СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
26 июня
#ИБ

Хакеры научили вредоносное ПО водить за нос ИИ-аналитиков через фальшивые системные ошибки

Хакеры научили вредоносное ПО водить за нос ИИ-аналитиков через фальшивые системные ошибки

изображение: grok

Под macOS обнаружен зловред Gaslight, который встраивает в свой бинарник 38 поддельных сообщений об ошибках, чтобы сбить с толку системы анализа на базе больших языковых моделей. Образец написан на Rust, специалисты SentinelOne связывают его с северокорейской группировкой. Атака рассчитана не на песочницы, а напрямую на восприятие ИИ-агентов, изучающих подозрительные файлы.

38 фальшивых строк размером около 3,5 КБ имитируют системные журналы, отладочные дампы, отчёты разработчиков и служебные уведомления. Вставки оформлены через Markdown-разметку, шаблонные переменные и форматирование, характерное для технической документации. При поверхностном просмотре такие строки выглядят как настоящая диагностика, хотя ни одна из них не имеет отношения к реальной работе зловреда.

В Gaslight зашиты типичные функции бэкдора, удалённое управление заражённой машиной и кража данных. Сам по себе функционал вторичен, главная особенность образца в том, как именно он маскируется от автоматизированных систем разбора. Авторы выбрали путь, который выходит за рамки привычных способов уклонения от антивирусов или средств динамического анализа.

Интересно, что атака бьёт не по технической части анализа, а по логике рассуждений ИИ-агента, который читает содержимое файла как обычный текст.

Среди встроенных подделок встречаются вымышленные дампы памяти, ошибки подключения к Redis, уведомления об истечении срока действия токенов, сообщения о сбоях сборки ПО, предупреждения об SQL-инъекциях и десятки других технических событий. Все они подобраны так, чтобы вызвать у автоматизированного разборщика ощущение, что среда анализа сломана или повреждена.

Современные платформы безопасности всё шире применяют LLM-агентов для разбора подозрительных бинарников, поиска вредоносных функций и ускоренной обратной разработки. Именно под такие инструменты, как полагают в SentinelOne, и проектировался новый механизм. Когда модель видит большой блок строк, похожих на ошибки рабочей среды, она способна интерпретировать его как сбой собственной сессии.

Что должна сделать модель по замыслу авторов:

  • усомниться в корректности текущей сессии анализа;
  • решить, что данные образца повреждены или нечитаемы;
  • свернуть глубину разбора до поверхностного отчёта;
  • пропустить опасные участки кода как нерелевантные;
  • в крайнем случае полностью прекратить исследование файла.

По сути это атака через внедрение подсказок, только инструкции прячутся не в пользовательском запросе, а внутри самого зловреда. Злоумышленники заранее закладывают текст, рассчитывая, что автоматизированная система прочитает его во время обработки и примет на веру. От классической prompt-injection через чат-интерфейс этот метод отличается тем, что жертвой становится не человек, а агент, исследующий бинарник.

Стоит обратить внимание, что подобный приём не требует от атакующих доступа к самой ИИ-платформе, достаточно правильно подготовить файл-приманку.

Поток ложной диагностики в Gaslight охватывает несколько типичных сценариев отказа инфраструктуры:

  • сообщения о завершении срока действия аутентификационных токенов;
  • предупреждения о нехватке оперативной памяти и переполнении дисков;
  • цепочки внутренних исключений и стек-трейсов;
  • сигналы о якобы обнаруженных проблемах статического разбора;
  • уведомления о потерянном соединении с внутренними сервисами.

Объёма таких вставок, по расчётам авторов зловреда, достаточно, чтобы LLM-агент сделал вывод о невозможности продолжать корректную работу. На практике это означает либо сокращение разбора до формального заключения, либо полный отказ от выдачи вердикта по образцу.

В SentinelOne уточнили, что пока подтверждённых случаев успешного обхода реальных коммерческих ИИ-платформ нет. Однако сам факт появления такого инструмента эксперты компании назвали показательным, оценив угрозу с высокой степенью уверенности. В аналитическом отчёте подчёркивается, что мы видим первый публичный пример зловреда, целенаправленно работающего против ИИ-разборщика.

10 лет назад атакующие подстраивались под антивирусные сигнатуры, 5 лет назад приоритетом стали обход EDR и песочницы, сейчас в этот список добавились интеллектуальные платформы автоматического анализа. Сдвиг показывает, что обороняющиеся индустриально внедрили LLM-разборщики достаточно широко, раз нападающие тратят ресурсы на специализированные обходы.

Дополнительный риск связан с тем, что многие SOC-команды используют ИИ-агентов как первый фильтр для поступающих образцов. Если такой фильтр обманут грамотно собранным набором фейковых ошибок, реальная вредоносная нагрузка может быть помечена как нерелевантная и не попасть к живому аналитику. Дальнейшее расследование в этом случае не начнётся, а заражение продолжит развиваться.

Что меняется для отрасли в практическом плане:

  • ИИ-разборщики нуждаются в специальных средствах защиты от prompt-инъекций внутри файлов;
  • доверие к выводам LLM-агента должно сопровождаться независимой верификацией;
  • статический и динамический разбор сохраняют значение даже при наличии ИИ-конвейера;
  • появление подозрительно крупных текстовых блоков внутри бинарника становится самостоятельным индикатором;
  • атрибуция образцов под государственные группировки повышает приоритет реагирования.

Эксперты SentinelOne связывают Gaslight с активностью, предположительно проводимой в интересах Северной Кореи. Этот вектор продолжает линию атак на разработчиков, криптокомпании и поставщиков ПО, характерную для северокорейских операторов последних лет. Использование Rust под macOS вписывается в наблюдаемое расширение арсенала группировки за пределы привычной Windows-экосистемы.

Ранее мы писали о том, что специалисты XM Cyber обнаружили способ отключения корпоративных средств защиты на компьютерах Mac без получения прав администратора. Исследователи показали, что через обычную пользовательскую учётную запись можно удалить агенты решений CrowdStrike Falcon и Kandji, используя особенности механизма XPC в macOS. Подробности атаки и разработанный инструмент XPC Hunter команда планировала представить на конференции Black Hat Arsenal. Эксперты также отмечали, что проблема имеет практическое значение и для российских компаний, поскольку использование компьютеров Mac в корпоративной среде продолжает расти.

Эксперты редакции CISOCLUB отмечают, что появление Gaslight знаменует начало нового класса угроз, рассчитанных конкретно на ИИ-конвейеры безопасности. Внедрение LLM-агентов в SOC и продуктовые линейки антивирусных вендоров шло слишком быстро, и теперь индустрии придётся догонять собственные технологии в части их защищённости. Любой ИИ-разборщик, работающий с произвольным содержимым файла, должен рассматриваться как потенциальная цель prompt-инъекции и проектироваться с учётом этой модели угроз. В ближайшие месяцы можно ожидать появления как минимум десятка похожих образцов под разные платформы, причём не все они будут связаны с государственными акторами. Командам безопасности уже сейчас стоит пересмотреть свои процедуры триажа и не доверять единственному ИИ-вердикту по подозрительному файлу.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: