【喜报】3篇研究成果被国际顶级会议ACM CCS 2024录用

日前，由奇安信技术研究院合作完成的3篇论文被国际顶级学术会议ACM CCS 2024 （In Proceedings of the 2024 ACM SIGSAC Conference on Computer and Communications Security ）录用。

1. 小程序安全

第一篇论文是由山东大学，星图实验室和清华大学合作的关于小程序安全的工作，论文题目为《MiniCAT: Understanding and Detecting Cross-Page Request Forgery Vulnerabilities in Mini-Programs》。本文由山东大学研究生张子东同学在星图实验室实习期间主导完成。

本项工作在目前流行的小程序生态里首次提出了一种由于不安全的页面路由和身份校验设计而引发的新型漏洞：小程序跨页面请求伪造（MiniCPRF）。针对该漏洞，本工作设计了一套代码分析系统MiniCAT，在流行的微信小程序和其他小程序平台上中对该漏洞开展了大规模自动化分析。结果表明，32%的微信小程序处于风险之中，且其他小程序平台也存在相似问题。相关漏洞已合规披露给开发者和中国国家信息安全漏洞共享平台（CNVD)，并得到了确认。

2. PowerShell动态反混淆

第二篇论文是由奇安信技术研究院、东南大学、复旦大学、清华大学合作完成的关于PowerShell反混淆的工作。论文题目为《PowerPeeler: A Precise and General Dynamic Deobfuscation Method for PowerShell Scripts》，这个工作是奇安信技术研究院在PowerShell反混淆方向上新的研究成果。上一篇相关工作为2022年发表在国际知名会议DSN中的《Invoke-Deobfuscation: AST-Based and Semantics-Preserving Deobfuscation for PowerShell Scripts》[1]。技术研究院在DataCon 2022软件安全赛道的赛题中加入了PowerShell反混淆的题目[2]，来自东南大学的李睿杰和复旦大学的张晨阳两位同学在该题目上提出了动态反混淆的思路，并在第二阶段赛题中取得了最高分。比赛结束后，我们与这两位同学合作，将他们比赛中使用的动态反混淆方法进一步扩展、完善，形成了实际可用的工具PowerPeeler。同时，我们将这项工作的成果撰写成了论文，最终被CCS 2024接收。

PowerShell脚本功能强大，可以执行各种复杂任务，常常被攻击者滥用在网络攻击活动中。而且PowerShell脚本极易混淆，因此对于目前网络攻击的检测和防御提出了严峻的挑战。此前的反混淆工作均基于静态分析，因此无法处理包含复杂控制流和数据流的混淆脚本。这项研究工作提出了第一个PowerShell动态反混淆工具PowerPeeler。该工具通过动态监控PowerShell脚本的执行过程，直接提取脚本执行过程中反混淆操作之后的结果，最后还原得到一个未混淆的脚本。PowerPeeler对于我们已知的混淆方式，均能很好地处理还原。我们从现实世界收集了173万个恶意PowerShell样本，并形成了两个利用不同混淆手段的高质量数据集。实验评估结果表明，PowerPeeler在反混淆的准确率、提取的敏感信息数量、反混淆前后脚本的语义一致性等方面都明显优于前人的工作和GPT-4。

目前这项研究工作已经同上一个DSN中的相关研究工作一起集成到了天穹软件动态沙箱[3]中测试运行，未来我们也会持续更新优化。

3. 持续集成（CI）服务插件安全

第三篇工作是由奇安信技术研究院、特拉华大学、克莱姆森大学、派拓网络、清华大学合作完成的关于供应链安全的研究论文。论文题目是《Toward Understanding the Security of Plugins in Continuous Integration Services》，这也是我们在供应链安全领域发表的第四篇高水平学术论文。这项工作是我们2023年在IEEE S&P学术会议发表的两篇关于持续化集成服务（CI）安全研究[4] [5]的延续，主要针对CI中插件的安全问题进行了深入探究。

持续集成服务（CI）是一种自动化的软件开发实践，用于代码构建、集成和测试，其中有大量的插件用于加速CI流水线的执行。但CI插件中存在着大量的安全隐患。论文深入挖掘了现有CI插件中潜在的安全风险，并针对四大主流CI平台（GitHub Actions, GitLab CI, CircleCI, Azure Pipelines)进行了综合分析，发现了目前CI插件分发和隔离机制中存在的若干弱点。在此基础上，本文提出了7种攻击向量，允许攻击者在使用者不知情的情况下劫持CI插件，部署恶意代码。论文对于开源项目仓库进行了大规模测量，评估结果表明大量代码仓库和现有的CI插件都受到了攻击影响。