باج‌افزار مبتنی بر هوش مصنوعی؛ دور زدن خودکار EDR

شبکه گستر

4 روز پیش

شرکت امنیتی سوفوس (Sophos) یک چارچوب پیشرفته باج‌افزاری را شناسایی کرده است که توسعه‌دهندگان آن از عامل‌های هوش مصنوعی برای ساخت، آزمایش و بهینه‌سازی بدافزار استفاده می‌کنند. این چارچوب فرآیند شناسایی Active Directory و دور زدن سامانه‌های Endpoint Detection and Response (EDR) را تا حد زیادی خودکار می‌کند.

محققان سوفوس می‌گویند گردانندگان این باج‌افزار مبتنی بر هوش مصنوعی از ابزارهای Cursor و Claude Opus در مراحل مختلف تحقیق و توسعه استفاده کرده‌اند. این ابزارها در کدنویسی، تحلیل، بازبینی و آزمایش بدافزار نقش داشته‌اند. برخی عامل‌های هوش مصنوعی نیز مقالات و تحقیقات امنیتی را بررسی کرده‌اند تا روش‌های جدید دور زدن محصولات امنیتی را استخراج کنند.

سوفوس همچنین تأیید کرد که مهاجمان بخشی از بدافزارهای خود را در محیط‌های آزمایشی علیه محصولات این شرکت، کراوداسترایک (CrowdStrike) و مایکروسافت (Microsoft) آزمایش کرده‌اند. با این حال، مهاجمان، خود، تمام تصمیم‌های عملیاتی را گرفته‌اند و هوش مصنوعی تنها سرعت توسعه را افزایش داده است.

چگونه این چارچوب کشف شد؟

تیم تحقیقاتی سوفوس هنگام بررسی هشدارهای امنیتی در شبکه یکی از مشتریان به این چارچوب باج‌افزار مبتنی بر هوش مصنوعی رسید. محققان چندین فایل مشکوک را در مسیر C:\Users\User\Documents\test پیدا کردند. بررسی این فایل‌ها نشان داد مهاجمان مجموعه‌ای از ابزارهای تخصصی برای فرار از شناسایی توسعه داده‌اند.

تحلیل نمونه‌ها چهار مؤلفه اصلی را آشکار کرد:

پروفایل‌های سفارشی Cobalt Strike که ترافیک مخرب را شبیه درخواست‌های عادی وب نشان می‌دهند.
یک کانال فرماندهی و کنترل (C2) مبتنی بر Telegram Bot API که ارتباطات را از طریق زیرساخت Telegram هدایت می‌کند.
اسکریپت‌های Python برای تزریق Shellcode به فایل‌های معتبر Windows.
یک Cloudflare Worker که سرور اصلی فرماندهی و کنترل را پنهان می‌کند.

محققان در ابتدا احتمال دادند که یک تیم Red Team از این ابزارها استفاده کرده باشد. اما شواهد بعدی تصویر متفاوتی ارائه کرد. آنها در لاگ‌های Cobalt Strike به اطلاعات مربوط به یادداشت‌های باج‌خواهی و چندین سازمان قربانی رسیدند. همین شواهد ارتباط این چارچوب با عملیات باج‌افزاری را تأیید کرد.

هوش مصنوعی چه نقشی در توسعه بدافزار داشت؟

محققان سوفوس چندین اسکریپت Python را روی سیستم آلوده پیدا کردند. توسعه‌دهندگان این اسکریپت‌ها را به زبان روسی نوشته بودند و برای تولید یا تکمیل آنها از ابزارهای هوش مصنوعی کمک گرفته بودند.

تیم تحقیقاتی همچنین به یک مخزن Git دسترسی پیدا کرد. این مخزن یک پنل خودکار برای شناسایی Active Directory و یک محیط آزمایشگاهی برای ارزیابی بدافزارها در برابر محصولات EDR را در خود جای داده بود.

این چارچوب از چندین عامل هوش مصنوعی با وظایف مشخص استفاده می‌کند. Claude Opus 4.5 نقش هماهنگ‌کننده را بر عهده دارد. سایر عامل‌ها آزمایش بدافزار، مستندسازی، بررسی OPSEC، راه‌اندازی ماشین‌های مجازی و ارزیابی زیرساخت‌ها را انجام می‌دهند.

بیش از ۸۰ ماژول برای دور زدن EDR

بر اساس یافته‌های سوفوس، عامل‌های هوش مصنوعی تکنیک‌های مختلف فرار از شناسایی را از منابع گوناگون جمع‌آوری کرده‌اند. این منابع شامل تحقیقات کسپرسکی (Kaspersky)، پالو آلتو نتورکس (Palo Alto Networks)، بیشاپ فاکس (Bishop Fox) و اسپکترآپز (SpecterOps) بوده‌اند.

سپس این عامل‌ها تکنیک‌های استخراج‌شده را با چارچوب MITRE ATT&CK تطبیق داده‌اند. آنها محیط آزمایشی را آماده کرده‌اند، حملات را اجرا کرده‌اند و نتایج را ارزیابی کرده‌اند.

هسته اصلی این پروژه یک ابزار مبتنی بر Python است. این ابزار با استفاده از Rust و Go بارهای مخرب سفارشی تولید می‌کند. سوفوس می‌گوید توسعه‌دهندگان نزدیک به ۸۰ ماژول مختلف را برای آزمایش بیش از ۷۰ تکنیک دور زدن محصولات امنیتی ایجاد کرده‌اند.

این ماژول‌ها چندین لایه رمزنگاری و استتار را با یکدیگر ترکیب می‌کنند. آنها همچنین از روش‌های جایگزین اجرای کد استفاده می‌کنند تا شناسایی توسط Sandbox، آنتی‌ویروس و سامانه‌های EDR را دشوارتر کنند.

سوفوس اعلام کرد نسخه‌های اولیه این ماژول‌ها عملکرد موفقی نداشتند. با این حال، توسعه‌دهندگان پس از چندین مرحله آزمایش و اصلاح، نرخ موفقیت آنها را به شکل محسوسی افزایش دادند.

چرا باج‌افزار مبتنی بر هوش مصنوعی اهمیت دارد؟

محققان سوفوس هیچ نشانه‌ای از اجرای مستقل هوش مصنوعی روی سیستم‌های قربانی پیدا نکردند. آنها همچنین مدرکی مشاهده نکردند که نشان دهد بدافزارها به‌طور مستقیم از مدل‌های هوش مصنوعی استفاده می‌کنند.

با این حال، هوش مصنوعی نقش مهمی در فرآیند توسعه ایفا کرده است. این فناوری به مهاجمان کمک می‌کند نمونه‌های جدید را سریع‌تر بسازند، آزمایش کنند و بهبود دهند.

سوفوس هشدار می‌دهد که این روند فاصله میان انتشار تحقیقات امنیتی و بهره‌برداری مجرمان سایبری از آنها را کاهش می‌دهد. در نتیجه، مهاجمان می‌توانند سریع‌تر از گذشته تکنیک‌های جدید را به ابزارهای عملیاتی تبدیل کنند. این موضوع چالش تازه‌ای را برای تیم‌های دفاعی و تولیدکنندگان محصولات امنیتی ایجاد می‌کند.

اطلاعات بیشتر

گزارش تحلیلی سوفوس از طریق لینک زیر قابل دریافت و مطالعه است:

https://www.sophos.com/en-us/blog/pointing-a-cursor-at-evading-detection