CASCADE: LLM-Powered JavaScript Deobfuscator at Google

Il paper presenta CASCADE, un deobfuscator JavaScript ibrido sviluppato da Google che combina le capacità di Gemini per identificare le funzioni prelude critiche con le trasformazioni deterministiche di un'intermedia rappresentazione (JSIR), superando i limiti delle tecniche esistenti e migliorando l'efficienza dell'analisi del codice in produzione.

L'essenziale

Immagina di entrare in una stanza piena di scatole chiuse a chiave, etichettate con codici strani e scritte in un linguaggio che sembra un codice segreto. Questa è la realtà del JavaScript offuscato: i programmatori (spesso quelli malintenzionati) prendono un codice pulito e leggibile e lo trasformano in un groviglio incomprensibile per nascondere cosa fa davvero.

Il documento che hai condiviso descrive CASCADE, un nuovo strumento creato da Google per risolvere questo mistero. Ecco come funziona, spiegato con parole semplici e qualche analogia divertente.

1. Il Problema: Il "Groviglio" Invisibile

Immagina che un codice normale sia una ricetta di cucina chiara: "Prendi 2 uova, sbattile, aggiungi la farina".
Un codice offuscato è come se qualcuno avesse:

• Sostituito "uova" con "oggetto_432d".
• Messa la farina in una scatola che si apre solo se fai un calcolo matematico strano.
• Nascosto la ricetta originale in un elenco di parole senza senso, mescolate come in un mazzo di carte.

Per gli analisti di sicurezza, leggere questo codice è come cercare di capire una ricetta guardando solo i numeri sul retro delle scatole. È lento, difficile e facile sbagliare.

2. La Soluzione: CASCADE (Il Detective con un Assistente AI)

Gli autori di Google hanno creato CASCADE, che non è un singolo strumento, ma una squadra di due esperti che lavorano insieme.

L'Assistente Intelligente (Gemini / LLM)

Immagina Gemini come un detective molto colto che ha letto milioni di libri e ricette.

• Cosa fa: Guarda il groviglio di codice e dice: "Ehi! Ho riconosciuto questo schema! Questa parte qui è la 'scatola delle chiavi' (che chiamano prelude function) e questa è la 'lista delle parole nascoste'".
• Il suo superpotere: Riesce a capire il contesto e il linguaggio naturale. Non ha bisogno di regole rigide scritte a mano (come "se vedi la parola X, fai Y"). Se il criminale cambia leggermente il codice (es. invece di scrivere true scrive !false), il detective umano si confonde, ma l'AI capisce comunque che è la stessa cosa.
• Il limite: A volte, se deve fare calcoli matematici complessi o logici, l'AI potrebbe fare un errore di distrazione (un "allucinazione"), come dire che 2+2 fa 5 perché ha letto troppe ricette strane.

L'Ingegnere Preciso (JSIR / Compilatore)

Immagina JSIR come un ingegnere meccanico super preciso o un traduttore automatico infallibile.

• Cosa fa: Una volta che il detective ha trovato le chiavi (le funzioni speciali), l'ingegnere prende il codice e inizia a smontarlo pezzo per pezzo.
• Il suo superpotere: È matematicamente perfetto. Se il detective dice "questa funzione prende l'indice 438 e restituisce una stringa", l'ingegnere esegue quel calcolo al volo in una "scatola sicura" (sandbox) e scrive il risultato esatto: "Ciao Mondo!".
• Perché è necessario: L'ingegnere non sbaglia mai i calcoli. Se l'AI avesse detto "438", l'ingegnere lo verifica e lo trasforma nel testo reale.

3. Come lavorano insieme (La Magia dell'ibrido)

Ecco il processo passo dopo passo, come se fosse un'indagine:

1. L'Indagine (AI): Il detective (Gemini) scorre il codice offuscato e dice: "Ho trovato le tre funzioni chiave che nascondono il messaggio! Sono qui, qui e qui".
2. La Verifica (Ingegnere): L'ingegnere prende quelle funzioni, le esegue in un ambiente sicuro e dice: "Ok, ho calcolato che la funzione X restituisce la parola 'Ciao' e la Y restituisce 'Mondo'".
3. La Ricostruzione: L'ingegnere sostituisce i codici strani nel programma originale con le parole vere.
   • Prima: console[_0x964834(0x1b6)](_0x964834(0x1ba))
   • Dopo: console.log("Ciao Mondo!")

