LLM против LLM: Битва за Windows на уровне AMSI
#llm #AMSI #Windows #red_team #blue_team

1. AI против AI: Защитник на базе LLM против атакующего агента
Исследователи из Dreadnode устроили дуэль: они создали защитника на базе LLM, который интегрируется в Windows через Anti-Malware Scan Interface (AMSI), и натравили на него автономного Red Team агента, также управляемого AI. Суть эксперимента — проверить, сможет ли семантическая защита, основанная на понимании намерений кода, противостоять атакующему, который динамически генерирует вредоносные скрипты. Это знаменует собой отход от эры статических, сигнатурных методов обнаружения, которые давно научились обходить, к новой парадигме, где защитник и атакующий соревнуются в семантическом пространстве.

2. Инструменты защиты: LLM-провайдер для AMSI
Antimalware Scan Interface (AMSI) — это стандартный интерфейс в Windows, который позволяет антивирусным продуктам проверять скрипты (PowerShell, VBScript и др.) перед их выполнением. Традиционно, AMSI-провайдеры используют сигнатурный анализ, то есть ищут в коде известные «плохие» строки.

Инновация Dreadnode заключается в замене этого подхода на LLM. Их AMSI-провайдер, написанный на Rust, перехватывает PowerShell-скрипт, отправляет его на анализ LLM (в исследовании использовался Claude Sonnet 4.0) и на основе вердикта модели («чистый», «подозрительный», «вредоносный») либо разрешает, либо блокирует его выполнение. Модель не просто ищет сигнатуры, а анализирует логику скрипта, выявляя паттерны, характерные для вредоносной активности (сетевые соединения, операции с файлами, попытки сбора учетных данных).

3. Инструмент атаки: Автономный Red Team Агент
Против этого AI-защитника был выставлен автономный Red Team агент, чья цель — эскалация привилегий в системе. В отличие от классических атак, где используются заранее заготовленные скрипты из PowerSploit, этот агент генерирует команды «на лету», пытаясь достичь своей цели. Его основная задача — не просто замаскировать код с помощью обфускации, а сформулировать команды таким образом, чтобы их намерение казалось легитимным для семантического анализатора LLM-защитника.

4. Поле боя: Результаты столкновения
В ходе эксперимента атакующий агент пытался выполнить серию команд для повышения привилегий. LLM-защитник, в свою очередь, анализировал каждый скрипт. Противостояние показало, что, хотя LLM-защитник значительно эффективнее сигнатурных методов, атакующий AI все же способен находить обходные пути. Он генерировал скрипты, которые, будучи семантически неоднозначными или использующими менее известные, но легитимные функции PowerShell, могли быть классифицированы как «подозрительные» или даже «чистые», но при этом являлись частью многоэтапной атаки. Это демонстрирует, что даже продвинутая семантическая защита требует тщательной настройки human-in-the-loop.

5. Существенные результаты: Уникальный датасет для обучения
Главным результатом этого противостояния стал уникальный, высококачественный датасет. В отличие от датасетов, собранных с GitHub, которые содержат лишь «строительные блоки» атак, этот датасет включает в себя реальные, контекстно-зависимые команды и скрипты, сгенерированные в ходе реального противостояния. Это «ground-truth» данные о том, как атакующий AI пытается обойти защитного AI. Такой датасет бесценен для обучения следующего поколения защитных моделей, так как он отражает реальную тактику и динамику атаки.

6. Ключевые выводы:
Семантическая защита — новый стандарт: Сигнатурный анализ окончательно уступает место семантическому. Будущие EDR и антивирусные решения будут все больше полагаться на LLM для понимания намерений кода.
AI-атаки становятся умнее: Атакующие также будут использовать AI для создания все более изощренных и контекстно-зависимых атак, которые трудно обнаружить.
Качество данных решает все: Победа в этой гонке вооружений будет за тем, у кого есть лучшие датасеты для обучения. Противоборствующие AI-системы, подобные описанной, становятся основным источником таких данных.

