Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Omijanie systemów EDR staje się coraz bardziej zautomatyzowanym elementem działań po przełamaniu zabezpieczeń. Najnowsze obserwacje pokazują, że przestępcy wykorzystują narzędzia wspierane przez sztuczną inteligencję do przyspieszenia procesu budowania, testowania i udoskonalania złośliwego oprogramowania pod kątem wykrywalności przez rozwiązania endpoint security.
To istotna zmiana, ponieważ EDR należy dziś do najważniejszych warstw obrony przed ransomware, kradzieżą danych i aktywnością post-exploitation. Gdy atakujący są w stanie szybciej sprawdzać, które techniki są wykrywane, a które nie, rośnie skuteczność całego łańcucha ataku.
W skrócie
Badacze zaobserwowali środowisko testowe, w którym operatorzy automatyzowali sprawdzanie, czy ich narzędzia i ładunki są wykrywane przez różne rozwiązania EDR. W praktyce oznaczało to wykorzystanie skryptów w Pythonie, komponentów powiązanych z Active Directory oraz odrębnych maszyn wirtualnych przeznaczonych do testów przeciwko popularnym produktom ochrony stacji roboczych.
Sztuczna inteligencja nie zastępowała całkowicie człowieka, ale wyraźnie przyspieszała analizę wyników, koordynację zadań i iteracyjne dopracowywanie technik unikania detekcji. To sygnał, że zaplecze techniczne grup przestępczych coraz bardziej przypomina wewnętrzne laboratoria red teamów lub zespołów badawczo-rozwojowych.
Kontekst / historia
Grupy cyberprzestępcze od dawna rozwijają własne metody obchodzenia antywirusów, sandboxów i narzędzi telemetrycznych. Zmieniło się jednak tempo tych działań. W przeszłości wiele obejść powstawało ręcznie: operator przygotowywał próbkę, uruchamiał ją w laboratorium, analizował alerty, a następnie modyfikował kod i testował go ponownie.
Obecnie ten sam proces może być wspierany przez modele językowe i zautomatyzowane workflow. W analizowanym przypadku aktywność została wykryta po zarejestrowaniu nietypowego endpointu w środowisku ofiary. Dalsza analiza ujawniła obecność wielu złośliwych plików oraz szerszego frameworka służącego do ukrytych działań po kompromitacji.
Istotne jest również to, że badacze powiązali tę aktywność z operacjami obejmującymi wdrażanie ransomware i kradzież danych. Nie chodzi więc o eksperyment laboratoryjny bez praktycznego zastosowania, ale o realne przygotowanie do kampanii wymierzonych w organizacje.
Analiza techniczna
Najważniejszym elementem był uporządkowany cykl inżynieryjny przypominający pipeline testowy. Atakujący korzystali z zestawu skryptów w Pythonie, częściowo wygenerowanych lub rozwijanych przy wsparciu AI, a także zautomatyzowanego panelu operującego na środowisku Active Directory. Mechanizm wybierał zadania z wcześniej zdefiniowanej listy, przekazywał je zdalnym agentom, zbierał wyniki i inicjował kolejne iteracje.
Taki model działania można opisać jako sekwencję: zbuduj próbkę, uruchom ją w laboratorium, sprawdź detekcję, przeanalizuj telemetrię, zmodyfikuj artefakty i przetestuj wszystko ponownie. Przewaga nie wynika wyłącznie z samego użycia AI, ale z połączenia AI z dobrze zorganizowanym procesem walidacji technik evasive.
Środowisko testowe obejmowało kilka maszyn wirtualnych z Windows Server 2022, przygotowanych do emulacji różnych scenariuszy. Oddzielne hosty służyły do testów przeciwko konkretnym agentom EDR, a jedna maszyna pełniła rolę środowiska kontrolnego bez aktywnej ochrony. Dodatkowo wykorzystywano serwer C2 oparty na frameworku post-exploitation.
