CASCADE: LLM-Powered JavaScript Deobfuscator at Google

Dit paper introduceert CASCADE, een hybride Google-tool die de geavanceerde coderingscapaciteiten van Gemini combineert met deterministische compiler-transformaties om JavaScript-obfuscatie effectief te ontrafelen en de reverse-engineering-efficiëntie aanzienlijk te verbeteren.

De kern

Stel je voor dat je een boek leest, maar iemand heeft alle woorden vervangen door vreemde cijfers, de zinnen door elkaar gehaald en de hoofdletters willekeurig veranderd. Het is nog steeds hetzelfde verhaal, maar je kunt het niet meer lezen. Dit is wat obfuscatie (verwarring) doet met computercode, vooral in JavaScript (de taal van websites). Hackers gebruiken dit om hun kwaadaardige programma's te verstoppen, zodat beveiligingsexperts niet kunnen zien wat ze doen.

Het papier introduceert CASCADE, een slimme nieuwe tool van Google die deze code weer leesbaar maakt. Hier is hoe het werkt, vertaald naar alledaagse taal:

1. Het Probleem: De "Vreemde Taal" van Hackers

Hackers gebruiken vaak een gereedschap genaamd Obfuscator.IO. Dit tooltje neemt een simpele zin als "Hallo wereld" en verandert het in een wirwar van wiskundige formules en vreemde variabelen.

• Vroeger: Beveiligingsexperts moesten handmatig regels schrijven om deze wirwar te doorbreken (bijvoorbeeld: "Als je while(true) ziet, is het een lus").
• Het probleem: Zodra de hacker één klein dingje verandert (bijvoorbeeld true veranderen in !false), werken die handgeschreven regels niet meer. Het is als een slot dat open gaat met een specifieke sleutel, maar als de sleutel ook maar een millimeter verschuift, past hij niet meer.

2. De Oplossing: CASCADE (De Slimme Vertaler)

CASCADE is een "hybride" oplossing. Het combineert twee heel verschillende krachten:

1. Een AI (Gemini): De "detective" die het patroon herkent.
2. Een Compiler (JSIR): De "rekenmachine" die de feitelijke berekeningen doet.

Stap 1: De AI als Detective (Het Herkennen van het Patroon)

Stel je voor dat je een detective bent die duizenden moordzaken bekijkt. Je ziet dat elke moordenaar een specifiek soort mes gebruikt, maar ze verpakken het in verschillende dozen.

• De AI (Gemini) kijkt naar de code en zegt: "Ah, ik zie hier een prelude-functie."
• In de code van Obfuscator.IO zijn er altijd drie specifieke blokken die de sleutel tot de code bevatten (een lijst met woorden, een manier om die woorden op te halen, en een draaimolen die de lijst verdraait).
• De AI is zo slim dat hij deze blokken herkent, zelfs als de hacker de naam van de variabelen verandert of de code iets anders opschrijft. De AI hoeft geen duizenden handmatige regels te onthouden; hij begrijpt gewoon wat het is.
• Resultaat: De AI vindt de sleutelblokken met 99,5% nauwkeurigheid.

Stap 2: De Compiler als Rekenmachine (Het Oplossen van de Raadsels)

Zodra de AI de sleutelblokken heeft gevonden, geeft hij ze door aan de tweede helft van CASCADE: de compiler (JSIR).

• De AI is goed in herkennen, maar soms slecht in exact rekenen. Als de AI een getal verkeerd berekent, kan de hele code verkeerd werken.
• De compiler is een super-nauwkeurige rekenmachine. Hij neemt de blokken die de AI heeft gevonden, voert ze uit in een veilige omgeving (een zandbak), en rekent precies uit wat de oorspronkelijke woorden waren.
• Voorbeeld: Als de code zegt "Haal woord nummer 438 op", rekent de compiler uit: "O, dat is 'Hallo Wereld'!". Hij vervangt dan de vreemde code door het echte woord.

3. Waarom is dit zo geweldig? (De Analogie van de Kluiskluis)

Stel je voor dat je een enorme kluiskluis moet openen die door een hacker is gebouwd.

