AIを活用したマルウェア分析の革新！「XLoader 8.0」の解析結果

最近、チェック・ポイント・リサーチ（CPR）が発表した解析レポートでは、情報窃取型マルウェア「XLoader 8.0」の分析において、生成AIの導入によって従来の手法では考えられなかった迅速さと効果が実現されたことが明示されています。ここでは、その詳細を掘り下げます。

XLoader 8.0とは？

「XLoader 8.0」は、目前の情報窃取型マルウェアの中でも特に進化を遂げているタイプです。多層の暗号化に対応し、偽ドメインを大きく利用することで、セキュリティ製品の検出を回避し続けるのが特徴です。これに対抗するための手法として、CPRはAIを駆使し、マルウェアのリバースエンジニアリングプロセスを大幅に短縮しました。

従来の解析手法の課題

従来のマルウェアの解析は、専門的な知識と膨大な時間を必要としました。特に「XLoader」のような高度なマルウェアは、実行中に自己暗号化されるため、手作業による解析が極めて難航します。従来の方法では、数日を要していたプロセスが、生成AIを活用することで数時間内に完了するようになったのです。

AI駆動型解析の革新

CPRは、AIを活用した二つの主要なワークフローを構築しました。まずは、クラウドベースの静的解析を行い、IDA Proから得たデータをAIに分析させます。この過程で、AIは暗号化アルゴリズムやデータ構造を認識し、特定のコードセクションを復号化するためのスクリプトも生成します。さらに、MCPを用いたランタイム解析により、マルウェア実行時の挙動を解析し、暗号化キーやC2データをリアルタイムで抽出します。

具体的な成果と解析結果

この新たなワークフローにより得られた結果は、目覚ましいものです。これまで解析が難解とされていた100以上の関数がAIによって復号され、隠れたC2ドメインも明らかになりました。また、隠されたAPI呼び出しの解析も自動で行われ、かつてない監視回避手法が発見されました。これにより、迅速で的確な脅威の検出が実現し、サイバー攻撃の防御能力が大幅に向上したと言えます。