利用人工智慧破解 XLoader:生成模型如何加速惡意軟體分析

2025 November 04

主要亮點

  • XLoader 8.0惡意軟體是目前最狡猾、最持久的資訊竊取程式之一,它利用多層加密、虛假域名和不斷更新來逃避檢測。
  • Check Point Research 利用人工智慧輔助的惡意軟體分析,以前所未有的速度了解惡意軟體,將原本需要數天的手動逆向工程縮短到幾個小時。
  • 生成式人工智慧可自動識別加密層、解密函數,並揭示隱藏的命令與控制 (C2) 域。
  • 結果:更快的 IoC 提取速度、更好的威脅情報以及對全球用戶的更佳保護。
挑戰:分析師的惡夢

XLoader自2020年以來一直在不斷發展,是FormBook惡意軟體家族的繼任者。它專門竊取訊息,將程式碼隱藏在多層加密之後,並不斷變異以逃避防毒工具和沙箱的偵測。

傳統的惡意軟體分析速度慢且需要人工操作—需要專家手動解壓縮二進位檔案、追蹤函數並編寫解密腳本。即使採用沙箱技術(在受控環境中運行惡意軟體)也收效甚微,因為 XLoader 僅在運行時才會解密自身,並且能夠檢測到何時被監控,從而隱藏其真實程式碼。

這使得 XLoader 成為現代惡意軟體的典型例子,它利用時間、複雜性和混淆作為武器。

閱讀Check Point Research的完整報告

轉折點:人工智慧輔助逆向工程

Check Point Research 轉向人工智慧驅動的惡意軟體分析,以加快分析速度並自動化。我們使用 ChatGPT(GPT-5)將兩個互補的工作流程結合在一起:

  1. 基於雲端的靜態分析:從IDA Pro導出資料(反組譯、反編譯函數和字串),並讓AI在雲端進行分析。該模型識別出了加密演算法、資料結構,甚至產生了用於解密程式碼片段的Python腳本。
  2. MCP 輔助運行時分析:將 AI 連接到即時偵錯器,以提取運行時值,例如加密金鑰、解密緩衝區和記憶體中的 C2 資料。

這種混合人工智慧工作流程將繁瑣的手動逆向工程變成了一個半自動化的過程,速度更快、可重複,並且易於在團隊之間共享。

人工智慧發現了什麼

運用新的工作流程,我們取得了實質成果:

  • 解密的核心代碼:人工智慧產生的腳本解鎖了 100 多個先前加密的功能。
  • 揭示加密層:使用改進的 RC4 演算法和 XOR 標記識別出三種複雜的解密方案。
  • 揭開隱藏 API 的面紗:自動反混淆隱藏在自訂雜湊背後的 Windows API 呼叫。
  • 已恢復 64 個隱藏的 C2 域:解密多層 Base64 和 RC4 編碼,暴露真正的攻擊者基礎設施。
  • 發現了一種新的沙箱規避方法:發現了一種“安全性調用跳板”,它會在執行期間暫時加密惡意軟體的部分內容,以避免被監控。

簡而言之,人工智慧幫助我們揭示了 XLoader 如何隱藏、溝通和保護自身,這些關鍵資訊對於改善偵測和防禦至關重要。這些發現直接增強了我們的威脅情報來源,讓 Check Point 的防護措施能夠更快、更準確地更新。

為什麼人工智慧會改變網路安全格局

人工智慧並不會取代惡意軟體分析師,而是會大大增強他們的工作能力。

  • 速度:以前需要幾天才能完成的任務,現在不到一小時就能完成。
  • 可復現性:任何擁有匯出資料集的人都可以重新執行 AI 工作流程並驗證結果。
  • 洞察:自動化使分析師能夠專注於高層次的行為—惡意軟體如何傳播、竊取和演變。
  • 防禦:更快地提取入侵指標(IoC) 可以縮短威脅發現和保護部署之間的時間。

生成式人工智慧現在已成為事件回應、逆向工程和威脅狩獵的強大工具。

大局

惡意軟體作者可能會適應人工智慧驅動的分析,但防禦優勢很明顯:人工智慧使防禦者能夠近乎即時地應對像 XLoader 這樣的複雜加密威脅。

在 Check Point Research,我們不斷改進這些工作流程,將 AI 自動化、腳本編寫和運行時驗證相結合,以擴展惡意軟體分析和威脅偵測。

保障和承保

Check Point Threat Emulation和Harmony Endpoint全面涵蓋了攻擊策略、檔案類型和作業系統,並能抵禦本報告中所描述的攻擊和威脅。

閱讀Check Point Research的完整報告

文章來源/Check Point Blog Check Point Blog

返回