• De oude manier (Regels): Je probeert elke klinker in te drukken die je kent. Als de hacker de klinkers verplaatst, moet je alles opnieuw leren. Dit kost eeuwen.
• De CASCADE-methode:
  1. Je stuur een slimme agent (AI) om te kijken waar de klinkers zitten. Hij zegt: "De klinkers zitten in blok A, B en C."
  2. Je gebruikt een supersterke, exacte machine (Compiler) om die blokken te draaien en de klinkers te openen.
  3. Omdat de machine exact rekent, is er geen kans op fouten. Omdat de agent slim is, werkt het ook als de hacker de kluiskluis een beetje aanpast.

4. Wat levert dit op?

• Snelheid: CASCADE kan duizenden bestanden per dag verwerken.
• Betrouwbaarheid: Omdat de AI alleen de patronen zoekt en de machine de rekenwerk doet, zijn er bijna geen fouten.
• Toekomst: Google gebruikt dit al in hun eigen systemen om kwaadaardige websites te vinden. Het maakt het voor beveiligingsexperts veel makkelijker om te zien wat hackers van plan zijn.

Kortom: CASCADE is als een vertaler die niet alleen de taal kent, maar ook een super-rekenmachine heeft om de raadsels op te lossen. Het maakt de onleesbare code van hackers weer begrijpelijk voor mensen, zodat we ze kunnen stoppen.

Technische samenvatting

Probleemstelling

Softwareobfuscatie, met name in JavaScript, vormt een ernstige hindernis voor codebegrip, softwaretesting, statische analyse en malware-detectie. Obfuscators zoals Obfuscator.IO (de meest gebruikte tool door malware-ontwikkelaars) transformeren leesbare code in complexe, onbegrijpelijke varianten.

• Specifieke uitdaging: De obfuscatie van strings en API-namen (bijv. het veranderen van chrome.cookies naar chrome["cookies"] met een versleutelde string) creëert de grootste barrières voor analyse.
• Beperkingen van bestaande oplossingen:
  • Statische analyse: Gebaseerd op handgeschreven regels (AST-patronen of regex) is kwetsbaar; kleine wijzigingen in de obfuscatie (bijv. while(true) veranderen naar while(!false)) kunnen de deobfuscatie laten falen.
  • Dynamische analyse: Vereist specifieke runtime-omgevingen en heeft vaak hoge prestatiekosten.
  • Pure LLM-oplossingen: Hoewel Large Language Models (LLMs) sterke codebegripvaardigheden hebben, zijn ze vatbaar voor "hallucinaties" en fouten in wiskundige redenering. Een enkele rekenfout kan de semantiek van het programma volledig veranderen, wat onacceptabel is voor productieve veiligheidsapplicaties.

Methodologie: CASCADE

CASCADE (Combined Analysis of Scripts with a Context-Aware Deobfuscation Engine) is een hybride aanpak die de kracht van LLMs (Gemini) combineert met de deterministische precisie van een Compiler Intermediate Representation (JSIR). Het doel is het herstellen van de oorspronkelijke strings en API-namen.

Het proces verloopt in drie fasen:

1. Detectie van Prelude-functies met LLM (Gemini):

   • Obfuscator.IO gebruikt specifieke "prelude"-functies (templates) om strings te beheren: een string-array, een string-ophaalfunctie en een rotatiefunctie.
   • In plaats van handmatige regels te schrijven, gebruikt CASCADE Gemini om deze patronen te identificeren in de obfuscated code.
   • Prompt Engineering: Er wordt gebruikgemaakt van "few-shot learning" met gedetailleerde beschrijvingen en voorbeelden van de templates. De output is gestructureerd (JSON) met IDs van de code-segmenten die de prelude-functies bevatten.
   • Optimalisatie: Een voor-filter (YARA-regels) filtert niet-obfuscated code om kosten te besparen. De LLM-resultaten worden gevalideerd op de verwachte afhankelijkheidsrelaties tussen de functies.