Perché è così importante?

Prima di CASCADE, per decifrare questi codici, gli esperti dovevano scrivere migliaia di regole manuali (come un manuale di istruzioni per ogni tipo di serratura). Se i criminali cambiavano anche solo una virgola nella serratura, il manuale diventava inutile e bisognava riscriverlo tutto.

Con CASCADE:

• Niente più manuali rigidi: L'AI impara a riconoscere i pattern da sola.
• Velocità: Riesce a decifrare centinaia di file in pochi secondi.
• Sicurezza: Non si basa solo sull'AI (che potrebbe sbagliare), ma usa l'ingegnere matematico per garantire che il risultato sia corretto al 100%.

In sintesi

CASCADE è come avere un detective geniale che trova le chiavi nascoste e un orologiaio perfetto che le usa per aprire il lucchetto senza mai graffiare la serratura. Insieme, trasformano un codice illeggibile e pericoloso in una ricetta chiara e sicura, aiutando Google a proteggere gli utenti da software dannosi.

È un esempio perfetto di come l'Intelligenza Artificiale non debba sostituire l'uomo o le macchine tradizionali, ma collaborare con loro: l'AI per la creatività e il riconoscimento, la macchina per la precisione e la sicurezza.

Sommario tecnico

1. Il Problema

L'offuscamento del codice, in particolare in JavaScript, rappresenta una barriera significativa per la comprensione del codice, l'analisi statica, i test software e la rilevazione di malware. Gli attaccanti utilizzano tecniche sofisticate per trasformare codice leggibile in varianti complesse e incomprensibili.

• Sfide principali: Le tecniche di offuscamento includono la generazione dinamica di codice (es. eval), l'appiattimento del flusso di controllo e, soprattutto, la codifica delle stringhe e dei nomi delle API.
• Limiti delle soluzioni attuali:
  • Gli approcci basati su regole (pattern matching) sono fragili: piccole modifiche al codice (es. cambiare while(true) in while(!false)) possono far fallire gli strumenti esistenti come Webcrack.
  • Le analisi dinamiche richiedono ambienti di runtime specifici e hanno un alto overhead.
  • I modelli di linguaggio (LLM) puri, sebbene bravi a comprendere il codice, falliscono nel ragionamento logico e matematico preciso necessario per la deoffuscatura end-to-end, rischiando errori di calcolo che alterano la semantica del programma (es. invertire una condizione).

2. Metodologia: L'Approccio Ibrido CASCADE

Il paper introduce CASCADE (Combined Analysis of Scripts with a Context-Aware Deobfuscation Engine), un sistema ibrido che combina le capacità di comprensione del codice dei Large Language Models (LLM) con la trasformazione deterministica di un Intermediate Representation (IR) del compilatore (JSIR).

Il processo si articola in tre fasi principali:

A. Rilevamento delle "Prelude Functions" tramite LLM (Gemini)

Gli offusicatori come Obfuscator.IO (il più usato dai malware writer) generano funzioni di supporto chiamate "prelude functions" per gestire le stringhe offuscate. Queste sono:

1. String Array Function: Definisce una tabella globale di stringhe.
2. String Fetching Function: Recupera le stringhe dalla tabella usando indici.
3. String Array Rotate Function: Ruota la tabella delle stringhe fino a soddisfare un'espressione matematica complessa.

CASCADE utilizza Gemini per identificare automaticamente queste funzioni nel codice offuscato.

• Vantaggio: Invece di scrivere migliaia di regole manuali (fragili), un prompt strutturato con few-shot learning permette a Gemini di riconoscere questi pattern con un'accuratezza del 99,56%, indipendentemente da piccole variazioni sintattiche o di formattazione.

