Zusammenfassung - CASCADE: JavaScript-Deobfuscator mit künstlicher Intelligenz auf Basis eines LLM bei Google

CASCADE: JavaScript-Deobfuscator mit künstlicher Intelligenz auf Basis eines LLM bei Google

2025-07-23 16:57:32

{"Shan Jiang","Pranoy Kovuri","David Tao","Zhixun Tan"}

{cs.SE,cs.AI,cs.CR,cs.LG,cs.PL}

Das Papier stellt CASCADE vor, einen neuen hybriden Ansatz zur JavaScript-Deobfuscation, der die Fähigkeiten von Gemini und der JavaScript Intermediate Representation (JSIR) kombiniert. Diese Methode kann Originalstrings und API-Namen effektiv wiederherstellen, die ursprünglichen Programmverhaltensweisen enthüllen und die Beschränkungen bestehender statischer und dynamischer Deobfuscationstechniken überwinden. CASCADE nutzt Gemini, um kritische Einleitungsfunktionen zu identifizieren, die von Obfuscatoren wie Obfuscator.IO generiert werden, die grundlegende Komponenten unter den am häufigsten verwendeten Obfuscationstechniken sind. Anschließend nutzt es JSIR für nachfolgende Code-Transformationen, um die Originalstrings und API-Namen wiederherzustellen. Dieser hybride Ansatz bietet mehrere Vorteile: 1. **Hybride dynamische Ausführung**: CASCADE überwindet die Beschränkungen rein statischer Analyse, indem er erkannte Einleitungsfunktionen in einem sandboxierten JavaScript-Umfeld dynamisch ausführt, um genaue Ergebnisse zu gewährleisten. 2. **Künstliche Intelligenz-gesteuerte Wartbarkeit**: CASCADE beseitigt die Notwendigkeit von Hunderten bis Tausenden manueller Regeln in der Einleitungsfunktionserkennung durch die Nutzung fortschrittlicher Gemini, was eine hohe Genauigkeit und Robustheit gegen geringe Codeänderungen erreicht. 3. **Fortgeschrittene statische Analyse durch JSIR**: CASCADE führt umfassende Codeanalysen und -transformationen unter Verwendung der robusten JSIR-Infrastruktur durch, was fortgeschrittene semantische Analysen und Transformationen ermöglicht. 4. **Verantwortungsvolle Nutzung von KI**: CASCADE verzichtet auf die direkte Generierung deobfuschter Code durch LLMs, um das Risiko von Halluzinationsfehlern zu reduzieren und sicherzustellen, dass er in Produktionsumgebungen praktisch nutzbar ist. Das Papier bewertet CASCADE anhand eines Datensatzes von obfuszierten JavaScript-Samples und zeigt seine Effektivität bei der Wiederherstellung von Strings und API-Namen. Es erreicht eine Gesamterfolgsquote von 98,93% mit durchschnittlich 945,26 Literalen pro Datei und einem durchschnittlichen Laufzeit von 2,298 Sekunden. CASCADE wird bereits in Googles Produktionsumgebung eingesetzt und zeigt erhebliche Verbesserungen bei der Effizienz der JavaScript-Deobfuscation und eine Reduzierung der Reverse-Engineering-Bemühungen. Das Papier schließt, dass CASCADE eine bedeutende Verbesserung bei der Bewältigung komplexer Obfuscationstechniken darstellt und einen vielversprechenden Ansatz für automatische und korrekte Deobfuscation bietet.