攻撃者がAIツールキットを利用し、EDR回避を自動化

脅威アクターがAIで構築されたPythonスクリプトを利用し、エンドポイント検出および対応（EDR）ソリューションのテストと回避を自動化している。

この変化は、マルウェア開発手法における重大なエスカレーションを意味する。セキュリティソフトウェアを回避するための試行錯誤のプロセスを自動化することで、攻撃者はより効果的なランサムウェアキャンペーンを展開し、より迅速にネットワークへ侵入することが可能になる。

このツールキットは、Active Directoryの探索と、セキュリティエージェントに対するマルウェアのテストの自動化に焦点を当てている。報告によると、これらのスクリプトは3つのEDRエージェント ^[1]、具体的にはSophos、CrowdStrike、およびWindows Defenderのソリューションを標的にしてマルウェアのテストに使用された。

これらのAI生成ツールにより、攻撃者はどのコード修正を行えば、特定のセキュリティ製品に検知されずにペイロードを維持できるかを特定できる。回避方法が特定されると、攻撃者はアラートを発生させることなく、修正済みのマルウェアを標的環境に展開することが可能となる。

Active Directoryの探索も、このツールキットの主要な機能の一つである。このプロセスを自動化することで、脅威アクターは企業の内部ネットワークをより効率的にマッピングし、データ抽出や暗号化の標的となる価値の高いターゲットを特定できる。

このような文脈でのAI利用は、高度なセキュリティリサーチに必要だった手作業を削減させる。攻撃者はもはや、スクリプトのあらゆる反復バージョンを手動で記述しテストする必要はなく、防御をすり抜けるために必要なコードの生成をAIに依存できるのである。