AI Asistanları ile Komut Kontrol (C2) Etkisi: Yeni Bir Güvenlik Tehditi
Son dönemde siber güvenlik alanında yaşanan gelişmeler, AI destekli asistanların kötü niyetli kullanım senaryolarını gündeme getirdi. CYK şirketi Check Point’in araştırmaları, Grok ve Microsoft Copilot gibi AI asistanların, saldırganlar tarafından komut ve kontrol (C2) faaliyetlerinin aracı olarak kullanılabileceğini göstermiştir.
Saldırı Nasıl Çalışıyor?
Check Point’in bulgularına göre, saldırganlar AI hizmetlerini kullanarak C2 sunucusu ile hedef sistem arasında iletişim sağlamakta. Saldırganlar bu mekanizmayı kullanarak:
- Komut gönderme
- Çalınan verileri geri alma
gibi işlemleri gerçekleştirebilmektedir.
Araştırmacılar, sürecin nasıl çalıştığına dair bir kanıt konsepti (PoC) oluşturmuş ve bulgularını Microsoft ve xAI ile paylaşmışlardır.
Etkilenen Sistemler
Saldırganlar, CVE kodları veya yazılım versiyonları yerine doğrudan AI servislerinin arayüzüne bağlanarak zafiyetleri istismar etmekte. Check Point’in önerdiği senaryoda, zararlı yazılım, Windows 11’deki WebView2 bileşenini kullanarak AI hizmetiyle iletişim kuruyor. Eğer hedef sistemde bu bileşen yoksa, saldırgan zararlı yazılımla birlikte bu bileşeni de teslim edebiliyor.
- WebView2: Geliştiricilerin yerel masaüstü uygulamalarının arayüzünde web içeriği gösteriminde kullandığı bir bileşendir.
Araştırmacılar, “Grok” veya “Copilot” gibi AI asistanlarına bağlanan bir C++ programı geliştirmişlerdir. Bu yöntemle, saldırgan asiste edilen yazılıma, komutlar veya ele geçirilen verilerin çıkarılması talimatları gönderebilmektedir.
Çözüm ve Korunma
Web sayfası, saldırganın isteğine göre değiştirilebilecek yerleştirilmiş talimatlar ile yanıt verir. AI, zararlı yazılımın sorgusuna karşılık olarak yanıtını verir ve bu yanıt, komutların çıkarılması için analiz edilir. Ancak bu süreç, güvenlik araçları tarafından genellikle güvenilir görülmektedir.
Check Point’in PoC’si, Grok ve Microsoft Copilot üzerinde test edilmiştir ve bu AI hizmetlerini kullanmak için hesap veya API anahtarı gerektirmemektedir. Bu durum, izlenebilirliği ve altyapısal engelleri azaltmakta.
- Tehlikeli Durum: Saldırganlar, meşru hizmetlerin istismarında sık sık hesap engeli veya API anahtarı iptali gibi sorunlarla karşılaşsalar da, AI aracılığıyla işlem yapmak, bu engelleri aşmalarına olanak tanımaktadır.
Saldırganlar, belirgin şekilde kötü niyetli olan değişimlerin bloke edilmesi için çeşitli önlemlerin olduğunu bilse de, bu güvenlik kontrollerinin kolayca aşılabileceği unutulmamalıdır.
Sonuç
AI hizmetlerinin C2 sunucusu olarak istismar edilmesi, mevcut güvenlik protokollerinin yanı sıra yeni yaklaşımların da acil olarak gelişmesini gerektirmektedir. Kullanıcıların, sistem güncellemelerini yapması, API kullanımlarını dikkatle incelemesi ve şüpheli aktiviteleri raporlaması son derece önemlidir.
- Aksiyon Önerileri:
- Tüm yazılımlarınızı güncel tutun.
- Ağınızdaki portları dikkatle yönetin ve gereksiz olanları kapatın.
- Güvenlik araçlarınızı güncel tutun ve şüpheli aktiviteleri izleyin.
Günümüz siber tehditleri karşısında dikkatli olmak, her zamankinden daha fazla önem kazanmaktadır.
