XLoader, siber güvenlik araştırmacılarının karşılaştığı en zorlu kötü amaçlı yazılım ailelerinden biri olmaya devam ediyor.
Bu gelişmiş bilgi çalma yükleyicisi, 2020 yılında FormBook’un yeniden markalanması olarak ortaya çıktı ve giderek daha karmaşık bir tehdide dönüştü.
Kötü amaçlı yazılımın kodu yalnızca çalışma zamanında şifresini çözer ve her biri ikili dosyada gizlenmiş farklı anahtarlarla kilitlenen birden fazla şifreleme katmanının arkasında korumalı olarak durur.
Otomatik sanal alan analiz araçları bile, sanal ortamlar tespit edildiğinde kötü amaçlı yürütmeyi engelleyen XLoader’ın agresif kaçınma tekniklerine karşı mücadele ediyor.
Check Point araştırmacıları, üretken yapay zekadan yararlanarak XLoader’ı analiz etmek için çığır açan bir yaklaşım belirledi.
En son XLoader sürüm 8.0 örneği, özelleştirilmiş şifreleme şemaları, gizlenmiş API çağrıları ve kapsamlı sanal alandan kaçınma teknikleriyle önemli engeller ortaya çıkardı.
Kötü amaçlı yazılım yazarları düzenli olarak yeni sürümler yayınlıyor, dahili mekanizmaları değiştiriyor ve önceki araştırmaları hızla güncelliğini yitiren analiz karşıtı yöntemler ekliyor.
Araştırma, ChatGPT’nin statik tersine mühendisliği günlerden saatlere nasıl hızlandırdığını gösterdi.
Araştırmacılar, IDA Pro veritabanı içeriklerini dışa aktararak ve bunları bulut tabanlı yapay zeka aracılığıyla analiz ederek, derin analizin, canlı disassembler oturumları sürdürülmeden ilerleyebileceğini gösterdi.
.webp)
Bu yaklaşım, sonuçların tekrarlanabilir olmasını ve paylaşılmasını kolaylaştırırken, ağır yerel araçlara olan bağımlılığı da ortadan kaldırdı.
XLoader’ın Dahili Korumasının Şifresini Çözme
XLoader sürüm 8.0, ana yükü iki tur RC4 şifrelemeyle saran yerleşik bir şifreleyici aracılığıyla gelişmiş koruma mekanizmaları uygular.
İlk katman, arabelleğin tamamına RC4 şifre çözme uygular, ardından farklı bir anahtar kullanarak 256 baytlık parçaları işleyen ikinci bir geçiş gelir.
Her şifreleme turu, birden fazla işleve dağılmış karmaşık algoritmalar yoluyla elde edilen belirli anahtarlar gerektirir.
Check Point analistleri, ana yükün, Aşama-1 ve Aşama-2 anahtarlarının ayrı türetme süreçleriyle hesaplandığı bu çift katmanlı şifreleme şemasından geçtiğini belirtti.
Aşama 1 anahtarı (20EBC3439E2A201E6FC943EE95DACC6250A8A647) ve Aşama 2 anahtarı (86908CFE6813CB2E532949B6F4D7C6E6B00362EE), çalışma zamanı hata ayıklama doğrulamasıyla birleştirilmiş yapay zeka destekli analiz yoluyla başarıyla çıkarıldı.
Geleneksel olarak günlerce manuel tersine mühendislik gerektiren paketten çıkarma işleminin tamamı yaklaşık 40 dakikaya sıkıştırıldı ve bu da savunuculara daha yeni uzlaşma göstergeleri sağladı.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
