Scrambler: Mixed Boolean Arithmetic Obfuscation Tool Using E-graph and Equality Expansion

Het paper introduceert Scrambler, een e-graafgebaseerde tool voor Mixed Boolean Arithmetic-obfuscatie die via gelijkheidsuitbreiding efficiënt complexe en diverse expressies genereert met gegarandeerde equivalentie.

De kern

Hier is een uitleg van het paper "Scrambler" in eenvoudig Nederlands, met behulp van creatieve vergelijkingen om het begrijpelijk te maken voor iedereen.

Wat is dit papier eigenlijk over?

Stel je voor dat je een heel gewone, simpele zin hebt, zoals: "Ik eet een appel."
Als je deze zin wilt verstoppen voor iemand die hem niet mag lezen (bijvoorbeeld een hacker die probeert te snappen hoe een computerprogramma werkt), kun je de zin herschrijven zonder de betekenis te veranderen.

In plaats van "Ik eet een appel" te zeggen, zou je kunnen zeggen: "De persoon die ik ben, consumeert een vrucht die rood is en rond, en die groeit aan een boom."

Het resultaat is nog steeds waar, maar het is veel langer, rommeliger en moeilijker om direct te doorgronden. In de wereld van computersoftware noemen we dit obfuscatie (verwarring).

Dit paper introduceert een nieuw gereedschap genaamd Scrambler. Dit is een slimme machine die automatisch hele complexe, onleesbare zinnen (of in dit geval, wiskundige formules) bedenkt om software te beschermen.

Het probleem met de oude methoden

Vroeger hadden mensen gereedschappen om software te verwarren, maar die hadden twee grote nadelen:

1. Ze waren beperkt: Het was alsof je alleen maar woorden uit een klein woordenboek mocht gebruiken. Je kon niet echt creatief zijn.
2. Ze moesten controleren: Omdat ze niet zeker wisten of hun nieuwe zin nog steeds dezelfde betekenis had, moesten ze na het maken van de zin een dure "controleur" (een computerprogramma) bellen om te checken: "Heb je dit goed gedaan?" Dit kostte veel tijd.

De oplossing: Scrambler en de "E-Graph"

De auteurs van dit papier hebben een nieuwe aanpak bedacht die werkt als een ontzettend slimme bibliotheek of een spiegelzaal.

1. De E-Graph (De Spiegelzaal)

Stel je voor dat je in een kamer staat met spiegels aan alle kanten. In het midden staat een simpele bloem.

• In een normale wereld zie je één bloem.
• In deze "spiegelzaal" (de E-Graph in het paper) zie je de bloem, maar ook duizenden versies ervan: een bloem met een hoed, een bloem die dansen doet, een bloem gemaakt van glas.
• Het mooie is: de computer "weet" dat al deze versies dezelfde bloem zijn. Ze zijn equivalent. Ze hoeven niet apart opgeslagen te worden als iets nieuws; ze zijn gewoon verschillende manieren om naar hetzelfde te kijken.

2. Equality Expansion (Het Uitrekken van de Zin)

Normaal gesproken proberen computers in zo'n spiegelzaal de kortste en eenvoudigste weg te vinden (bijvoorbeeld: "Kies de versie zonder hoed").

Scrambler doet het tegenovergestelde. Het is als een kind dat zegt: "Nee, ik wil de langste, gekste versie!"
Het tooltje pakt een simpele formule en begint continu nieuwe regels toe te passen in de spiegelzaal.

• Stap 1: "Ik eet een appel."
• Stap 2: "Ik eet een vrucht die rood is."
• Stap 3: "Ik eet een vrucht die rood is en die groeit aan een boom die in de tuin staat..."
• Stap 4: ...en zo verder, tot de zin zo lang is dat hij 10.000 woorden telt.

Dit noemen ze Equality Expansion. Ze gebruiken de regels van de wiskunde om de zin steeds langer en complexer te maken, maar omdat ze binnen de "spiegelzaal" werken, weten ze 100% zeker dat de betekenis nooit verandert.

Waarom is Scrambler zo cool?

