مهاجمان با کمک هوش مصنوعی آزمایش دور زدن EDR را خودکار کردند

پژوهشگران Sophos X-Ops از شناسایی فعالیت یک مهاجم ناشناس خبر داده‌اند که با استفاده از هوش مصنوعی، اسکریپت‌های پایتون و یک محیط آزمایشگاهی اختصاصی، بخش‌هایی از فرآیند آزمایش، ارزیابی و بهینه‌سازی تکنیک‌های دور زدن EDR را خودکار کرده بود. بررسی‌ها نشان می‌دهد این زیرساخت به‌عنوان بخشی از یک فریم‌ورک پس از اکسپلویت (Post‑Exploitation) مشابه عملیات Red Team طراحی شده و برای ارزیابی مداوم روش‌های دور زدن EDR در برابر راهکارهای امنیتی Sophos، CrowdStrike و Windows Defender به کار گرفته شده است.

همچنین گزارش Sophos نشان می‌دهد نقش هوش مصنوعی در این عملیات تنها به تولید کد محدود نبوده است. مهاجمان از مدل‌های زبانی بزرگ (LLMs) برای هماهنگ‌سازی گردش‌کارها (Workflows)، مدیریت چرخه‌های آزمایش و تسریع توسعه بدافزار استفاده کرده‌اند؛ رویکردی که در عمل یک چرخه مهندسی‌شده شامل ساخت، آزمایش، تحلیل و اصلاح مداوم بدافزار ایجاد کرده و با هدف افزایش اثربخشی حملات و کاهش احتمال شناسایی توسط سامانه‌های دفاعی سازمانی به کار گرفته شده است.

شناسایی فعالیت مشکوک در محیط یکی از مشتریان Sophos

به گفته Sophos، این فعالیت زمانی شناسایی شد که یک Endpoint غیرعادی در محیط یکی از مشتریان این شرکت هشدارهایی درباره اجرای پیلودهایی از مسیر زیر صادر کرد:

• C:\Users\User\Documents\test

بررسی‌های بیشتر نشان داد فایل‌های مخرب موجود در این پوشه به یک فریم‌ورک حمله گسترده‌تر مرتبط بوده‌اند؛ فریم‌ورکی که با هدف فرار از شناسایی توسط راهکارهای امنیتی و ارزیابی مداوم تکنیک‌های دور زدن EDR توسعه یافته بود.

همچنین تحلیلگران Sophos مجموعه‌ای از اسکریپت‌های پایتون را شناسایی کردند که به زبان روسی نوشته شده بودند و نشانه‌هایی از استفاده از هوش مصنوعی در تولید آن‌ها مشاهده می‌شد. هرچند استفاده عوامل تهدید از مدل‌های زبانی بزرگ (LLMs) برای توسعه بدافزار یا پشتیبانی از عملیات سایبری موضوع تازه‌ای نیست، اما آنچه این پرونده را متمایز می‌کند، ایجاد یک محیط آزمایشگاهی سازمان‌یافته برای توسعه، آزمایش و بهینه‌سازی مستمر بدافزارها در برابر سامانه‌های شناسایی و پاسخ به تهدیدات Endpoint یا به عبارتی EDR است.

آزمایشگاه اختصاصی مهاجمان برای دور زدن EDR

آنچه این فعالیت را از نمونه‌های متداول متمایز می‌کند، وجود یک پنل خودکار مبتنی بر اکتیو دایرکتوری (Active Directory – AD) و یک محیط آزمایشگاهی اختصاصی برای توسعه و ارزیابی بدافزارها است. بررسی‌های Sophos نشان می‌دهد اسکریپت‌های شناسایی‌شده در قالب یک چرخه منظم و خودکار عمل کرده و بدافزارها را به‌صورت مداوم در برابر عامل‌های EDR متعلق به Sophos، CrowdStrike و Windows Defender آزمایش می‌کردند.

در این فرآیند، بدافزار روی سامانه‌های هدف اجرا می‌شد و نحوه واکنش راهکارهای امنیتی به آن جمع‌آوری و تحلیل می‌شد. سپس پنل خودکار AD بر اساس مجموعه‌ای از وظایف از پیش تعریف‌شده، مرحله بعدی را انتخاب و آن را به عامل‌های راه‌دور (Remote Agents) ارسال می‌کرد. پس از پایان هر مرحله نیز نتایج مجدداً ارزیابی می‌شد تا تغییرات لازم برای بهبود عملکرد بدافزار اعمال شود.

