C
月内に
Huntress社は、攻撃者がAIを利用して作成したカスタムPowerShellスクリプトによるActive Directory (AD) の偵察活動を確認しま…
📌 一言でいうと
Huntress社は、攻撃者がAIを利用して作成したカスタムPowerShellスクリプトによるActive Directory (AD) の偵察活動を確認しました。このスクリプトは既存のツールキットではなく、AIへのプロンプトを通じて作成された可能性が高く、AD環境の情報を積極的に収集する設計となっていました。攻撃者はAIを用いることで、検知を回避しつつ個別の環境に合わせたカスタムツールを迅速に構築できることを示しています。
🔍該当判定
- Windows Serverを社内で運用している
- Active Directory(ユーザーやPCの一元管理機能)を利用している
- WindowsのPowerShell(コマンド操作ツール)を有効にしたまま利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
PowerShellスクリプトブロックロギング(イベントID 4104)を有効にし、不審なAD列挙コマンドの実行を監視することを推奨します。