Serangan AI: Skrip PowerShell Diduga Buat Pemetaan Active Directory Otomatis
Peneliti keamanan siber baru-baru ini mengungkap sebuah serangan yang menggunakan skrip PowerShell diduga hasil buatan kecerdasan buatan (AI) untuk melakukan pemetaan Active Directory (AD) secara otomatis setelah penyerang mendapatkan akses Remote Desktop Protocol (RDP) ke server Windows dengan kredensial yang sudah dikompromikan.
Modus Serangan dengan Skrip PowerShell AI
Menurut penjelasan dari para peneliti Huntress, Jevon Ang dan Dray Agha, skrip tersebut dirancang untuk menemukan Domain Controller (DC) dan memetakan pengguna, komputer, serta domain. Proses ini juga mencakup pembuatan direktori khusus, mengekspor beberapa file, dan akhirnya membuat file AD_Report.html sebagai laporan hasil enumerasi Active Directory.
Serangan terjadi pada awal Juni 2026, saat penyerang berhasil masuk melalui RDP ke sebuah Windows Server yang tergabung dalam domain menggunakan kredensial yang sudah dicuri. Selanjutnya, mereka menempatkan alat-alat bantu di folder C:\ProgramData\ untuk menjalankan skrip tersebut.
Keunikan dari serangan ini adalah penggunaan payload yang diduga dibuat dengan bantuan model bahasa besar (Large Language Model/LLM). Indikasi ini terlihat dari nama iterasi prompt yang digunakan, string placeholder yang khas, kode yang terlalu rumit dengan berbagai metode untuk menemukan Domain Controller, serta tampilan output konsol yang dihias dengan warna-warna seperti cyan, hijau, merah, dan kuning.
Cara Kerja dan Tahapan Serangan
Huntress menyebut skrip ini sebagai "sangat agresif" dan "berisik", menggunakan mekanisme fallback berjenjang lima langkah untuk mendukung proses pengintaian dan pengumpulan informasi.
Judul skrip "100% Working AD Information Gathering Script - FULLY FIXED" menunjukkan adanya interaksi yang intens dengan model AI dalam proses pembuatannya.
Setelah menemukan Domain Controller utama, skrip mulai mengumpulkan data secara sistematis, termasuk pengguna AD, komputer, grup, unit organisasi (OU), dan kepercayaan domain, lalu menyimpan data tersebut dalam direktori khusus untuk tahap selanjutnya.
Setelah sekitar 30 menit, penyerang menggunakan s5cmd, alat resmi untuk operasi file massal, dan SharpShares, utilitas enumerasi jaringan berbasis C#, untuk mencari repositori data yang dapat diakses pengguna.
Pada tahap akhir, data disimpan dalam format CSV, diarsipkan, dan kemudian dieksfiltrasi ke server jauh. Sebelum pengiriman data, laporan dalam bentuk file HTML disiapkan sebagai ringkasan pencurian data dengan judul Active Directory Inventory Report.
"Kemungkinan ini adalah masukan 'bantuannya' dari LLM yang diikuti begitu saja oleh penyerang, bukan sesuatu yang sengaja ditulis dalam skrip," jelas para peneliti Huntress.
AI sebagai Pengganda Kekuatan Serangan Siber
Kasus ini semakin memperlihatkan bagaimana pelaku ancaman memanfaatkan malware yang dikodekan dengan dukungan AI, meskipun teknologi ini belum menciptakan metode serangan yang benar-benar baru. Namun, teknologi AI menurunkan batas kemampuan teknis yang dibutuhkan untuk membuat alat serangan canggih, sehingga memungkinkan pelaku dengan kemampuan terbatas untuk melakukan serangan yang efektif dan sulit dideteksi.
Menurut Huntress, "rangkaian serangan ini masih mengikuti pola klasik yang sudah lama dikenal, namun kini diperkuat dengan AI untuk mempercepat dan memperkuat serangan tersebut." Pendekatan hybrid ini menitikberatkan pada agresi dan kecepatan lebih daripada penyamaran, memungkinkan penyerang menjalankan kampanye berbahaya dengan sangat cepat.
Kasus Serupa di Lingkungan Cloud
Laporan dari perusahaan respons insiden Sygnia menambahkan konteks bahwa penyerang berbasis AI tidak selalu menggunakan malware baru atau zero-day, tetapi lebih pada kecepatan dan skala serangan yang jauh lebih besar dibandingkan kemampuan pertahanan tradisional.
Sygnia mengamati sebuah serangan berbasis cloud pada lingkungan Amazon Web Services (AWS) yang berlangsung selama 72 jam, di mana penyerang menggunakan akses yang diperoleh untuk melakukan pemerasan finansial. Penyerang berulang kali mengakses dan mengeksploitasi berbagai layanan AWS untuk pencurian kredensial, enumerasi sumber daya, dan gangguan operasional.
- Membatasi akses ke bucket Amazon S3
- Membatasi layanan ECS atau kontainer hingga kapasitas nol
- Membuat aturan kontrol akses jaringan (ACL) untuk memblokir akses
- Menghapus antrean SQS
Sygnia menekankan bahwa "signifikansi utama bukanlah teknik serangan baru, melainkan bagaimana AI mempercepat implementasi teknik tersebut di lingkungan yang kompleks."
Analisis Redaksi
Menurut pandangan redaksi, temuan ini menandai babak baru dalam evolusi serangan siber di mana AI berperan sebagai pengganda kemampuan pelaku kejahatan. Walau teknik inti tetap sama, bantuan AI memungkinkan penyerang menulis kode yang lebih kompleks, melakukan enumerasi jaringan dengan lebih efisien, dan mengeksekusi serangan dengan kecepatan yang sulit diimbangi oleh sistem pertahanan yang ada. Ini menjadi peringatan bagi organisasi untuk meningkatkan kesiapan keamanan dan pemantauan aktif di lingkungan IT mereka, terutama pada titik akses seperti RDP yang rentan.
Selain itu, penggunaan AI dalam pembuatan alat serangan akan menurunkan ambang masuk bagi pelaku kejahatan yang tidak terlalu ahli, sehingga potensi serangan besar-besaran bisa meningkat drastis. Organisasi harus mulai mengadopsi teknologi keamanan yang juga memanfaatkan AI untuk mendeteksi pola serangan yang canggih dan adaptif.
Ke depan, fokus pengamanan harus tidak hanya pada pencegahan akses tidak sah, tetapi juga pada deteksi cepat dan respons insiden yang mampu menghadapi serangan yang dilengkapi AI. Kolaborasi antar tim keamanan, pemanfaatan threat intelligence, dan pelatihan kesadaran keamanan menjadi hal yang semakin penting untuk memperkuat benteng pertahanan siber nasional dan dunia usaha.
Untuk informasi lebih mendalam tentang insiden ini, kunjungi sumber aslinya di The Hacker News.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0