日前,由奇安信星图实验室研究人员与中科院信工所团队合作完成的关于脚本反混淆的研究论文被国际知名会议DSN 2022录用。DSN是网络与信息安全领域知名的学术会议,今年已经是第52届,将于2022年6月在美国巴尔的摩举办。
论文题为《Invoke-Deobfuscation: AST-Based and Semantics-Preserving Deobfuscation for PowerShell Scripts》,关注的是PowerShell脚本代码自动化反混淆,作者分别为:柴华君、应凌云、段海新、查达仁。该研究是硕士研究生柴华君同学在奇安信技术研究院实习期间完成的工作。
PowerShell脚本由于功能强大、易于编写和混淆、Windows系统默认自带等特点,被攻击者大量应用于攻击活动中,成为当前网络攻击检测和防御工作的一大挑战。这项研究工作提出了一项针对PowerShell脚本的自动化反混淆方法,并实现了名为Invoke-Deobfuscation的反混淆工具。该工具能够有效地处理空白字符插入等字符随机化混淆、逆序和拼接等各种字符串相关混淆、Base64等各种编码方式混淆等十多种混淆方式,对目前绝大多数的PowerShell混淆技术都有很好的还原效果。为了全面地评估工具的效果,我们从真实的网络环境中收集了超过200万个PowerShell脚本,从中筛选出了39,713个不同家族、结构各异的恶意PowerShell脚本。我们挑选了部分脚本来比较Invoke-Deobfuscation和现有其他反混淆工具的效果,实验结果表明,我们的工具Invoke-Deobfuscation在反混淆能力、反混淆效率、反混淆前后脚本的行为一致性以及去混淆程度等几方面都明显优于其他工具,可以更好地帮助安全人员分析各种经过混淆的PowerShell恶意脚本。
该项研究工作是天穹软件动态分析沙箱相关研究的一部分,相关功能将在新版本的天穹沙箱中集成,敬请期待!
✦星图实验室✦
星图实验室隶属于奇安信技术研究院,专注于软件与系统安全的核心技术研究与系统平台研发,对外输出“天穹”软件动态分析沙箱、“天问”软件供应链分析平台、“天象”软件漏洞挖掘系统等核心能力和工具系统。
我们目前正在招聘,工作地点覆盖北京、上海、成都等城市,详情请参见:https://research.qianxin.com/recruitment/