論文の概要: PowerPeeler: A Precise and General Dynamic Deobfuscation Method for PowerShell Scripts
- arxiv url: http://arxiv.org/abs/2406.04027v2
- Date: Wed, 19 Jun 2024 04:42:55 GMT
- ステータス: 処理完了
- システム内更新日: 2024-06-22 01:36:36.268909
- Title: PowerPeeler: A Precise and General Dynamic Deobfuscation Method for PowerShell Scripts
- Title(参考訳): PowerPeeler:PowerShellスクリプトの正確で一般的な動的難読化方法
- Authors: Ruijie Li, Chenyang Zhang, Huajun Chai, Lingyun Ying, Haixin Duan, Jun Tao,
- Abstract要約: サイバー攻撃者は、悪意のあるスクリプトを難読化するために様々なテクニックを使うことが多い。
既存の難読化ツールは静的解析の限界に悩まされている。
PowerPeelerは、命令レベルでの最初の動的スクリプトの難読化アプローチである。
- 参考スコア(独自算出の注目度): 17.378929798013303
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: PowerShell is a powerful and versatile task automation tool. Unfortunately, it is also widely abused by cyber attackers. To bypass malware detection and hinder threat analysis, attackers often employ diverse techniques to obfuscate malicious PowerShell scripts. Existing deobfuscation tools suffer from the limitation of static analysis, which fails to simulate the real deobfuscation process accurately. In this paper, we propose PowerPeeler. To the best of our knowledge, it is the first dynamic PowerShell script deobfuscation approach at the instruction level. It utilizes expression-related Abstract Syntax Tree (AST) nodes to identify potential obfuscated script pieces. Then, PowerPeeler correlates the AST nodes with their corresponding instructions and monitors the script's entire execution process. Subsequently, PowerPeeler dynamically tracks the execution of these instructions and records their execution results. Finally, PowerPeeler stringifies these results to replace the corresponding obfuscated script pieces and reconstruct the deobfuscated script. To evaluate the effectiveness of PowerPeeler, we collect 1,736,669 real-world malicious PowerShell samples with diversity obfuscation methods. We compare PowerPeeler with five state-of-the-art deobfuscation tools and GPT-4. The evaluation results demonstrate that PowerPeeler can effectively handle all well-known obfuscation methods. Additionally, the deobfuscation correctness rate of PowerPeeler reaches 95%, significantly surpassing that of other tools. PowerPeeler not only recovers the highest amount of sensitive data but also maintains a semantic consistency over 97%, which is also the best. Moreover, PowerPeeler effectively obtains the largest quantity of valid deobfuscated results within a limited time frame. Furthermore, PowerPeeler is extendable and can be used as a helpful tool for other cyber security solutions.
- Abstract(参考訳): PowerShellは強力で汎用的なタスク自動化ツールです。
残念ながら、サイバー攻撃者には広く虐待されている。
マルウェアの検出を回避し、脅威分析を妨げるため、攻撃者は悪意のあるPowerShellスクリプトを難読化するために様々なテクニックを使うことが多い。
既存の難読化ツールは静的解析の限界に悩まされ、実際の難読化プロセスを正確にシミュレートすることができない。
本稿では,PowerPeelerを提案する。
私たちの知る限りでは、命令レベルでのPowerShellスクリプトの難読化アプローチとしては初めてのものです。
AST(Expression-related Abstract Syntax Tree)ノードを使用して、潜在的に難読化されたスクリプトを識別する。
そして、PowerPeelerは対応する命令とASTノードを関連付け、スクリプトの実行プロセス全体を監視する。
その後、PowerPeelerはこれらの命令の実行を動的に追跡し、実行結果を記録します。
最後に、PowerPeelerはこれらの結果を文字列化して、対応する難読化スクリプトを置き換え、難読化スクリプトを再構築する。
