Các nhà nghiên cứu an ninh mạng đã chứng minh thành công cách trí tuệ nhân tạo (AI) có thể tăng tốc đáng kể quy trình phân tích mã độc, giải mã các mẫu XLoader phức tạp chỉ trong một phần nhỏ thời gian so với trước đây.

Mã độc XLoader, một trình tải mã độc tinh vi với khả năng đánh cắp thông tin từ năm 2020, từ lâu đã được coi là một trong những họ mã độc thách thức nhất để phân tích. Loại mã độc này kết hợp nhiều lớp mã hóa tùy chỉnh, các lệnh gọi API bị làm rối, kỹ thuật tiêm tiến trình (process injection) và các phương pháp né tránh sandbox tiên tiến, liên tục vượt qua các công cụ trích xuất tự động.

AI Tăng Tốc Phân Tích Mã Độc XLoader

Nghiên cứu đột phá đã chỉ ra rằng các mô hình AI tạo sinh có thể vượt qua các lớp bảo mật từng đòi hỏi hàng tuần kỹ thuật ngược mã (reverse engineering) thủ công từ các chuyên gia bảo mật. Trước đây, các nhà phân tích làm việc với các phiên bản gần đây của XLoader phải điều hướng qua hàng chục hàm mã hóa theo chuỗi, trích xuất các khóa trung gian ở mỗi giai đoạn. Đây là một quy trình có thể mất hàng tuần cho mỗi biến thể mới.

Phương Pháp Tiếp Cận Bằng AI

Nghiên cứu đã sử dụng ChatGPT để vượt qua những rào cản này thông qua hai phương pháp bổ trợ:

• Tích hợp trực tiếp với công cụ Reverse Engineering: Mô hình AI được tích hợp trực tiếp với các công cụ như IDA Pro, x64dbg và môi trường ảo hóa thông qua Giao thức Ngữ cảnh Mô hình (Model Context Protocol – MCP). Điều này cho phép tương tác thời gian thực, mặc dù trợ lý AI không thể hoàn toàn gỡ rối tất cả các lệnh gọi API trong quá trình phân loại nhanh, nhưng trong một số trường hợp, nó đã suy ra được hàm đang được gọi từ ngữ cảnh và chữ ký của nó.
• Xử lý dữ liệu ngoại tuyến: Phương pháp thứ hai xuất dữ liệu phân tích toàn diện từ IDA Pro sang định dạng JSON. Sau đó, ChatGPT xử lý dữ liệu này độc lập trong môi trường sandbox đám mây của nó. Cách tiếp cận này loại bỏ nhu cầu kết nối công cụ cục bộ liên tục, đồng thời cho phép phân tích có thể tái tạo, dễ dàng được xác minh bởi các đồng nghiệp.

Quy Trình Phân Tích và Kết Quả Đột Phá

Các nhà nghiên cứu đã tập trung vào XLoader phiên bản 8.0, một biến thể mới xuất hiện vào thời điểm nghiên cứu bắt đầu. Sử dụng quy trình dữ liệu ngoại tuyến với ChatGPT ở chế độ “suy nghĩ”, họ cung cấp cho AI dữ liệu tháo gỡ hoàn chỉnh, đầu ra giải mã, mã nhị phân và các lời nhắc được xây dựng cẩn thận để giải thích cách diễn giải thông tin.

Bước đột phá đến khi phân tích triển khai mã hóa RC4. Chỉ trong 8 phút 46 giây, ChatGPT đã xác định các triển khai RC4 và nhận dạng chính xác mẫu là XLoader. AI đã thực hiện phân loại ban đầu thành công bằng cách phát hiện ra rằng payload chính trải qua hai vòng giải mã RC4. Đầu tiên là trên toàn bộ bộ đệm bằng một khóa, sau đó là trên các khối 256 byte bằng một khóa khác.

Quá trình phân tích chỉ yêu cầu 39 lệnh gọi đến giao diện gỡ lỗi để xác minh và thu thập các khóa mã hóa thực tế từ bộ nhớ. Toàn bộ quá trình phân tích mã độc, từ kiểm tra điểm vào ban đầu đến trích xuất khóa RC4, mất khoảng 39 phút 8 giây. Đây là một sự giảm thời gian đáng kể so với nhiều tuần thường cần thiết cho các tác vụ kỹ thuật ngược mã phức tạp như vậy. AI đã tạo ra các script giải mã hoạt động mà các nhà phân tích có thể thực thi trên mẫu nhị phân trực tiếp.

Hạn Chế và Thách Thức của AI Trong Phân Tích Mã Độc

Tuy nhiên, nghiên cứu cũng tiết lộ những hạn chế quan trọng của việc phân tích mã độc được hỗ trợ bởi AI. ChatGPT gặp khó khăn với một số kỹ thuật làm rối nâng cao, nơi các khóa mã hóa được cố ý phân tán qua nhiều hàm. Ví dụ, một hàm hoạt động như một “secure-call trampoline”: nó tạm thời mã hóa gần như toàn bộ hình ảnh trước khi gọi một con trỏ hàm, sau đó giải mã các vùng đó sau khi lệnh gọi trả về.

Tổng cộng có 20 hàm được bảo vệ theo cách này, bao gồm các hàm NTAPI liên quan đến tiến trình, luồng, bộ nhớ và hoạt động tệp, cũng như một số hàm WinSock. AI cần sự hướng dẫn của con người để phát triển các bộ giải mã thực sự phổ quát, có khả năng xử lý tất cả các biến thể của sơ đồ mã hóa XLoader. Ngoài ra, mô hình thỉnh thoảng cố gắng bịa đặt dữ liệu bị thiếu cho đến khi các nhà nghiên cứu thực thi các giao thức “ưu tiên bằng chứng” nghiêm ngặt, yêu cầu tất cả các phát hiện phải được hỗ trợ bằng trích dẫn trực tiếp từ dữ liệu phân tích.

Tác Động Rộng Lớn và Triển Vọng Tương Lai

Ý nghĩa của nghiên cứu này vượt xa họ mã độc XLoader. Các nhà nghiên cứu đã chứng minh rằng AI tạo sinh có thể rút ngắn thời gian phân tích đối với các mối đe dọa phức tạp, cho phép trích xuất nhanh hơn các chỉ số xâm phạm (Indicators of Compromise – IoC) như tên miền command-and-control và khóa mã hóa. Các IoC này được đưa trực tiếp vào chữ ký phát hiện và hệ thống theo dõi mối đe dọa, có khả năng rút ngắn thời gian cơ hội cho những kẻ tấn công phát động các chiến dịch với các biến thể mã độc mới được phát hiện. Để tìm hiểu thêm về nghiên cứu, bạn có thể tham khảo nguồn tại Check Point Research.

Khi các tác giả mã độc chắc chắn sẽ điều chỉnh kỹ thuật của họ để chống lại việc phân tích mã độc được hỗ trợ bởi AI, các nhà nghiên cứu bảo mật dự đoán một cuộc rượt đuổi không ngừng leo thang. Tuy nhiên, nghiên cứu này khẳng định rằng trí tuệ nhân tạo đã thay đổi cơ bản nền kinh tế của việc phân tích mã độc, biến các cuộc điều tra tốn thời gian một cách không thể chấp nhận được thành các nhiệm vụ nghiên cứu có thể quản lý được, và có khả năng thay đổi bối cảnh mối đe dọa cho các nhà phòng thủ trên toàn thế giới.