Taka segmentacja pozwalała porównywać zachowanie tego samego malware w różnych warunkach i precyzyjnie określać, które modyfikacje wpływają na skuteczność unikania detekcji. W artefaktach repozytorium operatora znaleziono również ślady analizy materiałów publikowanych przez dostawców bezpieczeństwa. To sugeruje, że atakujący nie działali metodą prób i błędów, lecz aktywnie studiowali techniki obronne, mapowali je do MITRE ATT&CK i budowali scenariusze testowe odpowiadające realnym środowiskom.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem jest skrócenie czasu potrzebnego do dopracowania złośliwych narzędzi. Jeśli testy omijania EDR są częściowo zautomatyzowane, operatorzy mogą szybciej eliminować błędy, redukować liczbę alertów i lepiej dostosowywać próbki do środowiska konkretnej ofiary. W praktyce zwiększa to prawdopodobieństwo skutecznych działań po uzyskaniu początkowego dostępu.
Drugim problemem jest obniżenie kosztu operacyjnego po stronie przestępców. Manualne testowanie wymagało czasu, kompetencji i infrastruktury. Automatyzacja workflow sprawia, że procedury wcześniej zarezerwowane dla dojrzałych grup mogą stać się dostępne także dla podmiotów o średnim poziomie zaawansowania.
Trzecie ryzyko dotyczy wzrostu skuteczności operacji ransomware i kradzieży danych. Jeżeli malware przechodzi wcześniej wielokrotne testy w laboratorium odwzorowującym środowiska produkcyjne, maleje szansa wykrycia go na etapie przygotowania ładunku, ruchu bocznego czy użycia narzędzi post-exploitation. Dla zespołów SOC oznacza to krótsze okno reakcji i większą wagę pozornie niejednoznacznych sygnałów.
Rekomendacje
Organizacje nie powinny zakładać, że sam agent EDR wystarczy jako pojedyncza warstwa ochrony. Potrzebna jest obrona wielowarstwowa obejmująca segmentację sieci, kontrolę uprawnień, monitoring Active Directory, ograniczanie ruchu lateralnego oraz konsekwentne egzekwowanie zasady najmniejszych uprawnień.
Kluczowe pozostaje szybkie łatanie systemów, zwłaszcza infrastruktury tożsamości, serwerów zarządzających i stacji roboczych z podwyższonymi uprawnieniami. Równie istotne jest wdrożenie MFA oraz nowoczesnych metod uwierzytelniania, które utrudniają przejście od początkowej kompromitacji do trwałego dostępu operacyjnego.
Z perspektywy detekcji warto rozbudować monitoring o następujące obszary:
- anomalie związane z rejestracją nowych endpointów i agentów,
- uruchamianie nietypowych skryptów w Pythonie oraz interpreterów na hostach administracyjnych,
- tworzenie i modyfikację artefaktów w katalogach testowych i tymczasowych,
- zachowania wskazujące na przygotowywanie środowisk laboratoryjnych lub niestandardowych repozytoriów narzędzi,
- aktywność charakterystyczną dla frameworków C2 i narzędzi post-exploitation.
Zespoły blue team powinny również regularnie testować własne pokrycie detekcyjne w modelu adversary emulation. Skoro przeciwnik iteracyjnie sprawdza skuteczność obejść, obrońca musi równie systematycznie walidować reguły detekcyjne, polityki blokowania i jakość telemetrii. W praktyce oznacza to częstsze ćwiczenia purple teaming, mapowanie do MITRE ATT&CK oraz weryfikację, czy alerty dotyczą nie tylko gotowych rodzin malware, ale również konkretnych zachowań.
Podsumowanie
Rosnące wykorzystanie AI do automatyzacji testów omijania EDR pokazuje, że sztuczna inteligencja staje się akceleratorem procesów ofensywnych. Najważniejsza zmiana nie polega na powstaniu całkowicie autonomicznego malware, lecz na przyspieszeniu iteracyjnego cyklu inżynieryjnego: analiza, test, poprawka i ponowny test.
Dla organizacji to wyraźny sygnał, że bezpieczeństwo nie może opierać się wyłącznie na pojedynczym produkcie. Coraz większe znaczenie mają odporność operacyjna, głęboka telemetria, walidacja detekcji i regularne ćwiczenie scenariuszy post-exploitation. Fundamenty bezpieczeństwa pozostają ważne, ale muszą być wspierane przez dojrzały monitoring i ciągłe doskonalenie zdolności obronnych.
Źródła
- Dark Reading – Attackers Use AI to Automate EDR Evasion Testing – https://www.darkreading.com/endpoint-security/attackers-automate-edr-evasion-testing