🔗Статья

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

PromptPwnd: Как AI-агенты взламывают CI/CD пайплайны
#appsec #llm #prompt #ai #agent #cicd #pipeline #devsecops

Исследователи из Aikido Security продемонстрировали новый класс атак PromptPwnd, который использует уязвимости prompt injection в AI-агентах, интегрированных в CI/CD. Это первая подтвержденная демонстрация компрометации CI/CD в реальных условиях через AI, уже затронувшая как минимум пять компаний из списка Fortune 500.

➡️Механика атаки: Просто, но эффективно

Атака эксплуатирует предсказуемый рабочий процесс: недоверенные данные, такие как заголовки issue или описания pull request, напрямую вставляются в промпт, который обрабатывает AI-агент. Манипулируя этим текстом, злоумышленник может заставить агента выполнить несанкционированные действия. В PoC-атаке на Google Gemini CLI, вредоносные инструкции, спрятанные в issue, заставили агента слить секретные ключи (API keys, токены доступа) прямо в публичный тред.

➡️Три кита уязвимости

PromptPwnd становится возможным при совпадении трех фундаментальных недостатков безопасности:

1. Прямое внедрение недоверенных данных: Пользовательский контент без санации попадает в AI-промпты.
2. Слепое доверие к AI: Вывод AI-модели ошибочно считается доверенным и исполняется в CI/CD.
3. Избыточные привилегии: AI-агентам предоставляются высокопривилегированные токены и доступ к инструментам, включая выполнение shell-команд.

➡️Почему это критично?

• Supply Chain Risk: Атака компрометирует не просто отдельное приложение, а весь пайплайн разработки, открывая возможность для внедрения бэкдоров в код.
• Низкий порог входа: Не требуется сложных эксплойтов — достаточно грамотно составленного текста.
• Широкая поверхность атаки: Любой, кто может создать issue или pull request, потенциально может инициировать атаку.

➡️Как защититься?

Защита от PromptPwnd требует многоуровневого подхода, основанного на принципе Zero Trust по отношению к AI-агентам:

• Ограничивайте права: Предоставляйте агентам минимально необходимые привилегии. Отключайте выполнение shell-команд и модификацию репозиториев, если это не является абсолютно необходимым.
• Контролируйте триггеры: Ограничьте запуск AI-воркфлоу только для доверенных пользователей, избегая автоматического запуска от публичных issue.
• Валидируйте вводы и выводы: Тщательно очищайте все недоверенные данные перед передачей в AI и валидируйте вывод модели перед исполнением.
• Используйте короткоживущие токены: Минимизируйте риски утечки, используя токены с ограниченным сроком действия и узкой областью видимости.
• Внедряйте аудит и мониторинг: Регулярно проверяйте активность AI-агентов, их права и конфигурации.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Ловите вкусные баги прошедшей недели
#CVE #RCE #DoS #React # React2Shell #RSC #WISE #cpp #Mattermost

➡️React2Shell / React Server Components (RSC) (CVE-2025-55182, CVSS 10.0) — небезопасная десериализация данных, передаваемых через проприетарный протокол Flight, используемый для связи между клиентом и серверными компонентами. Злоумышленник может отправить специально сформированный HTTP-запрос, содержащий манипуляции с цепочкой прототипов или инструкции по внедрению вредоносных объектов. Сервер React, пытаясь собрать компонент из этих данных, выполняет произвольный JavaScript-код в контексте процесса Node.js. PoC + PoC.

➡️C++ библиотека cpp-httplib (CVE-2025-66570, CVSS 10.0) — логическая ошибка обработки дублирующихся HTTP-заголовков. Метод получения значения заголовка (get_header_value) возвращает первое найденное вхождение ключа без проверки приоритета источника. Это позволяет атакующему внедрить в запрос собственные заголовки, которые библиотека считает и обработает раньше, чем добавленные доверенным reverse-proxy.


➡️Advantech WISE-DeviceOn (CVE-2025-34256, CVSS 10.0) ­— захардкоженный ключ (статичный HS512 HMAC) для подписи JWT-токенов аутентификации в серверной части ПО Advantech WISE-DeviceOn. Поскольку ключ одинаков для всех инсталляций, атакующий может самостоятельно сгенерировать валидный токен с правами root superadmin зная лишь формат токена и email жертвы.