به گفته Sophos، این زیرساخت یک چرخه مهندسی ساختاریافته برای ساخت، آزمایش، تحلیل و بهینه‌سازی مستمر بدافزار ایجاد کرده بود؛ چرخه‌ای که مهاجمان از طریق آن تکنیک‌های دور زدن EDR را در شرایطی نزدیک به محیط‌های واقعی سازمانی ارزیابی و اصلاح می‌کردند.

نقش هوش مصنوعی در توسعه بدافزار و خودکارسازی فرآیندهای عملیاتی

Sophos تأکید کرده است که نقش هوش مصنوعی در این عملیات، محدودتر از آن چیزی بوده که در نگاه اول به نظر می‌رسد. بر اساس این گزارش، مهاجمان از ابزارهای مبتنی بر هوش مصنوعی نه برای ساخت کامل بدافزار، بلکه عمدتاً برای هماهنگ‌سازی فرآیندها، پشتیبانی از فعالیت‌های آزمایشی و خودکارسازی بخشی از گردش‌کارهای عملیاتی استفاده کرده‌اند.

با این حال، آنچه این فعالیت را قابل توجه می‌کند، ترکیب هوش مصنوعی با یک چرخه مهندسی‌شده برای توسعه و ارزیابی بدافزار است. مهاجمان از این قابلیت برای مدیریت وظایف، خودکارسازی مراحل آزمایش و بهبود تدریجی نمونه‌های مخرب بهره برده‌اند؛ رویکردی که امکان ارزیابی و بهینه‌سازی مستمر تکنیک‌های دور زدن EDR را در یک فرآیند ساختاریافته و قابل تکرار فراهم کرده است.

همچنین Sophos چند ابزار مبتنی بر مدل‌های زبانی بزرگ (LLMs) را در زیرساخت عملیاتی این گروه شناسایی کرده است که مهم‌ترین آن‌ها عبارتند از:

• Cursor؛ ویرایشگر کدنویسی مبتنی بر هوش مصنوعی که برای توسعه و اصلاح بدافزارها به کار گرفته شده است.
• Claude Opus؛ مدل زبانی اصلی که عامل‌های هوش مصنوعی (AI Agents) این عملیات از آن استفاده کرده‌اند.

بر اساس یافته‌های Sophos، این عامل‌های هوش مصنوعی وظایفی مانند هماهنگ‌سازی عملیات، خودکارسازی فرآیند آزمایش بدافزار و پشتیبانی از برخی فعالیت‌های مرتبط با امنیت عملیاتی (OPSEC) را بر عهده داشتند.

مطالعه تحقیقات امنیتی برای یافتن و توسعه روش‌های دور زدن EDR

یکی از نشانه‌های حرفه‌ای‌تر شدن این عملیات، شواهدی بود که در مخزن کد (Git Repository) مهاجمان به دست آمد. بررسی این آرتیفکت‌ها نشان داد اعضای این گروه به‌طور مستمر گزارش‌ها و تحقیقات منتشرشده توسط شرکت‌های امنیتی را مطالعه می‌کردند تا راهکارهای احتمالی دور زدن مکانیزم‌های شناسایی تهدید را شناسایی و بررسی کنند. بر اساس یافته‌های Sophos، بخشی از این فرآیند به عامل‌های هوش‌مصنوعی سپرده شده بود. این عامل‌ها وظیفه داشتند گزارش‌های فنی را تحلیل کرده، اطلاعات مرتبط را استخراج کنند، تکنیک‌های شناسایی‌شده را با فریم‌ورک MITRE ATT&CK تطبیق دهند، محیط آزمایش را آماده کنند و سپس سناریوهای موردنظر را مورد ارزیابی قرار دهند.

به گفته پژوهشگران، این موضوع نشان می‌دهد دور زدن EDR در این عملیات صرفاً به اجرای بدافزار یا آزمایش روش‌های فرار از شناسایی محدود نبوده است. مهاجمان در کنار توسعه و آزمایش بدافزار، به‌صورت سازمان‌یافته تحقیقات دفاعی منتشرشده را نیز بررسی می‌کردند و یافته‌های آن را به سناریوهای عملی برای آزمایش و بهینه‌سازی تکنیک‌های خود تبدیل می‌کردند.

