Sophos beobachtet KI-gestützte Automatisierung für EDR-Umgehungstests

Zusammenfassung

Sophos X-Ops hat in dieser Woche eine Untersuchung zu einem nicht identifizierten Bedrohungsakteur veröffentlicht, der KI-Technologie einsetzt, um Techniken zur Umgehung von Endpoint Detection and Response zu entwickeln. Entdeckt wurde die Aktivität laut Sophos, nachdem ein auffälliger Endpunkt in der Mandantenumgebung eines Kunden Warnmeldungen für Schadprogramme ausgelöst hatte, die aus dem Pfad „C:\Users\User\Documents\test“ stammten. Mehrere Dateien in diesem Verzeichnis seien bösartig gewesen und hätten auf ein umfassenderes Angriffs-Framework hingedeutet, das auf das Vermeiden von Erkennung ausgelegt war. Nach Angaben von Sophos fanden die Analysten mehrere auf Russisch verfasste Python-Skripte, die zumindest teilweise mit KI erzeugt worden seien. Besonders hervor hebt das Unternehmen jedoch nicht die Nutzung großer Sprachmodelle an sich, sondern die Einbettung dieser Skripte in ein automatisiertes Active-Directory-Panel und ein Labor, das Malware fortlaufend gegen Sophos, CrowdStrike und Windows Defender testete. Das Framework diente laut Sophos dazu, unauffällige Aktivitäten nach einer Kompromittierung in Zielumgebungen vorzubereiten und stand im Zusammenhang mit bekannten Operationen zur Verbreitung von Ransomware und zum Diebstahl von Daten.

Im Zentrum der von Sophos beschriebenen Aktivität steht ein technisch organisierter Testprozess. Die Angreifer prüften Schadsoftware wiederholt gegen EDR-Werkzeuge, sammelten die Ergebnisse und ließen anschließend ein automatisiertes Active-Directory-Panel die nächste Aufgabe aus einer vordefinierten Liste auswählen. Danach wurden Aufträge an entfernte Agenten verteilt und nach Abschluss erneut bewertet. Sophos beschreibt das als strukturierten Entwicklungszyklus mit menschlicher Prüfung und Iteration.

Die Rolle der KI war dabei nach Einschätzung von Sophos zwar vorhanden, aber begrenzt. Die KI-gestützte Malware-Entwicklung habe vor allem Experimente unterstützt und Arbeitsabläufe koordiniert. Neuartig sei vor allem das Zusammenspiel aus automatisierten Agenten, Testlabor und wiederholter Auswertung gewesen: entwickeln, testen, analysieren, verfeinern.

Hinweise auf die Arbeitsweise fanden sich laut Sophos auch im Git-Repository des Angreifers. Dort entdeckten die Forscher Artefakte, die darauf hindeuten, dass der Akteur gezielt Herstelleranalysen auswertete, um mögliche Techniken zur Umgehung von Malware-Erkennung zu identifizieren. Den Agenten wurden demnach Aufgaben zugewiesen, um diese Informationen zu sichten, relevante Inhalte herauszuziehen, die erkannten Methoden MITRE-ATT&CK-Techniken zuzuordnen, die Laborumgebung vorzubereiten und anschließend Tests durchzuführen.

Die Testumgebung selbst bestand laut Sophos aus mehreren virtuellen Maschinen mit Windows Server 2022, die einen Red-Team-Prozess nachbildeten, einschließlich einer eigenen Steuerungsumgebung. Eine virtuelle Maschine testete Werkzeuge gegen den Sophos-Agenten, eine weitere gegen den CrowdStrike-Agenten, und eine dritte diente als Kontrollumgebung ohne installierten EDR-Agenten. Eine vierte virtuelle Maschine mit Ubuntu fungierte nach Angaben von Sophos als C2-Server für das Post-Exploitation-Framework Sliver.

Sophos identifizierte zudem mehrere von dem Bedrohungsakteur verwendete LLM-Werkzeuge. Genannt werden der KI-gestützte Programmeditor Cursor für die Malware-Entwicklung sowie Claude Opus als primäres Modell der eingesetzten KI-Agenten. Diese Agenten dienten laut Sophos insbesondere dazu, die Malware-Tests zu orchestrieren und zu automatisieren sowie weitere Funktionen der operativen Sicherheit zu unterstützen.

Der Blogbeitrag konzentriert sich zwar auf die ungewöhnliche Testumgebung, Sophos ordnet das Framework aber in einen größeren Zusammenhang ein. Es sei aufgebaut worden, um unauffällige Aktivitäten nach einer erfolgreichen Kompromittierung in Zielumgebungen zu erleichtern. Zudem stehe die Aktivität mit „bekannten Operationen zur Bereitstellung von Ransomware und zum Diebstahl von Daten“ in Verbindung.

Für die erste Entdeckung war nach Angaben von Sophos ein auffälliger Endpunkt in einer Kundenumgebung ausschlaggebend, der Alarme wegen Schadlasten aus dem Verzeichnis „C:\Users\User\Documents\test“ auslöste. Mehrere Dateien in diesem Ordner seien bösartig gewesen und hätten auf ein breiter angelegtes Framework zur Umgehung von Erkennung hingedeutet. Dark Reading bat Sophos um weitere Informationen.

Sophos beobachtet KI-gestützte Automatisierung für EDR-Umgehungstests

Ähnliche Artikel

Neueste Artikel