➡️Mattermost (CVE-2025-12419, CVSS 9.9) — некорректная валидация параметра state при завершении аутентификации через протокол OpenID Connect (OIDC/OAuth). Из-за ошибки в логике связывания токена и сессии атакующий с учеткой с правами на создание команд (Team Creation) или администратора может манипулировать процессом OAuth-входа. Это позволяет подменить идентификатор жертвы и перехватить ее аккаунт без знания пароля. Github Advisory

➡️XWiki Remote Macros (CVE-2025-65036, CVSS 8.3) ­— уязвимость в плагине, используемом для миграции контента из Atlassian Confluence и позволяющем отображать динамические макросы. Проблема заключается в отсутствии проверки прав доступа при обработке макросов на details pages. Атакующий с правами на редактирование любой страницы или создание контента может внедрить вредоносный Velocity-скрипт, который будет выполнен сервером.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

HTB Season Gacha | Gavel — Полный путь от SQLi до root
#htb #sqli #root #rce #lab

Машина Gavel оказалась весьма интересной и познавательной, но также она заставляет немного приложить усилий, терпения и логики. Не скажу, что у меня не было проблем с прохождением, но я думаю, что испытал внутреннее удовлетворение после прохождения, давайте приступим!

🔗Райтап

P.s. давно не было подобного контента. Интересно ли вам такое?

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

PWNAI: Артём Семёнов о том, почему AI — это не SkyNet, а уязвимая система
#подкаст #chatgpt #llm #claude #deepseek #qwen #mistral

В этом выпуске подкаста «Обсуждаем Похек» мы погружаемся в мир безопасности искусственного интеллекта вместе с Артёмом Семёновым, автором популярного телеграм-канала PWNAI @pwnai. Узнайте, как выглядит AI Security изнутри: от практического применения OWASP Top 10 для LLM до глубоких дискуссий о будущем AI и его социальных последствиях. Артём делится своим опытом в области MLSecOps, раскрывая реальные кейсы атак на нейросети через prompt injection и jailbreaking, и объясняет, почему бесконечное масштабирование вычислительных мощностей — это технологический тупик.

Разбираем практические аспекты безопасности AI: как проводить Red Teaming для нейросетевых моделей, какие уязвимости скрываются в архитектуре современных LLM, и почему «отравление» обучающих данных может стать главной угрозой. Обсуждаем, как меняется ландшафт киберугроз с развитием AI, какие навыки необходимы современному AI Security Engineer, и как противостоять новым видам атак. Особое внимание уделяется фреймворку OWASP, который становится стандартом для защиты AI-приложений, и философским вопросам о пределах развития искусственного интеллекта.

Этот выпуск будет полезен AI Security Engineers, AI/LLM Engineers, специалистам по Red Team и пентесту, а также исследователям безопасности, которые хотят понять, как защищать AI-системы от современных и будущих киберугроз и какие фундаментальные ограничения есть у технологии.

🔗Ссылки:
💬 Слушать в Telegram
📹 YouTube
📺 RuTube
💙 VK Видео
🎵 Apple Podcasts
🎵 Яндекс.Музыка
🔤 Mave

Обязательно смотрите/слушайте до конца!

P.s. натыкайте на этот пост много 😪, чтобы Артём высыпался перед подкастами)

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

SVG Filters / Clickjacking 2.0 — превращаем классический «слепой» кликджекинг в интерактивную real-time атаку
#SVG #Clickjacking #AppSec #pentest

Классический кликджекинг представляет собой простое наложение прозрачного iframe поверх интерактивного объекта. При этом из-за политики Same-Origin Policy атакующий не видит, что происходит внутри iframe.

SVG Clickjacking 2.0 обходит это ограничение через SVG-фильтры (feColorMatrix, feComposite, feDisplacementMap), которые использует для анализа пикселей целевого сайта. Техника позволяет строить сложные интерактивные сценарии, например, отображать фальшивую кнопку только после того, как в iframe загрузилась форма логина.