Het paper laat zien dat Scrambler veel beter is dan de oude tools. Hier zijn de voordelen, vertaald naar alledaags taal:

• Het is een explosie van complexiteit:
  Terwijl andere tools een zin van misschien 200 woorden maken, kan Scrambler er een maken van 34.000 woorden (of in wiskundige termen: 34.000 bouwstenen). Het maakt de code zo rommelig dat het voor een hacker onmogelijk lijkt om erachter te komen wat er eigenlijk gebeurt.
• Geen controleur nodig:
  Omdat Scrambler werkt met de "spiegelzaal" (de E-Graph), is het per definitie waar dat de nieuwe zin hetzelfde betekent als de oude. Je hoeft geen dure controleur meer te bellen om te checken of het klopt. Het systeem bouwt het zo dat het altijd klopt. Dat bespaart enorm veel tijd.
• Meer vrijheid:
  Oude tools hadden maar een paar regels. Scrambler kan met veel verschillende soorten wiskundige regels werken, waardoor het eindresultaat veel diverser en moeilijker te kraken is.

Wat zeggen de cijfers?

In het paper hebben ze een wedstrijd gehouden tussen Scrambler en de oude tools.

• Oude tools: Maakten formules die ongeveer 200 tot 2000 "stukjes" groot waren.
• Scrambler: Maakte formules die gemiddeld 34.000 stukjes groot waren!

Dat is als het verschil tussen een kort gedicht en een hele roman die je in één seconde hebt geschreven, maar die nog steeds precies hetzelfde verhaal vertelt.

Conclusie

Kort samengevat: Scrambler is een nieuwe, slimme manier om computercode te verstoppen. Het gebruikt een slimme "spiegelzaal" (E-Graph) om simpele instructies om te toveren in gigantische, onleesbare muren van wiskunde. Omdat het systeem slim genoeg is om te weten dat de betekenis behouden blijft, hoeft het niet te controleren of het goed is gedaan. Het resultaat is een beveiliging die veel moeilijker te kraken is dan wat we tot nu toe hadden.

Het is alsof je een sleutel in een doos stopt, de doos in een koffer doet, de koffer in een vrachtwagen, en die vrachtwagen in een berg giet... en dat allemaal in een seconde, zonder dat je ooit twijfelt of de sleutel nog steeds in de doos zit.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "SCRAMBLER: MIXED BOOLEAN ARITHMETIC OBFUSCATION TOOL USING E-GRAPH AND EQUALITY EXPANSION" in het Nederlands.

Probleemstelling

Programma-obfuscatie transformeert code naar een functioneel equivalente maar minder leesbare vorm om analyse en reverse engineering te bemoeilijken. Mixed Boolean-Arithmetic (MBA) obfuscatie is een veelgebruikte techniek die eenvoudige expressies ingewikkeld maakt door Boolean- en rekenkundige operatoren te mengen (bijv. $x + y$ omzetten naar $(x \lor y) + (x \land y)$).

Bestaande MBA-obfuscatie-tools (zoals MBA Obfuscator, NeuReduce en Loki) hebben echter aanzienlijke beperkingen:

• Beperkte diversiteit: Ze vertrouwen vaak op vooraf gedefinieerde regels en specifieke matrixgebaseerde informatie (zoals waarheidstabellen), wat de variatie in gegenereerde expressies beperkt.
• Schalingsproblemen: Ze hebben moeite met het genereren van zeer complexe expressies en vereisen vaak handmatige configuratie.
• Verificatie-overhead: De meeste tools gebruiken SMT-oplossers (zoals Z3) om de semantische equivalentie van de gegenereerde expressies te verifiëren. Dit proces wordt traag en inefficiënt naarmate de expressies groter en complexer worden.
• Operator-beperking: Veel tools ondersteunen een beperkt aantal operatoren.

Methodologie: Scrambler

Het paper introduceert Scrambler, een nieuw MBA-obfuscatie-tool dat gebruikmaakt van e-graphs (equivalence graphs) en een nieuwe techniek genaamd Equality Expansion.

