Outflank, titiz kalite standartlarını korurken araştırma ve geliştirme iş akışlarını hızlandırmak için büyük dil modellerinin (LLMS) entegrasyonuna öncülük ediyor.
Bu yaklaşım, ekiplerin karmaşık operasyonlar için kaçınma yetenekleri sağlayan Outflank Güvenlik Takımları (OST) Suite için rafine ve test tekniklerine odaklanmalarını sağlar.
Yakın tarihli bir vaka çalışması, AI destekli keşif, 2025’in başlarında James Forshaw tarafından detaylandırılan “tuzağa düşmüş com nesnesi” hata sınıfında nasıl ortaya çıkarılmış uygulanabilir alternatifleri göstererek örneklendiriyor.
AI entegrasyonu ile araştırmayı hızlandırmak
Forshaw’ın analizi, IBM X-Force Red’in daha sonra filessiz yanal hareket için silahlandırıldığı tuzağa düşmüş bileşen nesne modeli (COM) örneklerini içeren bir Windows güvenlik açığını vurguladı.
Konsept kanıtı (POC), DCOM üzerinden WaasremediationAgent sınıfı aracılığıyla montaj yüklemesi için .NET yansımasını etkinleştirerek STDFont COM kaydını System.Object’e işaret etmek için ele geçirmeye dayanıyordu.
Bununla birlikte, bu yöntem, .NET çalışma zamanı enjeksiyonunu engelleyen WaasMedicsVC hizmetindeki korumalı işlem ışığı (PPL) korumaları nedeniyle Windows 11’de fastes.
Bunu, hata sınıfının kendisinden ziyade belirli COM sınıfının bir sınırlaması olarak kabul eden Outflank’ın araştırmacıları, DCOM’u destekleyen ve kod yürütme ilkellerini ortaya çıkaran ve keşif sürecini kolaylaştırmak için LLMS’den yararlanan PPL olmayan alternatifler aradılar.
Outflank’ın metodolojisi, Argusee gibi çok ajan mimarilerinden esinlenen, birleşik bir koşum takımı içinde numaralandırma ve doğrulama aşamalarını düzenleyen özel bir çerçeve kullanır.
Numaralandırma sırasında, özel bir C# aracı, kayıtlı COM sınıfları için Windows kayıt defterini tarar, CLSID’ler, progitler, sunucu yolları, DCOM etkinleştirme, IDISPATCH desteği dahil arayüz ayrıntıları ve referanslı tür kitaplıkları gibi meta verileri yakalar.
Bu, Forshaw’ın sıkışmış nesneler aracılığıyla .NET montaj yürütme tekniğinde kullanılan stdole türü kitaplığını referans alanlar gibi umut verici adaylar için filtrelenmiş JSON çıkışları verir.
Otomatik filtreleme, STDFont’u ele almak için System.oNject.Anject.Anje ve çağırma gibi potansiyel vektörleri tanımlar.
Bu hibrit model, kötü amaçlı yazılım geliştirme için uzmanlaşmış modellerin karmaşıklıklarından kaçınarak etkilidir.
Hızlı mühendislik yoluyla sömürü
Outflank, Lateral Hareket POC’leri için fonksiyonel C/C ++ COM istemci kodu oluşturmak için GPT-4.1’i kullandı.
Tuzaklanmış nesne vektörü (örneğin IDypeInfo navigasyonuna IDISpatch, Kütüphane Çözünürlüğü ve .NET yansıması), algılama işlemini etkinleştirme gibi kayıt defteri önkoşulları ve ayrıntılı COM sınıf metadatları hakkında ilkel bilgiler sağladı.
For instance, targeting the FileSystemImage class (CLSID {2C941FC5-975B-59BE-A960-9A2A262853A5}) with its IFileSystemImage interface and stdole references, the LLM produced code mirroring Forshaw’s ForsHops example, instantiating remote objects, hijacking StdFont, creating trapped System.Object instances, and Yükleme .NET Montajları.
Rapora göre, kamuya açık ve paylaşılan bu AI tarafından üretilen kod, Windows 11’de uzak dosyalara yazarak yanal hareketi etkinleştirdi, ancak müşteri uygulamalarından sonra üretim araçları için incelikten ayrılmaya neden oldu.
Sonuçlar, PPL kısıtlamalarını atlayan çoklu sıkışmış COM nesnelerini ortaya çıkardı, uzlaşma göstergeleri (IOC’ler) kayıt defteri değişiklikleri ve DCOM etkileşimleri de dahil olmak üzere orijinal POC’ye yakından hizalandı.
Beton örnekleri istemlere dahil ederek, açık uçlu araştırma uyarlanabilir şablonlar gerektirse de, varyant keşfi için Outflank Geliştirilmiş LLM güvenilirliği.
Bu yapay zeka odaklı ivme sadece OST’nin kaçamaklı araçlarını genişletmekle kalmaz, aynı zamanda LLMS’nin saldırgan Ar-Ge’deki rolünü vurgular ve bu da gelişen pencereler arasında sertleştirme tekniklerine daha derinlemesine odaklanır.
OST’nin yetenekleriyle ilgilenen kuruluşlar, bu tür yenilikleri güvenlik operasyonlarına entegre etmek için uzman gösterilerini keşfedebilir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!