日前,由奇安信技术研究院星图实验室、奇安信人工智能研究院和中科院软件所合作完成的论文被国际知名会议ACSAC 2022录用,论文题目为《DitDetector: Bimodal Learning based on Deceptive Image and Text for Macro Malware Detection》。
论文提出以Office文档的宏诱骗信息作为检测目标,基于多模态机器学习算法,利用图像、文本两种模态诱骗信息检测带宏恶意文档。ACSAC是网络与信息安全领域知名的学术会议,今年是第38届会议,于12月5~9日在美国德克萨斯州的奥斯汀举办。
宏代码是Microsoft Office文档中内嵌的一种能够执行用户定制功能的简易程序,因其易于编写、混淆、微软办公套件默认自带等特点,经常被攻击者用于攻击活动中。为应对恶意宏的泛滥,Microsoft在办公套件中采用默认的宏禁用策略;若用户要执行宏代码,需人工启动宏功能。基于此,在宏恶意代码检测的攻防战中,攻击者的攻击手段不断升级,包括但不限于利用Excel 4.0恶意宏、CVE-2017-0199远程模板注入漏洞等方式提升攻击效率,甚至在宏恶意文档中,加入诱骗信息,尝试诱导用户启用宏,使得用户受骗后执行恶意宏代码的几率大增。
为解决上述问题,该项研究从宏诱骗信息可视化的角度切入,在不打开文档的前提下,将待检测文档的内容以光栅图像的形式导出为预览图,并利用光学字符处理技术(OCR)提取预览图中的文本信息;基于卷积神经网络(CNN)分别训练图形、文本编码器,并生成相应模态的特征表示;将不同模态的特征表示映射在同一向量空间中,以邻接特征表示的方式从两个维度共同表征文档,随后训练一个双模态宏诱骗信息检测器,用于宏诱骗办公文档的恶意性检测。相比于传统基于宏代码的检测方案,该方案能够根据宏诱骗信息处理远程模板注入样本、Excel 4.0恶意宏样本等高级对抗样本,并且具有检测效率高、轻量级、易部署等优点。
该项研究工作是星图实验室天穹软件动态分析沙箱相关研究的一部分,相关功能已在天穹沙箱中集成,欢迎大家使用。
天穹沙箱平台网址:https://sandbox.qianxin-inc.cn
========= 我 是 分 割 线 =========
星图实验室隶属于奇安信技术研究院,专注于软件与系统安全的核心技术研究与系统平台研发,对外输出“天穹”软件动态分析沙箱、“天问”软件供应链分析平台、“天象”软件漏洞挖掘系统等核心能力和工具系统。
我们目前正在招聘,工作地点覆盖北京、南京、成都、上海等城市,详情请参见:https://research.qianxin.com/recruitment/