B. Esecuzione Dinamica in Sandbox

Una volta identificate le prelude functions, CASCADE le estrae e le esegue in un ambiente JavaScript sandboxed (es. V8 o QuickJS).

• Questo permette di calcolare i valori reali delle stringhe recuperate, trattando le funzioni di recupero come funzioni "pure" (idempotenti e senza effetti collaterali), superando le limitazioni delle analisi statiche pure che spesso non riescono a seguire la logica di rotazione o decodifica.

C. Trasformazione tramite JSIR (Static Analysis & Inlining)

I risultati dell'esecuzione dinamica vengono integrati in JSIR (JavaScript Intermediate Representation), un framework di compilazione basato su MLIR.

• Propagazione delle Costanti Avanzata: JSIR esegue una propagazione delle costanti che ora include i valori reali ottenuti dinamicamente.
• Inlining delle Indirezioni: Il sistema risolve le indirezioni create dall'offuscatore, come alias di variabili, funzioni wrapper e oggetti contenenti utility functions.
• Risultato: Le espressioni complesse vengono sostituite con le stringhe originali (es. 'Hello World!'), ripristinando la leggibilità e la semantica originale del codice.

3. Contributi Chiave

1. Innovazione Architetturale: CASCADE è il primo framework a combinare un LLM per il rilevamento di pattern con trasformazioni deterministiche a livello di IR di compilatore per la deoffuscatura JavaScript.
2. Deploy Industriale: Il sistema è già operativo nell'ambiente di produzione di Google, sostituendo centinaia di regole hardcoded utilizzate in strumenti precedenti come Webcrack e Deobfuscator.IO.
3. Robustezza: L'architettura ibrida è resiliente alle variazioni minori del codice offuscato che solitamente rompono gli strumenti basati su AST o regex.
4. Responsabilità nell'uso dell'AI: Il sistema evita di usare l'LLM per generare direttamente il codice deoffuscato (prevenendo allucinazioni), limitando il ruolo dell'AI al solo riconoscimento dei pattern, mentre la logica di trasformazione è affidata al compilatore.

4. Risultati Sperimentali

Il sistema è stato valutato su un dataset di 11.740 file JavaScript offuscati con diverse configurazioni di Obfuscator.IO (Default, Low, Medium, High).

• Rilevamento delle Prelude (RQ1):
  • Accuratezza di rilevamento di Gemini: 99,56% (su 11.655 risposte valide).
  • Tasso di successo nella risposta: 99,28% (alcuni fallimenti dovuti a limiti di token per configurazioni molto complesse).
• Trasformazione JSIR (RQ2):
  • Tasso di successo nella deoffuscatura: 98,93% (11.610 file su 11.736).
  • Efficienza: Recupera in media 945 stringhe letterali per file.
  • Velocità: Tempo medio di esecuzione di 2,3 secondi per file.
  • Le configurazioni "High" (più complesse) richiedono più tempo (circa 5s) ma mantengono un alto tasso di successo.

5. Significato e Implicazioni

Il lavoro di CASCADE dimostra che l'integrazione responsabile di LLM e strumenti di compilazione tradizionali è la via più promettente per compiti di ingegneria del software complessi e critici per la sicurezza.

• Affidabilità: Sfruttando l'LLM solo per compiti di classificazione (dove la precisione non è critica al 100% ma l'adattabilità lo è) e il compilatore per la logica deterministica, si ottiene un sistema che è sia flessibile che corretto.
• Scalabilità: L'uso di modelli efficienti (Gemini Flash) e la riduzione dei costi di token permettono di analizzare milioni di file al giorno in produzione.
• Impatto sulla Sicurezza: Migliora drasticamente l'efficienza della rilevazione dei malware su Google, riducendo lo sforzo manuale di reverse engineering e permettendo di vedere il vero intento del codice malevolo.

In sintesi, CASCADE risolve il compromesso tra la flessibilità dell'AI e la correttezza formale dei compilatori, offrendo una soluzione scalabile e robusta per il problema annoso della deoffuscatura JavaScript.