Haziran 2026 başında gerçekleşen bir siber saldırıda, saldırganların yapay zeka tarafından oluşturulduğu tahmin edilen bir PowerShell betiği kullanarak Active Directory (AD) ortamını ayrıntılı şekilde haritaladığı ortaya çıktı. Tehdit aktörü, önceden ele geçirilmiş kimlik bilgileriyle RDP üzerinden alan bağlantılı bir Windows sunucusuna erişim sağladıktan sonra, “C:\ProgramData\” klasöründe keşif araçlarını konuşlandırdı.
Saldırı Zinciri ve Teknik Ayrıntılar
Özel olarak hazırlanmış betik, alan denetleyicisini (Domain Controller) bulmak için çok aşamalı, yedekli yöntemler içeriyor. Ayrıca kullanıcılar, bilgisayarlar ve organizasyon birimleri gibi AD bileşenlerini sistematik şekilde topluyor. Sonuçları “AD_Report.html” adlı bir dosyada özetleyerek keşif operasyonunun başarısını ölçüyor. Konsol çıktısı renklerle zenginleştirilmiş ve betikte birçok yapay zeka izine rastlandı; örneğin, değişken isimleri ve yorumlar, dil modeliyle etkileşim izlenimi veriyor.
Yaklaşık yarım saat sonra, saldırgan s5cmd isimli toplu dosya işlemleri için kullanılan bir aracı ve C# tabanlı SharpShares ağ paylaşım keşif aracını devreye alarak kullanıcıların erişebileceği veri depolarını aradı. Ardından, topladığı verileri CSV formatında dışa aktardı, arşivledi ve uzak bir sunucuya aktardı.
Yapay Zeka ve Saldırı Hızı
Bu örnek, saldırganların yapay zekayı savunma ekiplerinin yetişemeyeceği hızda ve ölçekte operasyonlar düzenlemek için kullanmaya başladığını gösteriyor. Yapılan analizler, saldırının temelinde bilindik bulut güvenliği açıkları ve kimlik bilgisi hırsızlığı olduğunu ortaya koyuyor. Fakat yapay zekanın, saldırı araçlarının karmaşıklığını artırmak ve hızlı keşif yapmak için kullanılması, saldırıların kapsamını genişletiyor.
Bir bulut ortamında gerçekleşen başka bir saldırı örneğinde ise, tehdit aktörünün AWS kaynaklarına erişim sağladıktan sonra, farklı zafiyetleri zincirleyerek erişimi sürekli kıldığı ve veri hırsızlığı yaptığı belirlendi. Burada da yeni teknikler değil, bilinen saldırı yöntemleri hız kazandı.
Kurumsal Ortamlara Etkileri ve Önlemler
Günümüz siber saldırılarında yapay zeka destekli araçlar, özellikle keşif ve veri toplama aşamalarında ön plana çıkıyor. Bu durum, güvenlik ekiplerinin olay müdahale sürecinde daha hızlı ve gerçek zamanlı analizler yapmasını zorunlu kılıyor. RDP erişimi, kimlik bilgisi koruması, ağ segmentasyonu ve güçlü IAM politikaları kritik önemde. Ayrıca, PowerShell gibi yönetim betiklerinin kullanımını izlemek ve anormal aktiviteleri tespit etmek için EDR çözümleri devreye alınmalı.
Bu saldırıların karmaşıklığı, yapay zekanın sadece teknik değil, stratejik bir araç olarak kullanıldığını gösteriyor. Siber güvenlik profesyonellerinin, yapay zeka tabanlı tehditleri anlamak ve önlemek için sürekli güncellenen tehdit istihbaratları ve otomatik analiz sistemlerine yatırım yapması gerekiyor.
Teknik Özet
- Yapay zeka destekli PowerShell scripti, çok aşamalı Domain Controller keşfi ve AD bileşenlerinin toplanması
- RDP erişimi kullanılarak alan bağlantılı Windows Server’a sızma
s5cmdveSharpSharesaraçlarıyla ağ paylaşım ve dosya keşfi- Verilerin CSV dosyalarına dönüştürülmesi, arşivlenmesi ve uzak sunucuya sızdırılması
- Benzer tekniklerin AWS bulut ortamında da hız ve ölçek avantajıyla kullanılması
Güvenlik Ekiplerine Tavsiyeler
- RDP erişimlerini sıkı şekilde denetleyin ve çok faktörlü kimlik doğrulama zorunlu kılın.
- PowerShell ve diğer yönetim betiklerinin kullanımını EDR ile izleyin, anormal davranışları alarm haline getirin.
- Active Directory ortamlarında düzenli yetki ve erişim denetimi yapın, gereksiz izinleri kaldırın.
- Ağ segmentasyonu uygulayarak kritik kaynaklara doğrudan erişimi sınırlandırın.
- Bulut ortamlarında IAM politikalarını en az ayrıcalık prensibine uygun güncelleyin.
- Olay müdahale süreçlerinizi yapay zeka destekli tehditlere göre optimize edin.
