Наведение курсора для избежания обнаружения

Аналитики Sophos X-Ops наблюдали, как злоумышленник использовал технологии искусственного интеллекта (ИИ) для тестирования тактики обхода систем обнаружения и реагирования на угрозы (EDR) на конечных устройствах в рамках постэксплуатационного моделирования «красной команды». Активность была обнаружена, когда аномальное конечное устройство, зарегистрированное в клиентском аккаунте, вызвало оповещения о вредоносных программах, исходящих из папки C:UsersUserDocumentstest. Несколько файлов в этой директории оказались вредоносными и указывали на более широкую схему атаки, направленную на обход систем обнаружения:

• Профили Cobalt Strike, разработанные для того, чтобы трафик маяков имитировал легитимные веб-запросы.
• Механизм внешнего управления (C2) для ботов Telegram, основанный на API, который маршрутизировал обмен данными через инфраструктуру Telegram, а не использовал прямые соединения.
• Скрипты для разработки вредоносного ПО на основе Python, предназначенные для внедрения шеллкода в легитимные исполняемые файлы Windows с сохранением исходной функциональности.
• Cloudflare Worker выступает в роли перенаправителя на стороне клиента, чтобы скрыть фактический сервер управления и контроля (C2) на стороне бэкэнда.

Инструменты, созданные с помощью ИИ

На устройстве было запущено несколько скриптов на Python, многие из которых были написаны на русском языке, и часть из них была сгенерирована искусственным интеллектом. Дальнейшее расследование выявило репозиторий Git, содержащий набор инструментов и скриптов, соответствующих двум компонентам: автоматизированной панели обнаружения Active Directory (AD) и лаборатории, использующей итеративный подход к разработке и тестированию вредоносного ПО против агентов обнаружения и реагирования на угрозы на конечных точках Sophos, CrowdStrike и Windows Defender. Работа панели AD больше всего напоминает автоматизированную функциональность, управляемую ИИ, но не представляет собой автономно мыслящую большую языковую модель (LLM). Вместо этого автоматизированное обнаружение AD осуществляется путем сбора данных о выполненных задачах, выбора следующей ветви из предопределенного набора действий, распределения работы удаленным агентам и повторной оценки при получении результатов.

Анализ показал, что применение ИИ в разработке вредоносного ПО было более ограниченным и в основном использовалось для координации рабочих процессов и поддержки экспериментов. Фактический путь обхода EDR представлял собой структурированный цикл инженерного тестирования, включающий проверку человеком и итерации.

Злоумышленник использовал на своем устройстве виртуальную машину, предоставленную компанией Ludus. Для разработки инструментов обхода агентов EDR он использовал интегрированную среду разработки (IDE) Cursor, предназначенную для искусственного интеллекта. Процесс разработки включал создание вредоносного ПО, тестирование, анализ и доработку (см. рисунок 1).

Рисунок 1: Диаграмма, демонстрирующая роль ИИ в процессе разработки вредоносного ПО.

В выявленной тестовой среде, созданной, по-видимому, как площадка для «красной команды», злоумышленник настроил несколько виртуальных машин (ВМ) под управлением Windows Server 2022. Одна ВМ использовалась для тестирования инструментов обхода агента Sophos, другая — для агента CrowdStrike, а третья представляла собой контрольную среду без установленного агента EDR. Четвертая ВМ, работающая под управлением версии Ubuntu, представляла собой сервер управления и контроля (C2) в рамках постэксплуатационной среды Sliver.

Злоумышленник задал параметры для работы нескольких агентов ИИ в рамках фреймворка, описав роли и функции. Один агент, использующий Claude Opus 4.5, отвечал за основные операции и установку правил для других агентов. Дополнительный агент тестировал инструменты на агентах EDR. Остальные агенты обеспечивали вспомогательную функциональность, включая усиление операционной безопасности (OPSEC), создание документации, стресс-тестирование прокси-серверов и развертывание виртуальных машин. Проблемы с кодом и коммиты, созданные агентами, передавались в Git через протокол контекста модели (MCP), открытый стандарт, позволяющий помощникам ИИ подключаться к внешним инструментам и источникам данных.

Деятельность, организованная с помощью ИИ

Артефакты в репозитории Git указывают на то, что злоумышленник выявил потенциальные методы обхода защиты в исследовательских блогах, опубликованных такими организациями, как Kaspersky, Palo Alto Networks и Bishop Fox. Информация также была получена из X и Telegram, хотя неясно, повлияли ли эти источники на разработку инструмента. В руководстве по организации работы ИИ-агентов для создания тестовой среды использовались исследования, собранные из блога SpecterOps. SpecterOps предоставляет услуги по моделированию действий противника, такие как тестирование на проникновение (red teaming). Согласно руководству, ИИ-агентам было поручено прочитать статьи, извлечь методы, сопоставить их с методами MITRE ATT&CK, определить шаги и инструменты, необходимые для воспроизведения методов на основе существующего репозитория, подготовить среду тестирования, выполнить метод и сообщить о результатах (см. Рисунок 2).

Рисунок 2: Инструкции по загрузке статей и сопоставлению методов для агентов ИИ.

В основе фреймворка лежит инструмент, написанный на Python, который генерирует полезные нагрузки (большинство из которых написаны на Rust и Go) для тестирования. Этот модульный генератор загрузчиков полезных нагрузок для Windows оборачивает исходную полезную нагрузку слоями шифрования, обхода защиты и альтернативных методов выполнения, создавая специально разработанные исполняемые файлы или DLL, предназначенные для противодействия обнаружению песочницей, антивирусами и EDR. Каждая полезная нагрузка генерируется на основе метода обхода защиты, указанного в командной строке. С помощью этого инструмента было разработано около 80 различных модулей, протестировавших более 70 различных методов. Первоначальные результаты, полученные от агентов, указывали на высокий процент отказов, но после различных итераций эти модули, как сообщается, почти повсеместно успешно обходили агенты EDR. Однако документированные результаты работы тестового фреймворка не обязательно подтверждают этот вывод. Причина этого расхождения неясна. На рисунке 3 перечислены инструменты и модули, интегрированные в тестовую платформу.

Рисунок 3: Инструменты, интегрированные в систему тестирования.

Как и в легитимных средах разработки, злоумышленник использовал агенты Cursor и Claude Opus для помощи в создании программного обеспечения, тестировании, оценке производительности и внесении изменений. Хотя эти инструменты, по-видимому, использовались для создания структуры «красной команды», вероятно, злоумышленник использовал эту терминологию, чтобы обойти ограничения Claude в отношении разработки вредоносного ПО. В действительности, эта структура была создана для скрытой деятельности после эксплуатации уязвимости в целевых средах. Исследователи Sophos Counter Threat Unit™ (CTU) связали эту деятельность по разработке с известными операциями по развертыванию программ-вымогателей и краже данных.

Рекомендации и меры защиты

Использование агентов ИИ для ускорения разработки инструментов и тестирования методов обхода защиты снижает порог входа для сложных атак в стиле «красной команды». Однако этот сдвиг не меняет того, как защитники должны защищаться. Исследователи CTU™ рекомендуют организациям продолжать поддерживать надежную многоуровневую защиту, поскольку злоумышленники будут использовать любые пробелы в системе контроля. ИИ упрощает и ускоряет выявление этих пробелов. Основные принципы остаются критически важными, включая своевременное обновление программного обеспечения, многофакторную аутентификацию (MFA), современные механизмы аутентификации, такие как ключи доступа, и широкое внедрение эффективного решения EDR.

В таблице 1 перечислены меры защиты Sophos, связанные с этой угрозой.

Таблица 1: Меры защиты Sophos от этой угрозы

Благодарности

Благодарим Колина Коуи и Джордана Олнесса за их анализ и ценные замечания по этому вопросу, а также компанию SophosLabs за их вклад.