AI in the Middle: веб-сервисы ИИ как ретрансляторы C2

Оригинал: AI in the Middle: Web-Based AI Services as C2 Relays

Исследователи Check Point Research продемонстрировали атаку “AI in the Middle”, при которой вредоносное ПО может использовать веб-ассистенты ИИ с анонимным или неаутентифицированным веб-просмотром и возможностями получения URL как скрытый канал командования и управления. В демонстрационном примере использовались публичные веб-интерфейсы ИИ, включая Grok и Microsoft Copilot: ИИ-сервис заставляли загружать URL, подконтрольные злоумышленнику, передавать данные жертвы в исходящих запросах и возвращать предоставленные злоумышленником команды через обычные ответы ИИ-ассистента.

Поскольку имплант взаимодействовал с доверенными доменами ИИ-сервисов через обычный веб-трафик HTTPS, такая активность могла выглядеть как ожидаемое корпоративное использование ИИ и обходить средства контроля, ориентированные на подозрительную инфраструктуру, необычные протоколы, API-ключи, служебные учетные записи или учетные данные, которые можно отозвать. Отсутствие обязательной аутентификации в некоторых рабочих процессах получения веб-ресурсов также усложняло защитникам отключение канала путем ротации API-ключей, приостановки учетных записей или отзыва токенов. Исследователи рекомендовали усилить аутентификацию и контроль доступа для функций получения веб-ресурсов ИИ, а также улучшить видимость сетевых запросов, инициированных ИИ, и взаимодействий с ИИ-ассистентами.

Процедура

  1. AML.TA0002 Разведка

    AML.T0095 Поиск на открытых сайтах и доменах

    Исследователи оценили публичные ИИ-ассистенты с анонимным или неаутентифицированным веб-просмотром и поведением получения URL, чтобы выявить сервисы, способные запрашивать произвольные URL, подконтрольные злоумышленнику, без API-учетных данных. Исследователи обнаружили, что Grok и Microsoft Copilot соответствуют этим условиям.
  2. AML.TA0003 Подготовка ресурсов

    AML.T0008.002 Домены

    Исследователи зарегистрировали домен и развернули HTTPS-сайт, который выполнял роль конечной точки ретрансляции.
  3. AML.TA0003 Подготовка ресурсов

    AML.T0079 Размещение средств атаки

    Исследователи разместили внешне безобидное содержимое, одновременно возвращая данные, которые имплант мог интерпретировать как C2-инструкции.
  4. AML.TA0000 Доступ к ИИ-модели

    AML.T0047 Продукт или сервис с поддержкой ИИ

    Предполагая наличие предварительного доступа, исследователи использовали собственный имплант на C++ со встроенным браузером или компонентом WebView для взаимодействия с Grok или Microsoft Copilot через публичный веб-интерфейс, а не через API-ключ.
  5. AML.TA0003 Подготовка ресурсов

    AML.T0065 Создание промптов для LLM

    Исследователи составили промпты, предписывающие ИИ-сервису получить и кратко изложить содержимое веб-сайта. Эти промпты приводили к включению данных жертвы в параметры URL, что позволяло запросу ИИ-сервиса на получение веб-ресурса передавать данные на подконтрольный злоумышленнику сервер.
  6. AML.TA0007 Уклонение от защиты

    AML.T0068 Обфускация промпта LLM

    Когда некоторые промпты блокировались защитными механизмами модели, исследователи кодировали или шифровали данные полезной нагрузки в высокоэнтропийные блоки, чтобы снизить вероятность распознавания содержимого как вредоносного.
  7. AML.TA0009 Сбор материалов

    AML.T0037 Данные из локальной системы

    Имплант собирал базовую информацию о хосте из локальной системы. Исследователи отметили, что это можно расширить до сбора таких сведений, как имя пользователя, домен, имя компьютера, установленное ПО, запущенные процессы и программы автозагрузки.
  8. AML.TA0014 Командование и управление

    AML.T0114 Веб-интерфейс ИИ-сервиса

    Имплант инициировал анонимную веб-сессию с публичным ИИ-сервисом и отправлял подготовленный промпт. Так формировался канал командования и управления, в котором данные эксфильтрировались через запросы к домену, подконтрольному злоумышленнику, а команды передавались обратно через ответ.
  9. AML.TA0010 Эксфильтрация

    AML.T0086 Эксфильтрация через вызов инструмента ИИ-агента

    Собранная информация о хосте жертвы эксфильтрировалась, когда ИИ-сервис следовал инструкциям получить URL на подконтрольном злоумышленнику домене с данными, встроенными в параметр запроса.
  10. AML.TA0005 Выполнение

    AML.T0050 Интерпретатор команд и сценариев

    ИИ-сервис кратко излагал ответ подконтрольного злоумышленнику сайта, а имплант выполнял извлеченные команды. В демонстрационном примере команда запускала Calculator с помощью cmd.exe /c calc.exe; реальный имплант мог бы выполнять другие команды, загружать полезные нагрузки, переходить в режим ожидания или собирать дополнительные данные.

Источники

  1. AI in the Middle: Turning Web-Based AI Services into C2 Proxies & The Future Of AI Driven Attacks