AIコード生成型マルウェア、「バイブコーディング」でActive Directory環境をマッピング

Huntressの最新の調査結果によると、脅威アクターは今やAIが生成したPowerShellスクリプトを武器化し、Active Directory(AD)環境を列挙するようになっています。

6月3日に発生したインシデントに関連するこの発見は、シグネチャベースの検知を今後長年にわたって困難にしかねない、攻撃手法の転換を示しています。

「バイブコーディング(vibe coding)」とは、自然言語でAIに繰り返し指示を出しながらソフトウェアを構築する手法を指し、これにより技術力の低い攻撃者でも使い捨てのカスタム悪意あるツールを作成できるようになります。

防御側が既知のシグネチャで検知できるBloodHoundやPowerSploit、Cobalt Strikeといった既存のフレームワークとは異なり、これらAI生成スクリプトは毎回異なる内容になるため、従来のハッシュベースの検知をすり抜けてしまいます。

今回の侵入は、おなじみの「スマッシュ・アンド・グラブ」(即座に押し入って奪う)型のパターンに従っていますが、AIの支援によって根本的に変化したというよりも、そのスピードが加速した形です。

攻撃はRDPピボットから始まり、攻撃者は事前に窃取していた認証情報を使って、おそらくVPN経由でドメイン参加済みのWindows Serverにアクセスしました。

その後、攻撃者がよく利用するディレクトリであるC:\ProgramData内で作業が準備され、セッション確立から数分以内にUntitled1.ps1が実行されました。これはAD環境をマッピングするために作られた、AI生成のオーダーメイドスクリプトでした。

その約30分後、攻撃者はスマッシュ・アンド・グラブの段階に移行し、データ流出によく悪用される正規のAmazon S3ツールであるs5cmd.exeを展開しました。

その後、攻撃者は再度戻ってきて、標準の管理共有以外にアクセス可能なファイル共有がないか探すため、既知の列挙ツールであるSharpShares.exeを実行しました。Huntressは、PowerShell/Operationalログに残るWindowsイベントID 4104のテレメトリを用いて、スクリプト全体を再構成しています。

「100% Working AD Information Gathering Script – FULLY FIXED(100%動作するAD情報収集スクリプト・完全修正版)」と題されたこのツールは、単一のドメインコントローラーを見つけるためだけに、DNS、nltest、ADモジュール、環境変数、そしてハードコードされたフォールバックという、5段階にわたる過剰なフォールバック手法を用いていました。

そのうえで、ADのユーザー、コンピューター、グループ、OU(組織単位)、サブネット、信頼関係を体系的にタイムスタンプ付きディレクトリ内のCSVファイルへエクスポートし、すべてを洗練されたAD_Report.htmlにまとめ、結果をZIP圧縮していました。

いくつかの点が、このスクリプトがAI製であることを露呈しています。タイトル自体が、攻撃者がエラーメッセージをLLMに繰り返しフィードバックし、「完全に修正された」バージョンを作らせるという、典型的なプロンプト反復の挙動を反映しています。

フォールバックコードに残された「Server1.HR.local」というプレースホルダーの値は、攻撃者がAIの出力をカスタマイズせずにそのままコピー&ペーストしたことを示しています。

このスクリプトの過剰なフォールバックロジックや、色分けされたコンソール出力を多用している点も、操作者に対して「丁寧で役に立つ」ように見せようとするLLM生成コードに特徴的な特徴です。

バイブコーディングによるスクリプトは使い捨てで作られるため、シグネチャベースの検知ツールの多くはこれらに対して効果を発揮できません。

Huntressは、AIはコードの構文をいくらでも書き換えられる一方で、ADとやり取りする際の運用上の痕跡までは隠せないと述べており、防御側は静的なシグネチャよりも振る舞い分析を優先すべきだとしています。

今回、SIEMは既知のマルウェアハッシュに頼るのではなく、列挙行為の背後にある振る舞いパターンを監視することでこの活動を検知できたとされています。

バイブコーディングはサイバー犯罪の技術的な敷居を下げますが、列挙、準備、データ流出といった攻撃ライフサイクルの検知における基本原則自体は変わっておらず、振る舞いに着目した監視によって依然として検知可能です。

翻訳元: https://cyberpress.org/ai-coded-vibe-coding-map-active-directory/

ソース: cyberpress.org