Инциденты

AD начали картировать скриптами от ИИ

Маша Даровская
By Маша Даровская , IT-редактор и автор
AD начали картировать скриптами от ИИ
Обложка © Anonhaven

Huntress описала инцидент, где атакующий использовал сгенерированный ИИ PowerShell-скрипт для разведки Active Directory. Злоумышленник быстро получил одноразовый инструмент под конкретную среду, запустил его после входа на сервер и собрал карту домена без привычных фреймворков вроде BloodHound, PowerSploit или Cobalt Strike.

CyberPress обратил внимание на отчет 9 июля. В материале говорится, что атака началась 3 июня: оператор зашел на присоединенный к домену Windows Server через RDP, вероятно, используя уже скомпрометированные учетные данные и доступ через VPN. Через несколько минут в C:\ProgramData был запущен файл Untitled1.ps1 — кастомный PowerShell-скрипт для сбора сведений об Active Directory.

Схема атаки: получить доступ, быстро осмотреть домен, найти полезные ресурсы, забрать данные. Новая часть — способ подготовки инструмента. Huntress считает скрипт результатом вайб кодинга, то есть разработки через подсказки ИИ на естественном языке. В таком режиме человек описывает, что хочет получить, а модель генерирует код, затем исправляет его по ошибкам и замечаниям.

Внутри атаки скрипт не выглядел как зрелый вредоносный фреймворк. Он был скорее чрезмерно подробным «помощником для оператора»: искал контроллер домена несколькими способами, собирал пользователей, компьютеры, группы, организационные подразделения, подсети и доверительные отношения, экспортировал данные в CSV, собирал HTML-отчет и упаковывал результаты. Huntress восстановила логику через события PowerShell Event ID 4104 из журнала PowerShell/Operational.

Через полчаса после разведки оператор перешел к «быстрому сбору добычи»: запустил s5cmd.exe, легитимный инструмент для работы с Amazon S3, который часто используют не по назначению для вывода данных. Затем запустил SharpShares.exe — известный инструмент для поиска доступных сетевых папок, чтобы найти больше файловых ресурсов за пределами стандартных административных шар.

Самая заметная деталь — название в коде: 100% Working AD Information Gathering Script – FULLY FIXED. Это похоже на результат итераций с ИИ-помощником: пользователь получает ошибку, возвращает ее модели, просит «исправить окончательно», а затем копирует новый вариант. Huntress также нашла в коде остаточный пример Server1.HR.local, который не был адаптирован под настоящую среду. Такой мусор часто остается, когда оператор переносит результат генерации почти без ревью.

Еще один маркер — избыточность. Скрипт использовал пятиступенчатую схему поиска контроллера домена: DNS, nltest, модуль Active Directory, переменные окружения и жестко заданный запасной вариант. Для опытного администратора или оператора это выглядит перегруженно. Для языковой модели это типично: она пытается сделать код «надежным», добавляет запасные ветки, цветной вывод, подробные сообщения в консоль и оформление результата, даже если атакующему нужен быстрый одноразовый сбор данных.

Весной McAfee Labs описывала кампанию, где атакующие использовали ИИ-подход для генерации вредоносных компонентов и распространения через фальшивые загрузки популярных инструментов. В январе 2026 года исследователи нашли 443 вредоносных ZIP-архива, которые маскировались под ИИ-генераторы изображений, голосовые утилиты, торговые инструменты, моды для игр, драйверы, VPN, эмуляторы и даже якобы «взломанные» утилиты.

Отдельное исследование по AI-generated PowerShell malware, опубликованное в июне 2026 года, тоже показывает, почему PowerShell стал удобной зоной риска. Авторы сравнивали реальные вредоносные PowerShell-сценарии и сгенерированные LLM варианты и зафиксировали высокое сходство по вызываемым вредоносным событиям: медианный коэффициент Жаккара составил 84,5%, а 48,4% образцов дали полное совпадение по набору событий.

Проще говоря, ИИ уже умеет писать скрипты, которые по поведению близки к реальному вредоносному PowerShell. 

Вам может понравиться: GoodPersonRAT спрятали в установщик VPN

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.