新版 Gremlin 竊資程式以 XOR 編碼藏匿惡意酬載，提高靜態分析難度

惡意程式的隱匿技術持續演進。資安研究團隊揭露新版的 Gremlin 竊資惡意程式，指出其背後的攻擊者已強化了隱匿手法，使這款惡意程式更難被傳統的資安工具偵測。

Gremlin 屬於「竊資程式」（infostealer）這一類惡意軟體。竊資程式的主要目的，是潛入受害者的裝置，竊取各類敏感資訊，例如帳號密碼、瀏覽器儲存的憑證、數位錢包資料等，再將這些資料回傳給攻擊者。竊取到的資訊，往往被用於後續的帳號盜用、詐騙或在地下市場販售，對個人與企業都構成實質威脅。

此次新版 Gremlin 的關鍵變化，在於其藏匿惡意內容的方式。攻擊者將惡意酬載藏入 .NET 程式的「資源區段」中，並以 XOR 編碼加以遮蔽。XOR 是一種常見的位元運算，攻擊者用它來對惡意內容進行簡單的編碼處理，使其在檔案中不以明文形式呈現。

這種手法的目的，是對抗「靜態分析」。靜態分析指的是資安工具在不實際執行程式的情況下，透過檢視檔案內容來判斷其是否可疑——例如尋找可疑的字串、可疑的 API 呼叫，或命令與控制（C2）伺服器的設定資訊。當惡意酬載被藏入資源區段並經過 XOR 編碼遮蔽後，這些可疑跡象在檔案表面就難以直接被看出，靜態分析的偵測效果因此大打折扣。

對防禦方而言，這種演進意味著單純依賴靜態特徵比對的偵測方式，效果正在被削弱。資安界普遍認為，面對此類強化隱匿的惡意程式，需要結合行為分析、動態執行監控等多層次的防禦手段，才能在程式實際運作時捕捉到異常跡象。後續值得觀察的是這類隱匿技術的擴散情況，以及資安工具的偵測能力如何相應升級。