AIによるマルウェア解析の革新
サイバーセキュリティ研究者たちは、人工知能がマルウェア解析を劇的に加速させる可能性を実証しました。特に、複雑なXLoaderマルウェアのサンプルを、従来必要とされていた時間のわずかな時間で復号することに成功しました。
2020年以来、情報窃取能力を持つ洗練されたマルウェアローダーであるXLoaderは、解析が最も困難なマルウェアファミリーの一つとされてきました。このマルウェアは、複数のカスタマイズされた暗号化層、難読化されたAPI呼び出し、プロセスインジェクション技術、および高度なサンドボックス回避方法を組み合わせており、自動抽出ツールでは対応が困難でした。
画期的な研究により、生成AIモデルが、かつてセキュリティ専門家による数週間の手動リバースエンジニアリングを必要としたセキュリティ層をバイパスできることが明らかになりました。最新バージョンのXLoaderを解析するアナリストは、各段階で中間キーを抽出するために数十もの連鎖した暗号化関数をナビゲートする必要があり、このプロセスは新しい亜種ごとに数週間かかる可能性がありました。
解析手法とChatGPTの貢献
この解析では、ChatGPTを二つの補完的なアプローチで活用し、これらの障壁を克服しました。
- 一つ目のアプローチは、モデルコンテキストプロトコル(MCP)を通じてAIモデルをリバースエンジニアリングツール(IDA Pro、x64dbgなど)と直接統合し、リアルタイムでの対話を可能にしました。
- 二つ目のアプローチは、IDA Proから包括的な解析データをJSON形式でエクスポートし、ChatGPTがそのクラウドサンドボックス環境内で独立して処理するというものでした。
研究者たちは、研究開始時に登場したばかりのXLoaderバージョン8.0に焦点を当てました。オフラインデータパイプラインと「思考モード」のChatGPTを使用し、AIに完全な逆アセンブリデータ、逆コンパイル出力、バイナリコード、および情報を解釈する方法を説明する慎重に作成されたプロンプトを提供しました。このアプローチにより、永続的なローカルツール接続の必要性がなくなり、同僚が容易に検証できる再現性のある解析が可能になりました。
ブレークスルーは、RC4暗号化の実装を解析する際に訪れました。8分46秒以内に、ChatGPTはRC4実装を特定し、サンプルがXLoaderであることを正しく識別しました。AIは、メインペイロードが2ラウンドのRC4復号化を受けることを発見し、最初のラウンドでは一つのキーを使用してバッファ全体を、次に異なるキーを使用して256バイトのチャンクごとに復号化するという初期トリアージを成功させました。この解析では、実際の暗号化キーをメモリから検証およびキャプチャするために、デバッグインターフェースへの呼び出しがわずか39回しか必要ありませんでした。
この成果が特に重要だったのは、その実行速度です。初期エントリポイントの調査からRC4キーの抽出までの完全な解析は、約39分8秒で完了しました。これは、このような複雑なリバースエンジニアリングタスクに通常必要とされる数週間と比較して劇的な短縮です。AIは、アナリストがライブバイナリサンプルに対して実行できる動作する復号スクリプトを生成しました。
AI解析の限界と今後の課題
しかし、この研究はAI支援マルウェア解析の重要な限界も明らかにしました。ChatGPTは、暗号化キーが複数の関数に意図的に分散されているような、特定の高度な難読化技術に苦戦しました。例えば、「セキュアコールトランポリン」と呼ばれる関数は、一時的にほぼ全てのイメージを暗号化し、関数ポインタを呼び出した後に復号化するというもので、NTAPIルーチンやWinSock関数を含む20の関数がこの方法で保護されていました。
AIがXLoaderの全ての暗号化スキームのバリエーションに対応できる真に普遍的な復号器を開発するには、人間のガイダンスが必要でした。さらに、モデルは時折、欠落しているデータを捏造しようとしましたが、研究者たちが「証拠第一」プロトコルを厳格に適用し、全ての発見が解析データからの直接的な引用によって裏付けられることを要求するまで、この問題は続きました。
この研究の示唆は、単一のマルウェアファミリーにとどまりません。研究者たちは、生成AIが複雑な脅威の解析ターンアラウンドタイムを短縮し、コマンド&コントロール(C2)ドメインや暗号化キーなどの侵害指標(IoC)の抽出を迅速化できることを示しました。これらのIoCは、検出シグネチャや脅威追跡システムに直接供給され、新たに発見されたマルウェア亜種で攻撃者がキャンペーンを開始する機会を短縮する可能性があります。
マルウェア作者がAI支援解析に対抗するために技術を適応させるにつれて、セキュリティ研究者たちは「いたちごっこ」が激化すると予想しています。それにもかかわらず、この研究は、人工知能がマルウェア解析の経済性を根本的に変化させ、法外に時間のかかる調査を管理可能な研究タスクに変え、世界中の防御者にとっての脅威の状況を潜在的に変えることを確立しました。