近日,东南大学网络空间安全学院陶军教授团队2021级硕士生李睿杰撰写的论文被第31届国际计算机与通信安全会议(ACM Conference on Computer and Communications Security,ACM CCS 2024)录用。
论文题目为“PowerPeeler: A Precise and General Dynamic Deobfuscation Method for PowerShell Scripts”。由东南大学、奇安信技术研究院星图实验室、复旦大学、清华大学合作完成,李睿杰为论文的第一作者,这也是东南大学网安学院硕士研究生首次以第一作者在安全国际顶级会议上发表论文。
PowerPeeler反混淆流程图
现实网络攻击中,攻击者使用混淆后的PowerShell脚本与命令绕过反病毒设备的检测,对受害者主机实施攻击。已有的静态反混淆方法难以精准、通用地对现实中的PowerShell恶意样本进行反混淆。为了解决已有的研究难点,本文提出了首个指令层面的PowerShell动态反混淆方法PowerPeeler。首先PowerPeeler监测与表达式相关的抽象语法树(AST)节点来识别潜在的混淆脚本片段;然后其跟踪PowerShell解释器的解释过程,进而将AST节点与其对应的唯一关键指令关联,并监视整个脚本的执行过程;随后PowerPeeler动态跟踪这些指令的执行过程,并记录其执行结果与关键中间信息;最后PowerPeeler将执行结果与信息字符串化,替换相应的混淆脚本片段,并重构反混淆之后的脚本。作者在现实恶意样本集中进行了全面的实验评估,实验结果表明了PowerPeeler在诸多维度上优于已有的PowerShell反混淆研究以及GPT-4。
ACM CCS与IEEE S&P、USENIX Security、NDSS并称为网络与信息安全领域的四大顶级学术会议,也是中国计算机学会(CCF)推荐的A类会议。ACM CCS近十年录用率约为18%,被录用的论文反映了网络安全领域国际最前沿的研究水平。(网萱)
