- Check Point GenAI를 사용한 회피 XLoader 인포스틸러의 반자동 리버스 엔지니어링
- AI 복호화 코드, 노출된 API, 64개의 숨겨진 C2 도메인 및 샌드박스 회피 기법 노출
- XLoader는 Formbook에서 파생되었습니다. AI는 분석 속도를 높이지만 인간 악성 코드 분석가를 대체하지는 않습니다.
Check Point Research의 사이버 보안 연구자들이 GenAI(생성 인공 지능)에 감사할 수 있는 악성 코드군이 존재했습니다.
새로운 블로그 게시물에서 연구원들은 악성 코드 분석이 “바이너리 압축 풀기, 기능 추적 및 암호 해독 스크립트 생성”을 요구하는 느린 수동 프로세스인 방법을 설명합니다. 5년 동안 존재해 온 악명 높은 인포스틸러인 XLoader를 분석하는 것은 샌드박스가 불가능하기 때문에 훨씬 더 어렵습니다.
이때 Check Point는 AI에 도움을 요청합니다. 연구원들은 ChatGPT를 사용하여 클라우드 기반 정적 분석과 MCP 지원 런타임 분석이라는 두 가지 보완적인 워크플로를 결합했습니다. 첫 번째는 IDA Pro에서 데이터를 내보내고 AI가 클라우드에서 이를 분석할 수 있도록 합니다. 연구원들은 “이 모델은 암호화 알고리즘, 인식된 데이터 구조, 심지어 코드 섹션을 해독하기 위한 Python 스크립트까지 생성했습니다.”라고 설명했습니다.
XLoader 포장 풀기
두 번째는 AI를 라이브 디버거에 연결해 암호화 키, 복호화된 버퍼, 메모리 내 C2 데이터 등 런타임 값을 추출한다. “이 하이브리드 AI 워크플로는 지루한 수동 리버스 엔지니어링을 빠르고 반복 가능하며 팀 간에 쉽게 공유할 수 있는 반자동 프로세스로 전환합니다.”
체크포인트는 결과에 영향을 받았습니다. 그들은 핵심 코드를 해독하고, 암호화 레이어를 노출하고, 숨겨진 API를 해제하고, 숨겨진 C2 도메인 64개를 복구하고, “Secure-Call Trampoline”이라는 새로운 샌드박스 회피 메커니즘을 발견했다고 주장합니다.
간단히 말해서, AI는 XLoader가 감염 퇴치에 중요한 정보를 숨기고, 전달하고, 방어하는 방법을 밝히는 데 도움이 되었습니다. 그럼에도 불구하고 Check Point는 훌륭한 작업에도 불구하고 AI가 “맬웨어 분석가를 대체하는 것이 아니라” 속도, 재현성, 통찰력 및 방어 기능을 “강화”한다고 강조했습니다.
XLoader의 첫 번째 기록은 Check Point Research가 MacOS 사용자의 데이터를 훔쳐 야생에서 발견한 2021년으로 거슬러 올라갑니다. 이는 당시 5년 넘게 활동했던 악명 높은 FormBook 악성 코드에서 발전한 것입니다. FormBook은 처음에는 간단한 키로거로 만들어졌지만 업그레이드되어 XLoader로 브랜드가 변경되었습니다. Formbook은 처음에 Windows 사용자를 대상으로 사용되었습니다.
모든 예산에 맞는 최고의 바이러스 백신
Google 뉴스에서 TechRadar 팔로우 그리고 우리를 선호 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰, 의견을 받아보세요. 팔로우 버튼을 꼭 눌러주시는 것 잊지 마세요!
그리고 물론 당신은 할 수 있습니다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 언박싱, 동영상 등의 형태로 정기적인 업데이트를 받아보세요. 왓츠앱 매우
