チェック・ポイント・リサーチ(CPR)は11月11日、情報窃取型マルウェア「XLoader 8.0」の解析レポートを発表した。その概要は以下のとおり。
CPRは、解析プロセスの迅速化と自動化を実現するため、AI駆動型のマルウェア分析技術を導入。ChatGPT(GPT-5)を用いて、以下の2つの相互補完的なワークフローを組み合わせた。
1.クラウドベースの静的解析:IDA Proからデータ(逆アセンブルのデータ、デコンパイルされた関数、および文字列)をエクスポートし、クラウド上でAIに分析させる。このAIモデルは暗号化アルゴリズムを特定し、データ構造を認識し、さらにはコードの特定のセクションを復号化するためのPythonスクリプトまで生成する。
2.MCPを活用したランタイム解析:AIをライブデバッガーに接続し、暗号化キー、復号後のバッファ、メモリ内のC2データなど、マルウェアの実行時の値を抽出する。
このハイブリッドAIワークフローによって、煩雑な手作業でのリバースエンジニアリングが、より高速で再現可能、かつチーム間で共有しやすい半自動プロセスへと変革を遂げた。
この新たなワークフローを活用し、以下の具体的な成果を達成した。
・コアコードの復号化:AI生成スクリプトによって、これまで暗号化されていた100以上の関数を解読
・暗号化レイヤーの解明:修正を加えたRC4アルゴリズムとXORマーカーを用いた、3種類の複雑な復号スキームを特定
・隠されたAPIの公開:カスタムハッシュ処理によって隠ぺいされたWindows API呼び出しを自動的に難読化解除
・64個の隠されたC2ドメインを復元:Base64およびRC4の多重エンコードを復号化し、攻撃者の実際のインフラを明らかに
・新たなサンドボックス回避手法を発見:実行時にマルウェアの一部を一時的に暗号化し、監視を回避する「セキュアコール トランポリン」を発見
これらは、AIがXLoaderの隠ぺい・通信・自己防御メカニズムの解明に貢献したことを意味し、検知と防御の強化に不可欠な知見をもたらした。AIは、マルウェアアナリストに取って代わるものではなく、むしろアナリストの能力を飛躍的に高める。
・スピード:かつて数日かかっていた作業が、今や1時間以内に完了できる。
・再現性:エクスポートされたデータセットがあれば、誰でもAIワークフローを再実行し、結果を検証できる。
・インサイト:自動化により、アナリストはマルウェアがどのように拡散し、情報を窃取し、進化するかという高度な挙動分析に集中できるようになる。
・防御:侵害の痕跡(IoC)の抽出が高速化され、脅威の発見から防御の展開までの時間を短縮できる
生成AIは現在、インシデント対応、リバースエンジニアリング、脅威ハンティングのための強力なツールとなっている。
関連リンク