Siber güvenlik araştırmacıları, yapay zekanın, karmaşık XLoader örneklerinin şifresini daha önce gerekenden çok daha kısa sürede çözerek, kötü amaçlı yazılım analizini nasıl önemli ölçüde hızlandırabildiğini başarılı bir şekilde gösterdi.
Bilgi çalma yeteneklerine sahip, geçmişi 2020’ye kadar uzanan gelişmiş bir kötü amaçlı yazılım yükleyicisi olan XLoader, uzun süredir analiz edilmesi en zorlu kötü amaçlı yazılım ailelerinden biri olarak kabul ediliyor.
Kötü amaçlı yazılım, birden çok özelleştirilmiş şifreleme katmanını, gizlenmiş API çağrılarını, süreç enjeksiyon tekniklerini ve otomatik çıkarma araçlarını sürekli olarak geride bırakan gelişmiş korumalı alandan kaçınma yöntemlerini birleştirir.
Çığır açan araştırma, üretken yapay zeka modellerinin, bir zamanlar güvenlik uzmanlarının haftalarca manuel tersine mühendislik gerektiren güvenlik katmanlarını atlayabildiğini ortaya koyuyor.paste.txt.
Son sürümlerle çalışan analistler, her aşamada ara anahtarları çıkararak düzinelerce zincirleme şifreleme işlevi arasında gezinmek zorunda kaldı; bu, her yeni değişken için haftalar sürebilecek bir süreç.paste.txt
Analiz, iki tamamlayıcı yaklaşım kullanarak bu engellerin üstesinden gelmek için ChatGPT’yi kullandı.
Asistan, hızlı önceliklendirme sırasında tüm API çağrılarının gizliliğini tam olarak kaldıramamış olsa da, bazı durumlarda çağrılan işlevi bağlamdan ve imzasından çıkarmıştır.
Oep_start adını verdiğimiz 0x00430CB3 (orijinal giriş noktası: OEP) adresinde manuel olarak bir fonksiyon oluşturduktan sonra, paketten çıkarılan örneği IDA’da açtık ve tekrar ihracat betiğini uyguladık.
Bunlardan ilki, Yapay Zeka modelinin Model Bağlam Protokolü (MCP) aracılığıyla doğrudan tersine mühendislik araçlarıyla entegre edilmesini içeriyordu; bu, IDA Pro, x64dbg ve sanallaştırma ortamlarıyla gerçek zamanlı etkileşime olanak sağlıyordu.
RC4 katmanları analistler için neden önemlidir?
İkinci yaklaşım, kapsamlı analiz verilerini IDA Pro’dan JSON formatına aktardı ve ChatGPT daha sonra bulut sanal alan ortamında bağımsız olarak işledi.paste.txt
Araştırmacılar, çalışma başladığında yakın zamanda ortaya çıkan XLoader 8.0 sürümüne odaklandılar. ChatGPT ile çevrimdışı veri hattını düşünme modunda kullanarak, yapay zekaya tam ayrıştırma verileri, kaynak koda dönüştürme çıktısı, ikili kod ve bilgilerin nasıl yorumlanacağını açıklayan dikkatle hazırlanmış istemler sağladılar.
Bu yaklaşım, kalıcı yerel araç bağlantılarına olan ihtiyacı ortadan kaldırırken meslektaşların kolayca doğrulayabileceği tekrarlanabilir analizlere olanak tanır.paste.txt
Bu atılım, RC4 şifreleme uygulamasını analiz ederken ortaya çıktı. ChatGPT, sekiz dakika kırk altı saniye içinde RC4 uygulamalarını belirledi ve örneği XLoader olarak doğru bir şekilde tanımladı.
Yapay zeka, ana veri yükünün iki tur RC4 şifre çözme işlemine tabi tutulduğunu keşfederek ilk önceliklendirmeyi başarıyla gerçekleştirdi; önce bir anahtar kullanarak tüm arabellek boyunca, ardından farklı bir anahtar kullanarak 256 baytlık parçalar aracılığıyla.
Analiz, Memory.Paste.txt dosyasındaki gerçek şifreleme anahtarlarını doğrulamak ve yakalamak için hata ayıklama arayüzüne yalnızca 39 çağrı gerektirdi.
Bu başarıyı özellikle önemli kılan uygulama hızıydı. İlk giriş noktası incelemesinden RC4 anahtarının çıkarılmasına kadar olan tüm analiz yaklaşık 39 dakika 8 saniye sürdü; bu, bu tür karmaşık tersine mühendislik görevleri için tipik olarak gereken haftalarla karşılaştırıldığında dramatik bir azalmaydı.
Yapay zeka, analistlerin canlı ikili sample.paste.txt dosyasına karşı çalıştırabileceği, çalışan şifre çözme komut dosyaları oluşturdu.
Ancak araştırma, yapay zeka destekli kötü amaçlı yazılım analizinin önemli sınırlamalarını ortaya çıkardı. ChatGPT, şifreleme anahtarlarının kasıtlı olarak birden fazla işleve dağıtıldığı bazı gelişmiş gizleme teknikleriyle mücadele ediyordu.
Bu işlev, güvenli çağrı trambolini görevi görür: bir işlev işaretçisini çağırmadan önce görüntünün neredeyse tamamını geçici olarak şifreler ve ardından çağrı geri döndüğünde aynı bölgelerin şifresini çözer.
Toplamda 20 işlev bu şekilde korunur; bunlar arasında işlemler, iş parçacıkları, bellek ve dosya işlemleriyle ilgili NTAPI rutinlerinin yanı sıra çeşitli WinSock işlevleri de bulunur.
Yapay zeka, XLoader’ın şifreleme şemalarının tüm çeşitlerini işleyebilecek gerçek anlamda evrensel şifre çözücüler geliştirmek için insan rehberliğine ihtiyaç duyuyordu.
Buna ek olarak, araştırmacılar tüm bulguların analiz data.paste.txt dosyasından doğrudan alıntılarla desteklenmesini gerektiren katı “önce kanıt” protokollerini uygulayana kadar model zaman zaman eksik verileri üretmeye çalıştı.
Etkiler bu tek kötü amaçlı yazılım ailesinin ötesine uzanıyor. Araştırmacılar, üretken yapay zekanın karmaşık tehditler için analiz geri dönüş sürelerini azaltabildiğini, komuta ve kontrol alanları ve kriptografik anahtarlar gibi güvenlik ihlali göstergelerinin daha hızlı çıkarılmasını mümkün kıldığını gösterdi.
Bu IoC’ler doğrudan tespit imzalarına ve tehdit izleme sistemlerine beslenerek saldırganların yeni keşfedilen kötü amaçlı yazılım varyantlarıyla kampanya başlatması için fırsat penceresini potansiyel olarak kısaltır.paste.txt
Kötü amaçlı yazılım yazarları, yapay zeka destekli analizlere karşı koymak için tekniklerini kaçınılmaz olarak uyarladıkça, güvenlik araştırmacıları bir kedi-fare oyununun kızışacağını öngörüyor.
Bununla birlikte, bu araştırma, yapay zekanın kötü amaçlı yazılım analizi ekonomisini temelden değiştirdiğini, aşırı derecede zaman alan araştırmaları yönetilebilir araştırma görevlerine dönüştürdüğünü ve dünya çapındaki savunucular için tehdit manzarasını potansiyel olarak değiştirdiğini ortaya koyuyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.