XLoader, известный как одно из самых сложных семейств вредоносного ПО, продолжает эволюционировать с момента своего появления в 2020 году. Этот информационно-ворующий загрузчик, который стал переименованной версией FormBook, представляет собой серьезную проблему для специалистов по кибербезопасности. Его код расшифровывается только во время выполнения и защищен несколькими слоями шифрования, каждый из которых использует разные ключи, скрытые в бинарном коде. Даже автоматизированные инструменты анализа в песочнице сталкиваются с трудностями из-за агрессивных методов уклонения XLoader, которые блокируют выполнение вредоносного кода при обнаружении виртуальных сред.
Исследователи компании Check Point нашли прорывной подход к анализу XLoader, используя генеративный искусственный интеллект. Последняя версия XLoader 8.0 представила значительные препятствия с индивидуальными схемами шифрования, запутанными вызовами API и обширными методами уклонения от анализа. Авторы вредоносного ПО регулярно выпускают новые версии, меняя внутренние механизмы и добавляя методы противодействия анализу, что делает предыдущие исследования быстро устаревшими.
Исследование продемонстрировало, как ChatGPT ускорил статический реверс-инжиниринг с нескольких дней до нескольких часов. Экспортируя содержимое базы данных IDA Pro и анализируя его с помощью облачного ИИ, исследователи смогли провести глубокий анализ без необходимости поддерживать активные сессии дизассемблера. Интеграция языковой модели с окружением реверс-инжиниринга через MCP позволила избавиться от зависимости от тяжелых локальных инструментов, делая результаты более воспроизводимыми и удобными для обмена.
XLoader версии 8.0 реализует сложные механизмы защиты через встроенный шифратор, который оборачивает основной payload в два раунда шифрования RC4. Первый слой применяет расшифровку RC4 ко всему буферу, за которым следует второй проход, обрабатывающий 256-байтовые блоки с использованием другого ключа. Каждый раунд шифрования требует специфических ключей, полученных через сложные алгоритмы, разбросанные по нескольким функциям. Аналитики Check Point отметили, что основной payload проходит через эту схему двойного шифрования, при этом ключи Stage-1 и Stage-2 рассчитываются через отдельные процессы.
Благодаря анализу с помощью искусственного интеллекта и валидации в режиме реального времени, ключи Stage-1 и Stage-2 были успешно извлечены. Полный процесс распаковки, который традиционно занимал дни ручного реверс-инжиниринга, был сокращен до примерно 40 минут, что предоставляет защитникам более свежие индикаторы компрометации.