網(wǎng)絡(luò)安全研究團(tuán)隊(duì)Huntress最近揭露了一起入侵事件,攻擊者借助一段由AI生成的PowerShell腳本,對活動目錄(Active Directory)進(jìn)行了快速而激進(jìn)的枚舉。這段腳本是典型的“氛圍編碼”(vibe coding)產(chǎn)物,它在攻擊鏈中扮演了偵察與發(fā)現(xiàn)的核心角色,并憑借一套五步級聯(lián)回退機(jī)制,確保無論域控制器藏得多深都能被揪出來。
據(jù)研究人員Jevon Ang和Dray Agha介紹,這起事件發(fā)生在2026年6月初。攻擊者首先通過遠(yuǎn)程桌面協(xié)議(RDP)登入一臺已加入域的Windows Server,登錄憑據(jù)是此前就已竊取好的。進(jìn)入系統(tǒng)后,攻擊者將后續(xù)要用的工具全部塞進(jìn)“C:\ProgramData\”文件夾,其中就包括那份AI生成的載荷。
![]()
該P(yáng)owerShell腳本暴露了大量AI參與的痕跡:最顯眼的是其標(biāo)題——“100% Working AD Information Gathering Script - FULLY FIXED”,像極了用戶與大語言模型反復(fù)試錯后敲定的最終版;腳本內(nèi)部還保留了提示迭代名稱、占位符字符串,以及明顯過度設(shè)計(jì)的功能——為了找到域控制器,它竟然內(nèi)置了多種冗余方法。除此之外,控制臺輸出還專門用青、綠、紅、黃等顏色做了美化,行為“嘈雜”且攻擊性十足。
Huntress將這套自制的枚舉腳本形容為“高度激進(jìn)”,其核心是一部“五步級聯(lián)回退機(jī)制”。當(dāng)主域控制器被定位后,腳本立刻啟動系統(tǒng)化的數(shù)據(jù)收集流程,逐項(xiàng)收割A(yù)D用戶、計(jì)算機(jī)、組、組織單位(OU)以及信任關(guān)系,并將結(jié)果存入一個暫存目錄。整個過程緊鑼密鼓,沒有任何拖泥帶水。
完成信息搜集約30分鐘后,攻擊者轉(zhuǎn)入下一階段。他們部署了兩款合法工具:s5cmd用來執(zhí)行批量文件操作,而C#編寫的網(wǎng)絡(luò)共享枚舉工具SharpShares則負(fù)責(zé)掃描用戶可達(dá)的數(shù)據(jù)倉庫。這樣一來,真正有價(jià)值的數(shù)據(jù)就被快速甄別出來。
最后的收尾同樣利落:所有竊取到的信息被匯入CSV文件并打包,然后外傳至遠(yuǎn)程服務(wù)器。在數(shù)據(jù)離網(wǎng)之前,腳本還自動生成了一份名為“AD_Report.html”的活動目錄盤點(diǎn)報(bào)告,詳細(xì)匯總了此次盜竊的收獲。Huntress研究人員認(rèn)為,這份報(bào)告“很可能是大語言模型主動注入的‘貼心’功能,攻擊者順手就接受了,并非自己刻意設(shè)計(jì)”。
從更宏觀的視角看,這起事件延續(xù)了威脅行為者正在用AI武裝自己的趨勢。盡管所用技術(shù)并未跳出已知的攻擊范式,真正改變的是門檻。憑借大語言模型生成的“氛圍編碼”惡意軟件,技能不足的攻擊者也能以極低成本,快速組裝出功能強(qiáng)悍、具備規(guī)避能力的工具。Huntress指出:“底層的攻擊鏈仍是我們多年來熟悉的 smash-and-grab(快進(jìn)快出)套路,這一核心方法論始終一致,只是現(xiàn)在被AI有選擇地增強(qiáng)了。這種混合打法優(yōu)先考慮侵略性和速度,而非隱蔽性,讓攻擊者能夠以最小代價(jià)發(fā)動高破壞性的行動。”
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.