PowerPeelerの有効性を評価するために,多様性難読化手法を用いて実世界の1,736,669個のPowerShellサンプルを収集した。
我々はPowerPeelerを5つの最先端の難読化ツールとGPT-4と比較した。
評価結果は,PowerPeelerがよく知られた難読化手法を効果的に扱えることを示す。
さらに、PowerPeelerの難読化精度は95%に達し、他のツールをはるかに上回っている。
PowerPeelerは、最高の機密データを回復するだけでなく、セマンティック一貫性を97%以上維持する。
さらに、PowerPeelerは、有効な難読化結果の最大値を制限時間枠内で効果的に取得する。
さらに、PowerPeelerは拡張可能で、他のサイバーセキュリティソリューションの有用なツールとして使用できる。
関連論文リスト
- SCORE: Syntactic Code Representations for Static Script Malware Detection [9.502104012686491]
サーバーサイドスクリプトアタックはデータを盗み、資格を侵害し、操作を妨害する。
本稿では,静的スクリプトマルウェア検出のための特徴抽出と深層学習(DL)に基づくアプローチを提案する。
本手法は, 主要なシグネチャベースの抗ウイルスソリューションよりも最大81%高い陽性率(TPR)を達成する。
論文 参考訳(メタデータ) (2024-11-12T20:58:04Z) - Deciphering the Chaos: Enhancing Jailbreak Attacks via Adversarial Prompt Translation [71.92055093709924]
そこで本稿では, ガーブレッドの逆数プロンプトを, 一貫性のある, 可読性のある自然言語の逆数プロンプトに"翻訳"する手法を提案する。
また、jailbreakプロンプトの効果的な設計を発見し、jailbreak攻撃の理解を深めるための新しいアプローチも提供する。
本稿では,AdvBench上でのLlama-2-Chatモデルに対する攻撃成功率は90%以上である。
論文 参考訳(メタデータ) (2024-10-15T06:31:04Z) - FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。
動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。
1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
論文 参考訳(メタデータ) (2024-05-21T19:54:19Z) - Cryptic Bytes: WebAssembly Obfuscation for Evading Cryptojacking Detection [0.0]
WebAssemblyのコードの難読化テクニックについて、これまでで最も包括的な評価を行った。
Tigressやwasm-mutateといった最先端の難読化ツールを使って、ユーティリティやゲーム、暗号マイニングなど、さまざまなアプリケーションを難読化しています。
2万以上の難読化されたWebAssemblyバイナリと、さらなる研究を促進するために公開されたEcc-obfツールのデータセットです。
論文 参考訳(メタデータ) (2024-03-22T13:32:08Z) - Weak-to-Strong Jailbreaking on Large Language Models [96.50953637783581]
大規模言語モデル(LLM)は、ジェイルブレイク攻撃に対して脆弱である。
既存のジェイルブレイク法は計算コストがかかる。
我々は、弱々しく強固な脱獄攻撃を提案する。
論文 参考訳(メタデータ) (2024-01-30T18:48:37Z) - The Pulse of Fileless Cryptojacking Attacks: Malicious PowerShell Scripts [0.0]
ファイルレスマルウェアは、主にスクリプトに依存しており、Windowsシステムのネイティブ機能を活用して、被害者のシステムに痕跡を残さないステルス攻撃を実行する。
本稿は、MITRE ATT&CKフレームワークに基づいて、一般的な悪意あるパターンを解読する、ファイルレス暗号ジャッキングの暗号スクリプトを包括的に分析する。
論文 参考訳(メタデータ) (2024-01-15T22:36:56Z) - UID as a Guiding Metric for Automated Authorship Obfuscation [0.0]
自動著者トリビュータは、著者のプールにテキストの著者を非常に正確に帰属させることができる。
これらの自動消火器の台頭に対応するため、自動消火器の台頭も行われている。
そこで我々は,一様情報密度(UID)理論として知られる心理学言語理論を利用した3つの新しい著者難読化手法を考案した。
論文 参考訳(メタデータ) (2023-11-05T22:16:37Z) - Light up that Droid! On the Effectiveness of Static Analysis Features
against App Obfuscation for Android Malware Detection [42.50353398405467]
マルウェアの作者は、難読化を静的解析機能に基づいてマルウェア検出をバイパスする手段と見なしている。
本稿では,静的解析を用いて抽出した共通特徴に対する特定の難読化手法の影響を評価する。
本稿では,Android用MLマルウェア検出器を提案する。
論文 参考訳(メタデータ) (2023-10-24T09:07:23Z) - AutoDAN: Generating Stealthy Jailbreak Prompts on Aligned Large Language Models [54.95912006700379]
本稿では,大規模言語モデルに対する新たなジェイルブレイク攻撃であるAutoDANを紹介する。
AutoDANは、慎重に設計された階層型遺伝的アルゴリズムによって、ステルスなジェイルブレイクプロンプトを自動的に生成できる。
論文 参考訳(メタデータ) (2023-10-03T19:44:37Z) - Toward Adversarial Training on Contextualized Language Representation [78.39805974043321]
本稿では, PLMエンコーダが出力する文脈化言語表現の観点から, 対人訓練(AT)について検討する。
そこで我々は, テキストコンテキスト適応型表現-逆訓練(CreAT)を提案し, 攻撃を明示的に最適化し, エンコーダの文脈化表現を逸脱させる。
CreATは幅広いタスクで一貫したパフォーマンス向上を実現しており、エンコーダ部分のみを下流タスクに保持する言語事前トレーニングに有効であることが証明されている。
論文 参考訳(メタデータ) (2023-05-08T08:56:51Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。