معماری زیرساخت آزمایشگاهی مهاجمان

بررسی‌های Sophos نشان می‌دهد مهاجمان برای توسعه و آزمایش بدافزارهای خود از یک محیط آزمایشگاهی متشکل از چندین ماشین مجازی (Virtual Machine) مبتنی بر Windows Server 2022 استفاده می‌کردند؛ محیطی که فرآیندهای متداول تیم‌های شبیه‌سازی نفوذ (Red Team) را بازسازی می‌کرد و حتی دارای یک بستر کنترل اختصاصی برای مدیریت و ارزیابی نتایج بود.

به گفته Sophos، این زیرساخت از چهار ماشین مجازی با وظایف مجزا تشکیل شده بود:

• سامانه‌ای برای آزمایش تکنیک‌های فرار از شناسایی در برابر عامل امنیتی Sophos
• سامانه‌ای برای ارزیابی این تکنیک‌ها در برابر عامل امنیتی CrowdStrike
• یک محیط مرجع (Control Environment) بدون نصب EDR برای مقایسه نتایج
• یک سرور مبتنی بر Ubuntu برای میزبانی زیرساخت فرماندهی و کنترل (C2) فریم‌ورک پس از اکسپلویت Sliver

این معماری نشان می‌دهد مهاجمان یک زیرساخت آزمایشی چندلایه و کنترل‌شده ایجاد کرده بودند تا بتوانند تکنیک‌های دور زدن EDR را در محیط‌های مختلف ارزیابی کرده، میزان موفقیت آن‌ها را بسنجند و بر اساس نتایج به‌دست‌آمده، بدافزارهای خود را به‌صورت مستمر بهینه‌سازی کنند.

ارتباط این زیرساخت با عملیات باج‌افزار و سرقت داده

اگرچه بخش عمده این گزارش بر محیط آزمایش بدافزار و سازوکارهای توسعه آن متمرکز است، اما Sophos تأکید می‌کند این زیرساخت با هدف تسهیل فعالیت‌های مخفیانه پس از اکسپلویت در شبکه‌های هدف طراحی شده بود.

به گفته محققان، شواهد به‌دست‌آمده نشان می‌دهد این فعالیت با عملیات شناخته‌شده استقرار باج‌افزار و سرقت داده ارتباط داشته است. در چنین سناریوهایی، موفقیت در دور زدن EDR می‌تواند زمان حضور مهاجم در شبکه را افزایش دهد، اجرای فعالیت‌های پس از نفوذ را تسهیل کند و مسیر سرقت اطلاعات یا استقرار باج‌افزار را هموار سازد.

بازگشت به اصول دفاع سایبری در برابر تهدیدات پیشرفته

با وجود آن‌که این گزارش به استفاده از هوش مصنوعی و محیط‌های آزمایشگاهی پیشرفته در توسعه و آزمایش بدافزارها اشاره دارد، اما در نهایت یادآور یک واقعیت ساده است:

• بسیاری از حملات سایبری هنوز هم با رعایت اصول اولیه امنیت قابل پیشگیری یا کنترل هستند.

به همین دلیل، کارشناسان امنیتی بر استفاده از رویکرد دفاع چندلایه (Defense-in-Depth) تأکید می‌کنند؛ رویکردی که به‌جای اتکا به یک لایه حفاظتی، چند مکانیزم امنیتی را در کنار یکدیگر قرار می‌دهد تا شانس موفقیت مهاجمان به حداقل برسد.

اجرای اقدامات زیر می‌تواند سطح ریسک سازمان را به‌طور قابل‌توجهی کاهش دهد:

• نصب به‌موقع پچ‌های امنیتی
• استفاده از احراز هویت چندعاملی (MFA)
• به‌کارگیری روش‌های نوین احراز هویت مانند کلیدهای عبور (Passkeys)
• استقرار و پیکربندی صحیح راهکارهای EDR

این گزارش نشان می‌دهد که پیچیدگی حملات مبتنی بر هوش مصنوعی و تکنیک‌های دور زدن EDR، اهمیت اصول پایه امنیت را کم‌رنگ نمی‌کند؛ بلکه رعایت همین نکات ساده همچنان می‌تواند بخش قابل‌توجهی از حملات را مهار کرده و قدرت دفاعی سازمان را تقویت کند.

منابع