ИИ теперь пишет вредоносный код гораздо быстрее и хитрее живых людей.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Специалисты по анализу угроз время от времени сталкиваются с инструментами, где искусственный интеллект выступает не вспомогательным элементом, а полноценным разработчиком вредоносной инфраструктуры — именно такой случай зафиксирован при изучении новой системы доставки полезной нагрузки.
Аналитики Walmart Global Tech, изучавшие ранее описанную кампанию под названием DeepLoad, обнаружили отдельную, ранее неизвестную бесфайловую систему распространения, получившую название SpectrePaste. Если в прежних вариациях предполагалось лишь частичное участие ИИ в создании инструментов злоумышленников, то новое исследование показало иное: искусственный интеллект выступил основным архитектором и разработчиком всей системы.
Первую версию инструмента сами злоумышленники называли «PasteFast Panel». Она представляла собой централизованную панель доставки скриптов PowerShell и отличалась продуманной структурой: билдер автоматически добавлял к нагрузке скрипты обхода антивирусного интерфейса AMSI и шифровал итоговый файл методом XOR, так что каждая переданная нагрузка оказывалась упакованной по-своему.
Отдельного внимания заслуживала система очередей, рассчитанная на массовое одновременное обращение заражённых устройств: при резком росте трафика панель кешировала зашифрованные файлы в памяти и исключала повторные запросы с одного и того же IP-адреса, чтобы не перегрузить сервер управления. При этом запросы от самих операторов — например, создание новых нагрузок — обрабатывались в приоритетном порядке, минуя общую очередь.
Вторая версия системы стала заметно сложнее. Она построена по принципу «спецификационной» разработки, когда изменение текстового описания задачи автоматически меняет и итоговый код. Это позволило превратить простой скрипт доставки в бесфайловый загрузчик с рефлективной загрузкой в память и добавить движок полиморфизма, работающий в реальном времени.
При каждом обращении заражённого устройства сервер собирает новую, уникальную версию нагрузки: подставляет случайные фрагменты кода из внутреннего репозитория, генерирует правдоподобные, но случайные имена функций в стиле системных вызовов Windows, добавляет бессмысленный «мусорный» код и в конце заворачивает результат в слой XOR-шифрования и Base64-кодирования. Из-за этого антивирусные решения, ориентированные на поиск известных сигнатур, в большинстве случаев не могут опознать такую нагрузку как вредоносную.
Дизайн административной панели также был полностью отдан на откуп ИИ , что подтверждает: искусственный интеллект в этом случае отвечал не только за вредоносную логику, но и за пользовательский интерфейс инструмента.
Авторы отмечают, что приведённые технические сведения носят информационный характер и предназначены для защиты, а не для практического использования. Поскольку сигнатурные методы обнаружения теряют эффективность против подобных систем, организациям стоит делать упор на поведенческий анализ и мониторинг аномальной активности PowerShell, а не полагаться исключительно на традиционные антивирусные проверки.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Специалисты по анализу угроз время от времени сталкиваются с инструментами, где искусственный интеллект выступает не вспомогательным элементом, а полноценным разработчиком вредоносной инфраструктуры — именно такой случай зафиксирован при изучении новой системы доставки полезной нагрузки.
Аналитики Walmart Global Tech, изучавшие ранее описанную кампанию под названием DeepLoad, обнаружили отдельную, ранее неизвестную бесфайловую систему распространения, получившую название SpectrePaste. Если в прежних вариациях предполагалось лишь частичное участие ИИ в создании инструментов злоумышленников, то новое исследование показало иное: искусственный интеллект выступил основным архитектором и разработчиком всей системы.
Первую версию инструмента сами злоумышленники называли «PasteFast Panel». Она представляла собой централизованную панель доставки скриптов PowerShell и отличалась продуманной структурой: билдер автоматически добавлял к нагрузке скрипты обхода антивирусного интерфейса AMSI и шифровал итоговый файл методом XOR, так что каждая переданная нагрузка оказывалась упакованной по-своему.
Отдельного внимания заслуживала система очередей, рассчитанная на массовое одновременное обращение заражённых устройств: при резком росте трафика панель кешировала зашифрованные файлы в памяти и исключала повторные запросы с одного и того же IP-адреса, чтобы не перегрузить сервер управления. При этом запросы от самих операторов — например, создание новых нагрузок — обрабатывались в приоритетном порядке, минуя общую очередь.
Вторая версия системы стала заметно сложнее. Она построена по принципу «спецификационной» разработки, когда изменение текстового описания задачи автоматически меняет и итоговый код. Это позволило превратить простой скрипт доставки в бесфайловый загрузчик с рефлективной загрузкой в память и добавить движок полиморфизма, работающий в реальном времени.
При каждом обращении заражённого устройства сервер собирает новую, уникальную версию нагрузки: подставляет случайные фрагменты кода из внутреннего репозитория, генерирует правдоподобные, но случайные имена функций в стиле системных вызовов Windows, добавляет бессмысленный «мусорный» код и в конце заворачивает результат в слой XOR-шифрования и Base64-кодирования. Из-за этого антивирусные решения, ориентированные на поиск известных сигнатур, в большинстве случаев не могут опознать такую нагрузку как вредоносную.
Дизайн административной панели также был полностью отдан на откуп ИИ , что подтверждает: искусственный интеллект в этом случае отвечал не только за вредоносную логику, но и за пользовательский интерфейс инструмента.
Авторы отмечают, что приведённые технические сведения носят информационный характер и предназначены для защиты, а не для практического использования. Поскольку сигнатурные методы обнаружения теряют эффективность против подобных систем, организациям стоит делать упор на поведенческий анализ и мониторинг аномальной активности PowerShell, а не полагаться исключительно на традиционные антивирусные проверки.
- Источник новости
- www.securitylab.ru