AI in the Middle: веб-сервисы ИИ как ретрансляторы C2
Оригинал: AI in the Middle: Web-Based AI Services as C2 Relays
Исследователи Check Point Research продемонстрировали атаку “AI in the Middle”, при которой вредоносное ПО может использовать веб-ассистенты ИИ с анонимным или неаутентифицированным веб-просмотром и возможностями получения URL как скрытый канал командования и управления. В демонстрационном примере использовались публичные веб-интерфейсы ИИ, включая Grok и Microsoft Copilot: ИИ-сервис заставляли загружать URL, подконтрольные злоумышленнику, передавать данные жертвы в исходящих запросах и возвращать предоставленные злоумышленником команды через обычные ответы ИИ-ассистента.
Поскольку имплант взаимодействовал с доверенными доменами ИИ-сервисов через обычный веб-трафик HTTPS, такая активность могла выглядеть как ожидаемое корпоративное использование ИИ и обходить средства контроля, ориентированные на подозрительную инфраструктуру, необычные протоколы, API-ключи, служебные учетные записи или учетные данные, которые можно отозвать. Отсутствие обязательной аутентификации в некоторых рабочих процессах получения веб-ресурсов также усложняло защитникам отключение канала путем ротации API-ключей, приостановки учетных записей или отзыва токенов. Исследователи рекомендовали усилить аутентификацию и контроль доступа для функций получения веб-ресурсов ИИ, а также улучшить видимость сетевых запросов, инициированных ИИ, и взаимодействий с ИИ-ассистентами.
Процедура
- AML.TA0002 Разведка
AML.T0095 Поиск на открытых сайтах и доменах
Исследователи оценили публичные ИИ-ассистенты с анонимным или неаутентифицированным веб-просмотром и поведением получения URL, чтобы выявить сервисы, способные запрашивать произвольные URL, подконтрольные злоумышленнику, без API-учетных данных. Исследователи обнаружили, что Grok и Microsoft Copilot соответствуют этим условиям. - AML.TA0003 Подготовка ресурсов
AML.T0008.002 Домены
Исследователи зарегистрировали домен и развернули HTTPS-сайт, который выполнял роль конечной точки ретрансляции. - AML.TA0003 Подготовка ресурсов
AML.T0079 Размещение средств атаки
Исследователи разместили внешне безобидное содержимое, одновременно возвращая данные, которые имплант мог интерпретировать как C2-инструкции. - AML.TA0000 Доступ к ИИ-модели
AML.T0047 Продукт или сервис с поддержкой ИИ
Предполагая наличие предварительного доступа, исследователи использовали собственный имплант на C++ со встроенным браузером или компонентом WebView для взаимодействия с Grok или Microsoft Copilot через публичный веб-интерфейс, а не через API-ключ. - AML.TA0003 Подготовка ресурсов
AML.T0065 Создание промптов для LLM
Исследователи составили промпты, предписывающие ИИ-сервису получить и кратко изложить содержимое веб-сайта. Эти промпты приводили к включению данных жертвы в параметры URL, что позволяло запросу ИИ-сервиса на получение веб-ресурса передавать данные на подконтрольный злоумышленнику сервер. - AML.TA0007 Уклонение от защиты
AML.T0068 Обфускация промпта LLM
Когда некоторые промпты блокировались защитными механизмами модели, исследователи кодировали или шифровали данные полезной нагрузки в высокоэнтропийные блоки, чтобы снизить вероятность распознавания содержимого как вредоносного. - AML.TA0009 Сбор материалов
AML.T0037 Данные из локальной системы
Имплант собирал базовую информацию о хосте из локальной системы. Исследователи отметили, что это можно расширить до сбора таких сведений, как имя пользователя, домен, имя компьютера, установленное ПО, запущенные процессы и программы автозагрузки. - AML.TA0014 Командование и управление
AML.T0114 Веб-интерфейс ИИ-сервиса
Имплант инициировал анонимную веб-сессию с публичным ИИ-сервисом и отправлял подготовленный промпт. Так формировался канал командования и управления, в котором данные эксфильтрировались через запросы к домену, подконтрольному злоумышленнику, а команды передавались обратно через ответ. - AML.TA0010 Эксфильтрация
AML.T0086 Эксфильтрация через вызов инструмента ИИ-агента
Собранная информация о хосте жертвы эксфильтрировалась, когда ИИ-сервис следовал инструкциям получить URL на подконтрольном злоумышленнику домене с данными, встроенными в параметр запроса. - AML.TA0005 Выполнение
AML.T0050 Интерпретатор команд и сценариев
ИИ-сервис кратко излагал ответ подконтрольного злоумышленнику сайта, а имплант выполнял извлеченные команды. В демонстрационном примере команда запускала Calculator с помощьюcmd.exe /c calc.exe; реальный имплант мог бы выполнять другие команды, загружать полезные нагрузки, переходить в режим ожидания или собирать дополнительные данные.