1. E-graphs: Een e-graph is een grafische datastructuur die equivalenties tussen verschillende expressies efficiënt kan representeren zonder duplicatie. Het stelt meerdere semantisch equivalente expressies voor in één structuur, waarbij knoppen met dezelfde betekenis worden gegroepeerd in "e-classes".
2. Equality Expansion: Dit is een adaptatie van de bestaande Equality Saturation-methode.
   • Equality Saturation is een optimalisatie-algoritme dat probeert de eenvoudigste expressie te vinden door alle mogelijke herschrijvingsregels toe te passen.
   • Equality Expansion draait dit principe om: het doel is niet om de eenvoudigste expressie te vinden, maar om complexe expressies te genereren die voldoen aan een specifieke stopconditie (bijvoorbeeld: de grootte van de Abstract Syntax Tree (AST) moet groter zijn dan 1000 knopen).
3. Implementatie: Scrambler is geschreven in Rust met behulp van het egg-framework. Het neemt als input een set herschrijvingsregels, een te obfusceren expressie en een stopconditie.
4. Semantische Garantie: Omdat Scrambler uitsluitend semantisch behoudende herschrijvingsregels toepast binnen de e-graph-structuur, is de equivalentie met de originele expressie gegarandeerd door constructie. Dit elimineert de noodzaak voor externe verificatie via SMT-oplossers.

Belangrijkste Bijdragen

• Nieuwe Architectuur: De introductie van een MBA-obfuscatie-tool die volledig gebaseerd is op e-graphs en Equality Expansion, in plaats van op statische tabellen of lineaire algebra.
• Geen Verificatie-Overhead: Door de equivalentie te garanderen via de datastructuur zelf, wordt de tijd en rekenkracht die normaal nodig is voor SMT-verificatie bespaard.
• Hoge Expressiviteit: Scrambler kan een breed scala aan MBA-expressies genereren (lineair, polynoom en niet-polynoom) met een veel grotere complexiteit dan bestaande tools, gebruikmakend van een relatief kleine set regels (ongeveer 14 regels in de experimenten).
• Flexibiliteit: De tool kan worden geconfigureerd met verschillende stopcondities (AST-grootte, zoekdiepte, tijdslimiet) om de complexiteit van de output aan te passen.

Resultaten

De auteurs voerden vergelijkende experimenten uit tussen Scrambler en bestaande tools (NeuReduce, Loki, MBA Obfuscator) op basis van zes metrieken: AST-grootte, aantal variabelen, aantal constanten, aantal operatoren, MBA-alternatie en entropie.

• Complexiteit: Scrambler presteerde aanzienlijk beter in termen van structuurcomplexiteit.
  • De gemiddelde AST-grootte van Scrambler was 34.786, vergeleken met 235 voor de MBA Obfuscator en 216 voor Loki.
  • Het aantal operatoren was gemiddeld 23.373 voor Scrambler, tegenover 136 voor de MBA Obfuscator.
  • De MBA-alternatie (een maat voor complexiteit) was 6.387 voor Scrambler, wat een orde van grootte hoger is dan de concurrenten.
• Efficiëntie: Ondanks de enorme complexiteit van de output, werd de generatie binnen een tijdslimiet van 2 seconden voltooid (voor de geteste configuratie), zonder dat er een aparte verificatiestap nodig was.
• Scalabiliteit: De resultaten tonen aan dat door de "equality expansion"-condities te versoepelen (bijv. hogere knopenlimieten), nog robuustere expressies kunnen worden gegenereerd, mits het geheugen toelaat.

Betekenis en Conclusie

Scrambler vertegenwoordigt een significante doorbraak in het veld van code-obfuscatie. Door de beperkingen van bestaande tools (zoals de afhankelijkheid van SMT-oplossers en beperkte operatorsets) te overwinnen, biedt het een schaalbare en efficiënte manier om uiterst complexe MBA-expressies te genereren.

De belangrijkste implicatie is dat het mogelijk is om zeer sterke obfuscatie te realiseren die moeilijk te analyseren is voor reverse engineers, zonder de prestaties van de generatie te laten instorten door verificatie-overhead. De auteurs wijzen er echter op dat de juistheid van de toegepaste herschrijvingsregels kritisch blijft; foutieve regels zouden de equivalentie kunnen schenden. Toekomstig werk zal zich richten op het optimaliseren van de regelselectie en het verder verbeteren van de prestaties bij zeer grote schaal.