Attacker Uses Suspected AI-Generated PowerShell Script to Map Active Directory

1 minute de lecture

Mis à jour :

Incursion via PowerShell généré par IA : L’automatisation au service de l’Active Directory

Des chercheurs en cybersécurité ont identifié une intrusion où un attaquant a utilisé un script PowerShell généré par une intelligence artificielle pour effectuer une reconnaissance agressive de l’Active Directory (AD). Cet incident souligne la démocratisation des outils sophistiqués grâce à l’IA, permettant à des acteurs moins expérimentés d’exécuter des campagnes rapides et destructrices.

Points clés :

  • Mode opératoire : L’attaquant a accédé à un serveur Windows via RDP avec des identifiants compromis, puis a déployé un script « bruyant » et sur-conçu pour cartographier les utilisateurs, ordinateurs et groupes du domaine.
  • Usage de l’IA : Le script présentait des marqueurs typiques d’une génération par modèle de langage (LLM) : noms de prompts intégrés, commentaires redondants, gestion d’erreurs en cascade et interface console colorée.
  • Outils additionnels : Utilisation de logiciels légitimes comme s5cmd pour la manipulation de fichiers et SharpShares pour la découverte de partages réseau.
  • Rapidité d’exécution : L’IA agit comme un multiplicateur de force, réduisant drastiquement le temps nécessaire pour passer de l’accès initial à l’exfiltration massive de données.

Vulnérabilités :

  • L’attaque repose sur des techniques classiques (compromission d’identifiants, mauvaise gestion des accès RDP) plutôt que sur des vulnérabilités de type Zero-Day.
  • Absence de détection sur les comportements anormaux d’énumération AD.
  • Défaillances dans la sécurisation des services exposés sur Internet (pour les environnements cloud mentionnés).

Recommandations :

  • Durcissement des accès : Appliquer strictement le principe du moindre privilège et renforcer l’authentification (MFA) sur tous les accès distants (RDP, services cloud).
  • Surveillance comportementale : Mettre en place des solutions EDR/XDR capables de détecter des requêtes massives ou inhabituelles vers l’Active Directory, même si elles utilisent des outils légitimes.
  • Gestion des logs : Surveiller étroitement les répertoires temporaires tels que C:\ProgramData\, souvent utilisés pour le staging des outils malveillants.
  • Culture de sécurité : Anticiper des attaques menées à haute vitesse en automatisant la réponse aux incidents, car les assaillants utilisant l’IA peuvent enchaîner les compromissions plus rapidement que les interventions manuelles.

Source