➡️Как проходит атака

SVG-фильтры комбинируются так, чтобы они работали как логические вентили (AND, OR, XOR). Это позволяет собирать простейшие сценарии прямо внутри графического пайплайна браузера без доступа к DOM или JS целевого origin.

Атакующий накладывает SVG-фильтры на iframe с целевым сайтом.
Фильтры настраиваются так, чтобы реагировать на конкретные паттерны пикселей (цвет, яркость, форма, положение UI-элементов).
В зависимости от содержания iframe (какое состояние UI сейчас на экране) SVG-фильтр может динамически подменять отображаемую пользователю картинку, показывать или скрывать элементы, смещать кликабельные области и синхронизировать их с реальным состоянием целевого сайта.

➡️Технические особенности

Фильтр настраивается как пороговый детектор с помощью feColorMatrix. Матрица преобразует целевой цвет в чистый белый (Alpha = 1), все остальные — в прозрачный (Alpha = 0). Это создает бинарную карту присутствия нужного UI‑элемента.​
Используя оператор dilate (через feMorphology с operator="dilate"), атакующий увеличивает область детектирования. Это сводит на нет защиту через anti‑clickjacking‑приемы или незначительные смещения верстки — фильтр среагирует, если искомый цвет появится где‑то в заданной области.
Примитив feComposite с операторами in, out, xor позволяет комбинировать результаты предыдущих шагов. Это дает условный рендеринг, когда оверлей атакующего становится видимым только тогда, когда пиксели в iframe соответствуют заданному паттерну.

➡️Защита

Единственным надежным методом защиты остается полный запрет на фрейминг на уровне HTTP-заголовков. JS-проверки (frame busting scripts) и визуальные искажения неэффективны против анализа на уровне композитора браузера.

Content-Security-Policy: frame-ancestors 'none'
X-Frame-Options: DENY / SAMEORIGIN.

🔗Подробности

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Stillepost: Проксирование C2-трафика через Chrome DevTools Protocol
#maldev #malware #C2 #evading #CDP #chrome #devtools

Исследователь x90x90.dev опубликовал PoC инструмента Stillepost, позволяющего скрытно проксировать HTTP-трафик C2 через легитимный браузер жертвы, используя Chrome DevTools Protocol (CDP).

Суть техники в том, что имплант делегирует сетевое взаимодействие установленному в системе браузеру (Chrome, Edge) вместо того, чтобы самому инициировать подозрительные соединения. Благодаря этому в рамках атаки сетевой трафик исходит от доверенного процесса chrome.exe или msedge.exe. В корпоративных средах этим процессам часто разрешен доступ в интернет через прокси и фаерволы, тогда как неизвестные бинарники блокируются.

Техника не требует внедрения кода в адресное пространство браузера или перехвата API. Это позволяет обходить методы детекции EDR, ориентированные на поиск следов инъекций или подозрительных потоков.​

➡️Как это работает

Имплант запускает браузер в headless-режиме с флагом --remote-debugging-port=0 (или заданным портом) и временным профилем пользователя.
Получает WebSocket URL отладчика через запрос к http://127.0.0.1:<port>/json/list и подключается к CDP.
Вместо использования домена Network, имеющего ограниченные возможности для произвольных запросов, Stillepost использует метод Runtime.evaluate.
В контекст браузера передается JavaScript-функция, которая выполняет XMLHttpRequest (XHR) к C2-серверу с заданными параметрами (метод, URL, заголовки, данные).
Результат выполнения JS (статус, заголовки ответа, тело) сериализуется в JSON и возвращается импланту через WebSocket-канал CDP.​

➡️Ограничения

Техника работает только если C2-сервер корректно настроен для обработки CORS (Cross-Origin Resource Sharing). Так как запросы выполняются из контекста браузера (обычно с about:blank или другой страницы), сервер должен возвращать заголовки Access-Control-Allow-Origin или конкретный origin, чтобы браузер разрешил чтение ответа.​

🔗Репозиторий: github.com
🔗Источник: x90x90.dev

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч