Такие ИИ-ассистенты, как Grok и Microsoft Copilot, обладающие возможностями просмотра веб-страниц и получения данных по URL, могут быть использованы для посредничества в операциях управления и контроля (C2).
Исследователи из компании в области кибербезопасности Check Point обнаружили, что злоумышленники могут использовать ИИ-сервисы для ретрансляции связи между C2-сервером и целевой машиной.
Атакующие могут использовать этот механизм для доставки команд и извлечения украденных данных из систем жертв.
Исследователи создали proof-of-concept, чтобы продемонстрировать, как это работает, и сообщили о своих выводах Microsoft и xAI.
ИИ как скрытый ретранслятор
Вместо того чтобы вредоносное ПО напрямую подключалось к C2-серверу, размещенному в инфраструктуре атакующего, идея Check Point заключалась в том, чтобы оно взаимодействовало с веб-интерфейсом ИИ, давая указание агенту получить URL, контролируемый атакующим, и получить ответ в выводе ИИ.
В сценарии Check Point вредоносное ПО взаимодействует с ИИ-сервисом, используя компонент WebView2 в Windows 11. Исследователи говорят, что даже если компонент отсутствует в целевой системе, злоумышленник может доставить его, встроив в вредоносное ПО.
WebView2 используется разработчиками для отображения веб-контента в интерфейсе нативных настольных приложений, устраняя необходимость в полнофункциональном браузере.
Исследователи создали «программу на C++, которая открывает WebView, указывающий либо на Grok, либо на Copilot». Таким образом, атакующий может передавать ассистенту инструкции, которые могут включать команды для выполнения или извлечения информации с скомпрометированной машины.
Веб-страница отвечает встроенными инструкциями, которые атакующий может изменять по своему усмотрению, и которые ИИ извлекает или суммирует в ответ на запрос вредоносного ПО.
Вредоносное ПО анализирует ответ ИИ-ассистента в чате и извлекает инструкции.
Это создает двунаправленный канал связи через ИИ-сервис, которому доверяют инструменты интернет-безопасности и который, таким образом, может помочь осуществлять обмен данными, не будучи помеченным или заблокированным.
PoC Check Point, протестированный на Grok и Microsoft Copilot, не требует учетной записи или API-ключей для ИИ-сервисов, что делает проблемы с отслеживаемостью и блокировкой первичной инфраструктуры менее значительными.
«Обычный недостаток для атакующих [при злоупотреблении легитимными сервисами для C2] заключается в том, как легко эти каналы могут быть закрыты: заблокировать учетную запись, отозвать API-ключ, приостановить действие клиента», — объясняет Check Point.
«Прямое взаимодействие с ИИ-агентом через веб-страницу меняет ситуацию. Нет API-ключа для отзыва, и если разрешено анонимное использование, то может даже не быть учетной записи для блокировки».
Исследователи объясняют, что существуют меры безопасности для блокировки явно вредоносных обменов данными на указанных ИИ-платформах, но эти проверки безопасности легко обойти, зашифровав данные в блоки с высокой энтропией.
CheckPoint утверждает, что ИИ в качестве C2-прокси — лишь один из множества вариантов злоупотребления ИИ-сервисами, которые могут включать операционное обоснование, такое как оценка того, стоит ли целевая система эксплуатации, и как действовать, не вызывая тревоги.
BleepingComputer связался с Microsoft, чтобы узнать, можно ли все еще использовать Copilot тем способом, который продемонстрировал Check Point, и какие меры безопасности могут предотвратить подобные атаки. Ответ не был получен немедленно, но мы обновим статью, как только получим его.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
