Analitycy Check Point Research zaprezentowali przełomowe wyniki w walce z jednym z najbardziej trudnych do analizy programów hakerskich, kradnących poufne dane – XLoaderem 8.0. Dzięki wykorzystaniu generatywnej sztucznej inteligencji badaczom udało się skrócić czas analizy złośliwego kodu z kilku dni do zaledwie kilku godzin, a także ujawnić ukryte domeny, funkcje i mechanizmy obronne stosowane przez cyberprzestępców.
XLoader, będący następcą rodziny FormBook, funkcjonuje w sieci od 2020 roku i od tego czasu stał się jednym z najbardziej agresywnych narzędzi do kradzieży informacji. Ukrywa swoje działanie za pomocą wielowarstwowego szyfrowania, fałszywych domen oraz ciągłych aktualizacji kodu, które utrudniają jego wykrycie przez klasyczne antywirusy i sandboxy.
Tradycyjna analiza takiego oprogramowania wymaga żmudnej inżynierii wstecznej – eksperci muszą ręcznie rozpakowywać pliki binarne, śledzić funkcje i tworzyć skrypty deszyfrujące. Co więcej, XLoader aktywuje swój prawdziwy kod dopiero w trakcie działania i potrafi wykrywać próby monitorowania, co sprawia, że nawet symulowane środowiska (sandboxy) okazują się bezradne.
AI w akcji: od manualnej analizy do automatycznej dekonstrukcji
Zespół Check Point Research zastosował hybrydowe podejście AI-driven reverse engineering, wykorzystując model GPT-5 w połączeniu z narzędziami analitycznymi: 1) Cloud-based static analysis – dane z deasemblatora IDA Pro (funkcje, ciągi, struktury) zostały przesłane do chmury, gdzie AI rozpoznała algorytmy szyfrowania, zidentyfikowała struktury danych i wygenerowała skrypty w Pythonie do automatycznej deszyfracji. 2) Runtime analysis z asystą MCP – AI została połączona z debugerem, co pozwoliło na analizę w czasie rzeczywistym i odczyt wartości takich jak klucze szyfrujące czy bufor danych C2. To połączenie umożliwiło półautomatyczną analizę, która jest szybka, powtarzalna i łatwa do współdzielenia między zespołami.
AI jako nowy sojusznik analityków
Dzięki wsparciu sztucznej inteligencji badacze Check Pointa osiągnęli imponujące wyniki: odszyfrowali ponad 100 funkcji jądra programu, zidentyfikowali trzy warstwy szyfrowania oparte na zmodyfikowanych algorytmach RC4 i XOR, odkryli 64 ukryte domeny C2 wykorzystywane do komunikacji z infrastrukturą atakujących, zdeobfuskowali wywołania API systemu Windows oraz ujawnili nowe techniki unikania detekcji – w tym tzw. secure-call trampoline, czyli mechanizm tymczasowo szyfrujący fragmenty kodu w trakcie działania programu.
Zespół Check Point Research podkreśla, że sztuczna inteligencja nie zastępuje analityków bezpieczeństwa, lecz znacząco zwiększa ich efektywność. Analizy, które wcześniej trwały całe dni, można dziś zakończyć w mniej niż godzinę, a uzyskane wyniki są łatwe do replikowania i weryfikacji. Automatyzacja procesów pozwala specjalistom skupić się na bardziej złożonych aspektach zachowania złośliwego oprogramowania, co przekłada się na głębsze zrozumienie jego działania. Jednocześnie szybsza ekstrakcja wskaźników naruszeń (IoC) umożliwia błyskawiczne aktualizacje systemów ochrony, znacząco zwiększając skuteczność obrony przed cyberzagrożeniami.
Nowa era analizy zagrożeń
Zastosowanie generatywnej AI w inżynierii wstecznej otwiera nowy rozdział w cyberbezpieczeństwie. Zespoły obronne mogą teraz reagować niemal w czasie rzeczywistym na złożone i szyfrowane ataki. Check Point Research kontynuuje prace nad doskonaleniem tych metod, łącząc automatyzację AI, scripting i analizę runtime, aby przyspieszyć wykrywanie i neutralizację zagrożeń.