek már mesterséges intelligenciát használnak EDR-megkerülő eszközök fejlesztésére

Hackerek mesterséges intelligenciával fejlesztenek EDR-megkerülő malware-eket

A Sophos kutatói egy olyan kiberbűnözői fejlesztési környezetet azonosítottak, amelyben a támadók mesterséges intelligenciát használtak kártevők fejlesztésére, tesztelésére és finomhangolására.

A vizsgálat az egyik legerősebb bizonyítéka annak, hogy az AI már nem csak a védelmi oldalon jelenik meg, hanem egyre inkább a támadók eszköztárának is része.

Mi történt?

A Sophos egy ügyfél környezetében végzett incidensvizsgálat során több gyanús fájlt talált egy felhasználó dokumentumkönyvtárában.

Első ránézésre a fájlok:

  • penetrációs teszteléshez,
  • red team műveletekhez,
  • biztonsági kutatáshoz

használt eszközöknek tűntek.

A részletes elemzés azonban kapcsolatot mutatott ki:

  • zsarolóvírus-csoportokkal,
  • váltságdíj üzenetekkel,
  • ransomware szivárogtató oldalakra került áldozatokkal.

A kutatók szerint a keretrendszert valós kiberbűnözői tevékenységhez használták.

Milyen AI eszközöket használtak?

A jelentés szerint több fejlett AI modellt is bevontak a fejlesztésbe:

  • Cursor
  • Claude Opus
  • egyéb kódoló és elemző AI rendszerek

Az AI feladatai közé tartozott:

✅ programkód írása

✅ hibakeresés

✅ dokumentáció készítése

✅ kutatási anyagok elemzése

✅ EDR-megkerülési technikák fejlesztése

✅ malware variánsok generálása

Fontos, hogy az AI nem önállóan dolgozott, hanem emberi operátorok irányítása alatt.

EDR megkerülésre optimalizált keretrendszer

A fejlesztési környezet egyik fő célja a modern végpontvédelmi rendszerek kijátszása volt.

Az érintett rendszerek közé tartoznak például:

  • Microsoft Defender
  • CrowdStrike termékei
  • Sophos védelmi megoldásai

A keretrendszer több technikát alkalmazott:

Egyedi Cobalt Strike profilok

A parancs- és vezérlőforgalmat normál webes kommunikációnak álcázták.

Telegram alapú C2 kommunikáció

A támadók a Telegram Bot API-t használták alternatív kommunikációs csatornaként.

Shellcode injektálás

A rosszindulatú kód legitim Windows folyamatokba került beágyazásra.

Cloudflare Workers használata

A valódi vezérlőszerverek elrejtésére.

Automatizált Active Directory felderítés

A kutatók egy fejlett vállalati hálózatfelderítő modult is találtak.

A rendszer képes volt:

  • felhasználók feltérképezésére,
  • jogosultságok elemzésére,
  • privilegizált fiókok azonosítására,
  • laterális mozgási útvonalak keresésére.

A megoldás nem előre meghatározott parancslistát futtatott, hanem az eredmények alapján választotta ki a következő lépéseket.

Ez már az úgynevezett „agentikus AI” megközelítés felé mutat.

Több AI ügynök dolgozott együtt

A Git repository elemzése során a Sophos több specializált AI ügynököt azonosított.

Külön AI komponensek feleltek:

  • malware tesztelésért,
  • operatív biztonságért,
  • dokumentációért,
  • kutatások elemzéséért,
  • infrastruktúra teszteléséért,
  • virtuális gépek kezeléséért.

A központi koordinátor szerepét egy Claude Opus alapú ügynök látta el.

Biztonsági kutatások automatizált feldolgozása

Az egyik legérdekesebb megállapítás, hogy az AI automatikusan elemezte:

  • biztonsági blogokat,
  • kutatási jelentéseket,
  • közösségi médiában megjelent technikai elemzéseket.

Az AI:

  1. kivonta a támadási technikákat,
  2. hozzárendelte azokat a MITRE ATT&CK keretrendszerhez,
  3. elkészítette a reprodukciós lépéseket,
  4. laboratóriumi tesztelést javasolt,
  5. jelentést készített az eredményekről.

Ez jelentősen lerövidítheti a publikáció és a támadók általi felhasználás közötti időt.

Ipari méretű malware-generálás

A rendszer elsősorban:

  • Rust
  • Go

nyelveken generált kártevőket.

A kutatók szerint:

  • közel 80 modul,
  • több mint 70 megkerülési technika

állt rendelkezésre.

Az elkészült minták:

  • titkosítást,
  • anti-analízis funkciókat,
  • többlépcsős futtatási mechanizmusokat,
  • alternatív végrehajtási útvonalakat

tartalmaztak.

Még nincs önálló AI-malware

A Sophos kiemelte:

🔹 nem találtak olyan kártevőt, amelyben maga az AI futott volna

🔹 nem figyeltek meg autonóm támadásokat

🔹 az AI jelenleg fejlesztési asszisztensként működött

Ez fontos különbség.

A jelenlegi veszély nem az „öntudatra ébredt hacker AI”, hanem az, hogy a támadók ugyanazokat a produktivitásnövelő AI eszközöket használják, mint a legitim fejlesztők.

Miért fontos ez a védekezőknek?

Korábban egy új EDR-megkerülési technika:

  • kutatása,
  • implementálása,
  • tesztelése,
  • finomhangolása

hetekig vagy hónapokig tartott.

Most ugyanez AI segítségével akár órák vagy napok alatt megtörténhet.

Ennek következménye:

⚠️ rövidebb idő a védekezésre

⚠️ gyorsabban fejlődő malware-ek

⚠️ rövidebb életciklusú detektálási szabályok

⚠️ a publikált kutatások gyorsabb „fegyveresítése”

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!