2. Dynamische Executie in een Sandboxed Omgeving:

   • De geïdentificeerde prelude-functies worden uit de obfuscated code verwijderd en uitgevoerd in een schone JavaScript-omgeving (bijv. V8 of QuickJS).
   • Dit maakt het mogelijk om de getString()-functies daadwerkelijk aan te roepen met specifieke argumenten om de echte string-waarden op te halen. Dit omzeilt de complexiteit van de obfuscatie (zoals rotatie of versleuteling) die statische analyse vaak niet kan oplossen.

3. Transformatie via JSIR (Compiler IR):

   • De verkregen string-waarden en de kennis van de prelude-functies worden gebruikt in een aangepaste JSIR (JavaScript Intermediate Representation, gebaseerd op MLIR).
   • Constant Propagation & Inlining: CASCADE voert een intra-procedurele constante propagatie uit. Het behandelt de prelude-functies als "pure" (zij-effectvrije) ingebouwde functies.
   • Indirections Oplossen: Het systeem lost complexe indirecties op, zoals variabele aliassen, wrapper-functies en object-wrappers, door deze in te lijnen (inline) en de expressies stap voor stap te evalueren (substitutie, wiskundige evaluatie, en dynamische uitvoering).
   • Het resultaat is een gedecodeerde versie van de code met de originele strings en API-namen hersteld, terwijl de semantische equivalentie gegarandeerd blijft.

Belangrijkste Bijdragen

1. Novelty: CASCADE is het eerste framework dat een LLM koppelt aan compiler-level IR-transformaties. Het combineert probabilistisch codebegrip (voor patroonherkenning) met deterministische herschrijvingen (voor correctheid).
2. Industriële Implementatie: Het systeem is reeds ingezet in de productieomgeving van Google. Het elimineert de behoefte aan honderden tot duizenden regels handgeschreven, kwetsbare regels (zoals in WebCrack of Deobfuscator.IO).
3. Robuustheid: De hybride architectuur is bestand tegen kleine variaties in obfuscatiepatronen die traditionele AST- of regex-tools zouden doen falen.
4. Schaalbaarheid: De prompt-sjablonen en de JSIR-infrastructuur zijn open-source gemaakt om herhaalbaarheid en adoptie in de gemeenschap te bevorderen.

Resultaten

Het team evalueerde CASCADE op een dataset van 11.740 obfuscated JavaScript-bestanden (gegenereerd met Obfuscator.IO op verschillende moeilijkheidsgraden).

• Prelude-detectie (RQ1):
  • Gemini bereikte een 99,56% nauwkeurigheid bij het correct identificeren van de prelude-functies.
  • De response-rate was 99,28% (sommige complexe bestanden liepen vast op token-limieten).
• String Recovery (RQ2):
  • Succes率: 98,93% van de bestanden werd succesvol gedeobfuscated.
  • Efficiëntie: Gemiddeld werden 945 strings per bestand hersteld.
  • Snelheid: De gemiddelde verwerkingstijd was 2,298 seconden per bestand.
  • Zelfs bij de hoogste obfuscatie-instellingen ("High") werd een succesrate van 97,38% behaald, hoewel de verwerkingstijd toenam tot ongeveer 5 seconden.

Betekenis en Conclusie

CASCADE demonstreert dat een hybride aanpak essentieel is voor betrouwbare softwarebeveiligingstaken.

• Verantwoord AI-gebruik: Door LLMs alleen te gebruiken voor patroonherkenning (waar ze sterk in zijn) en de zware rekenwerk en semantische transformaties over te laten aan een compiler (waar determinisme cruciaal is), worden hallucinaties en fouten geminimaliseerd.
• Productie-ready: Het systeem biedt de snelheid, schaalbaarheid en correctheid die nodig zijn voor het scannen van miljoenen bestanden per dag in een productieomgeving.
• Toekomst: De auteurs plannen CASCADE uit te breiden tot een LLM-agent die zelfstandig beslissingen neemt over welke transformaties nodig zijn, en het te ondersteunen voor andere obfuscators en technieken (zoals control-flow flattening).

Kortom, CASCADE lost het fundamentele dilemma op tussen de flexibiliteit van AI en de noodzaak van strikte correctheid in reverse engineering, en levert een krachtig, schaalbaar hulpmiddel voor malware-detectie.