六月初,安全公司Huntress的研究人員從一次真實的入侵事件里,復原了一份不同尋常的PowerShell腳本。它的文件名平淡無奇,叫Untitled1.ps1,但它做的事情一點都不平淡——在幾分鐘之內,像開卷考試一樣,把企業活動目錄里的用戶、計算機、組、子網、信任關系全都翻了個遍,整整齊齊地導出成報告。
有意思的地方在于,這不是那種在黑客論壇上流傳多年的現成工具,而是攻擊者對著人工智能聊天機器人,用自然語言逐句磨出來的自定義代碼。安全圈給這種寫法起了個名,叫“氛圍編程”。編程的人不親自敲代碼,而是反復告訴AI自己想要什么功能,讓機器一直改,直到跑通為止。
![]()
這種做法正在把網絡犯罪的技術門檻踩得很低。以前要寫一個能繞過殺毒軟件的偵查腳本,多少得懂點PowerShell語法。現在,一個水平中等的攻擊者,也能在短時間內拿到完全定制的一次性工具,而傳統的靜態簽名檢測幾乎認不出這種從未見過的代碼長什么樣。
三十分鐘內的輕量級偵查行動
這次入侵的起點并不花哨。攻擊者用事先到手的有效賬號,通過遠程桌面連上了一臺加入了公司域的Windows服務器。登陸之后,操作節奏很快:先在C:\ProgramData下面擺好工具攤子,接著就扔出了那份Untitled1.ps1腳本,開始系統地梳理整個域環境。
大約半個小時后,攻擊者又陸續祭出兩個動作。先是運行了s5cmd.exe,這是亞馬遜S3存儲服務官方提供的合法命令行工具,實際上經常被人挪用來往外偷數據。緊接著又調起SharpShares.exe,專門掃描網絡里所有可訪問的文件共享,同時自動過濾掉那些管理用的默認共享。
整套行動流程緊湊、目標明確,沒有看到任何多余的花招。從登陸到完成環境掃描和數據打包,整個過程更像是把幾個已有的功能模塊快速串了起來,而不是小心翼翼地手動滲透。
AI留下的三個明顯指紋
Huntress的研究人員之所以能確定這是AI生成的代碼,靠的不是猜測,而是腳本文件里留下來的三處硬證據。這些痕跡就像是AI代寫時不經意留下的筆記,對于經驗豐富的分析師來說,幾乎等于自報家門。
第一個線索是腳本自己的命名風格。它的內部標題寫的是:“100%可用的AD信息收集腳本——完全修復版”。這個語氣像極了有人在跟聊天機器人來回調試了一下午,終于在某個版本跑通之后,給出的那個長舒一口氣的評價。一個正常寫代碼的人,不太會這樣給自己的工具起名。
第二個線索更加直白。腳本內部預留了一處回退邏輯,當其他方法都找不到域控制器的時候,會使用一個預設的備用地址。這個硬編碼進去的地址是“Server1.HR.local”,一看就是典型的測試環境占位符,攻擊者顯然沒有做任何修改就直接復制粘貼用了上去。
第三個特征藏在代碼的行為細節里。這份腳本為了定位域控制器,一口氣疊了五層回退機制:先查DNS,不行就調nltest,再不行上活動目錄模塊,接著查環境變量,最后才是那個硬編碼的備用地址。安全專家指出,這屬于典型的大語言模型生成代碼的特征——冗余的發現方法和過度使用彩色控制臺輸出,而人類作者通常會選一兩種最高效的手段而不是五連發。
還有一個額外的小尾巴:腳本在跑完之后,不但把天量信息分類導出了多個CSV文件,還自動生成了一份排版精美的HTML報告,最后再把整個輸出文件夾打成壓縮包。這種善后工作做得過于周到的傾向,也是AI寫代碼時常見的行為模式。
檢測思路從看文件轉向看行為
正是因為每一次“氛圍編程”產出的腳本在語法和代碼結構上幾乎不可能重復,那些依賴已知惡意文件指紋來抓壞蛋的殺毒軟件和端點檢測工具,碰到這種完全定制的腳本基本上都認不出來。攻擊者如果反復讓AI換著花樣重寫同一段功能的代碼,靜態匹配這條路就更難走了。
但這并不代表檢測就完全沒有辦法。Huntress這次能夠成功復原出攻擊的完整過程,靠的并不是在文件層面抓到惡意軟件,而是通過Windows操作系統的事件日志。具體來說,是PowerShell操作日志里編號為4104的事件,它會把實際執行的腳本塊內容記錄下來。研究人員正是從這些遙測數據里重建了Untitled1.ps1的全部代碼。
更深一層的邏輯在于,無論AI怎么幫攻擊者換皮改寫法,活動目錄偵查這個動作本身所依賴的那些底層系統調用和操作步驟,是沒法隱藏的。查詢域控制器、導出用戶列表、遍歷組關系,這些行為在操作系統層面留下的痕跡是固定的。因此,建立在行為遙測基礎上的安全信息與事件管理平臺,依然可以通過識別這些無法偽裝的操作模式來發現攻擊,而不是去比對文件本身長什么樣子。
這次事件折射出的趨勢其實并不復雜。人工智能并沒有發明出什么全新的攻擊套路,它真正在做的只有一件事:讓那些已知的攻擊手法執行起來更快、門檻更低、變種更多。當每個人都能隨時造出一把長得完全不同的撬鎖工具時,看鎖的質地和動靜,就比記住每一種工具的外形要重要得多。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.