Активное сканирование
Оригинал: Active Scanning
Злоумышленник может зондировать или сканировать систему жертвы, чтобы собрать информацию для выбора целей. Это отличается от других техник разведки, которые не предполагают прямого взаимодействия с системой жертвы.
Злоумышленники могут сканировать сеть потенциальной жертвы на наличие открытых портов, что может указывать на конкретные сервисы или инструменты, используемые жертвой. Это может включать сканирование инструментов, связанных с AI DevOps, или самих ИИ-сервисов, например публичных ИИ-чат-агентов (например, Copilot Studio Hunter). Они также могут отправлять письма на сервисные адреса организации и анализировать ответы на признаки того, что почтовым ящиком управляет ИИ-агент.
Информация, полученная с помощью активного сканирования, может выявить цели, которые создают возможности для других форм разведки, таких как поиск в открытых технических базах данных, поиск открытых материалов по анализу уязвимостей ИИ или сбор целей, индексируемых RAG.
Тактики
Примеры процедур из кейсов
Злоумышленники могут сканировать публичные IP-адреса, чтобы найти системы, на которых потенциально доступны панели управления Ray. По умолчанию панели Ray работают на всех сетевых интерфейсах, поэтому без дополнительных защитных механизмов они могут оказаться доступными из интернета.
AML.CS0037Эксфильтрация данных через инструменты ИИ-агента в Copilot StudioИсследователи ищут на сайте целевой организации адреса электронной почты службы поддержки, которые могут обслуживаться ИИ-агентом. Затем они проверяют систему: отправляют письма и ищут в автоматических ответах признаки работы ИИ-агента.