Résumé - CASCADE : Déboucheur JavaScript déobfusqué alimenté par un LLM chez Google

CASCADE : Déboucheur JavaScript déobfusqué alimenté par un LLM chez Google

2025-07-23 16:57:32

{"Shan Jiang","Pranoy Kovuri","David Tao","Zhixun Tan"}

{cs.SE,cs.AI,cs.CR,cs.LG,cs.PL}

L'article présente CASCADE, une approche hybride novatrice pour la déobfuscation du JavaScript qui combine les capacités de Gemini et de la Representation Intermédiaire JavaScript (JSIR). Cette méthode permet efficacement de restaurer les chaînes originales et les noms d'API, révélant les comportements initiaux des programmes et surmontant les limites des techniques actuelles de déobfuscation statique et dynamique. CASCADE utilise Gemini pour identifier les fonctions de préambule critiques générées par des obfuscateurs comme Obfuscator.IO, qui constituent des composants fondamentaux sous-jacents aux techniques d'obfuscation les plus courantes. Il utilise ensuite la JSIR pour les transformations ultérieures du code, restaurant les chaînes originales et les noms d'API. Cette approche hybride offre plusieurs avantages : 1. **Exécution Dynamique Hybride** : CASCADE surmonte les limites de l'analyse statique pure en exécutant dynamiquement les fonctions de préambule détectées dans un environnement JavaScript sandboxé, assurant des résultats précis. 2. **Maintenabilité Alimentée par l'IA** : CASCADE élimine le besoin de centaines à milliers de règles manuelles dans la détection des fonctions de préambule en s'appuyant sur l'avancée technologique de Gemini, atteignant une haute précision et une résilience contre les modifications mineures du code. 3. **Analyse Statique Avancée via JSIR** : CASCADE effectue des analyses et des transformations de code complètes à l'aide de l'infrastructure robuste de JSIR, permettant des analyses et des transformations de niveau sémantique plus complexes. 4. **Usage Responsable de l'IA** : CASCADE s'abstient d'utiliser les LLM pour générer directement le code déobfusqué, réduisant le risque d'erreurs de fantaisie et assurant une utilisation pratique dans les environnements de production. L'article évalue CASCADE sur un ensemble de données de samples de JavaScript obfusqués et démontre son efficacité dans la récupération des chaînes et des noms d'API. Il atteint une成功率 globale de 98,93% avec une moyenne de 945,26 littéraux récupérés par fichier et un temps d'exécution moyen de 2,298 secondes. CASCADE est déjà déployé dans l'environnement de production de Google, démontrant des améliorations substantielles dans l'efficacité de la déobfuscation du JavaScript et réduisant les efforts de reverse engineering. Le paper conclut que CASCADE représente une avancée significative dans la résolution des techniques d'obfuscation complexes et offre une approche prometteuse pour une déobfuscation automatisée et correcte.