游乐游手机版
首页/AI热点日报/热点详情

攻击者利用疑似AI生成的PowerShell脚本映射Active Directory

类型:热点整理2026-07-15
攻击者利用泄露凭据通过RDP登录WindowsServer,部署疑似AI生成的PowerShell脚本枚举ActiveDirectory,在72小时内完成云入侵。该脚本采用级联回退机制,收集AD数据后打包外泄。AI降低了攻击门槛,但未引入新技术,仅加速了攻击进程。

FreeBuf 2026-07-14 18:00 上海

攻击者在72小时内完成云入侵,AI已成为网络攻击的倍增器。

Part01

从RDP登录到AD数据打包外泄

网络安全研究人员近期标记了一起颇具代表性的入侵事件:一个未知威胁行为者利用一组泄露的凭据,通过RDP登录了一台加入域的Windows Server,随后在C:\ProgramData文件夹中部署了一整套工具。关键在于,其中包含一个疑似由AI生成的PowerShell脚本——用圈内术语来说,这属于vibe-coding——专门用于枚举Active Directory。

Huntress的研究人员Jevon Ang和Dray Agha分析指出:“该脚本会主动寻找域控制器,将用户、计算机和域全部映射出来,然后创建目录、导出多个文件,最后生成一份名为AD_Report.html的报告,用以验证枚举是否成功。”他们判断这是AI生成的主要依据包括:脚本中存在迭代提示的痕迹、占位符字符串、代码设计过度(用了好几种方法寻找域控制器),甚至在控制台输出中使用了青、绿、红、黄等颜色——典型的LLM美化习惯。

这个被描述为“高度激进”且“很吵闹”的脚本,采用了“五级级联回退机制”来执行侦察。它的标题“100% Working AD Information Gathering Script - FULLY FIXED”一看就是与大语言模型反复迭代后的产物。攻击者首先定位主域控制器,然后系统性地收集AD用户、计算机、组、组织单元和信任关系,全部存入一个暂存目录中。

大约30分钟后,攻击者开始部署s5cmd(一个合法的批量文件操作工具)和SharpShares(基于C#的网络共享枚举工具),寻找用户可访问的数据存储。最后阶段,数据被导出为CSV文件,打包并外泄到远程服务器。有趣的是,在完成外泄之前,他们还顺手生成了一个HTML文件——就像一份Active Directory资产报告——将数据窃取情况总结了出来。研究人员分析说:“这很可能是LLM‘好心’注入的结果,攻击者只是顺手接受了,并非有意写入。”

Part02

AI为攻击者带来了哪些助力?

这个案例再次印证了一个趋势:威胁行为者正在借助AI模型生成的恶意软件(vibe-coding)来扩充武器库。虽然这种滥用方式并非前所未有,但它确实大幅降低了网络犯罪的门槛——技术能力一般的攻击者,现在也能用最少精力开发出功能强大且具备规避能力的工具。

Huntress在报告中指出:“底层的攻击链实际上还是我们多年来见惯的‘打砸抢’战术,核心方法始终未变,但现在AI在关键环节上进行了赋能。这种混合打法优先追求攻击性和速度,而非隐蔽性,使威胁行为者能够以前所未有的节奏发起破坏力极强的攻击。”

Part03

AI作为战斗力倍增器

Sygnia上周发布的一份报告中披露了一个更震撼的案例:具备AI能力的攻击者并不一定需要新型恶意软件或零日漏洞,真正的变化在于——网络入侵可以比防御方更快、更大规模地协调发动,导致防守方难以遏制。

事件响应团队观察到一次AI辅助的云攻击:从初始访问到在一个大型AWS环境中实现广泛入侵,前后仅用了约72小时。评估认为,攻击者的最终目标是牟利,他们利用对受害者云基础设施的访问权限作为勒索筹码。Sygnia分析说:“威胁行为者反复利用新获取的凭据来重新启动发现、秘密收集、持久化和影响活动。整个攻击依赖的都是常见的云技术,并非新的恶意软件或零日漏洞。”

关键在于,攻击者并没有只盯着某一个配置错误,而是串联了多个环节的弱点:应用服务、AWS资源、源代码仓库、CI/CD工作流、运行时组件以及数据存储。他们同时快速执行凭据发现、秘密收集、云枚举、部署管道滥用、运行时修改、数据库访问和运营中断。每次获得新访问权后,攻击者都会重新枚举、收集更多秘密、通过创建访问密钥和IAM用户尝试持久化,并外泄数据。为了干扰判断,多个攻击者创建的工件还被伪装成渗透测试或红队演练。

为了进一步施压受害者,攻击者执行了一系列操作:拒绝访问S3存储桶、将ECS服务或容器的最大容量限制为零、创建ACL规则阻止网络访问、清空SQS队列。Sygnia总结道:“关键在于AI并未引入新的攻击技术——每个被观察到的行为都对应着长期存在的对手行为——但它大幅减少了在复杂环境中实施这些技术所需的时间和精力。威胁行为者反复将新获得的访问权转化为针对性行动。对于每个新访问密钥,攻击者似乎都能迅速判断出关联的权限、可访问的资源以及最有价值的下一步行动。”

参考来源:

Attacker Uses Suspected AI-Generated PowerShell Script to Map Active Directory
https://thehackernews.com/2026/07/attacker-uses-suspected-ai-generated.html

来源:https://www.bestblogs.dev/article/aa6dacd3ae?utm_source=rss&utm_medium=feed&utm_campaign=resources&entry=rss_article_item

相关热点

继续查看同栏目近期热点。

延伸阅读

补充最近整理过的热点入口。