Conceitos essenciais
WebAssemblyの登場により、攻撃者はJavaScriptの悪意あるプログラムの悪意ある機能をクロス言語の相互作用の中に隠すことができるようになった。しかし、静的プログラム解析に基づく既存のアンチウイルスソリューションは依然としてモノリンガルコードに限定されており、その検出効果が大幅に低下している。
Resumo
本論文では、JWBinderを提案する。これは、JavaScript-WebAssembly多言語悪意あるプログラムの静的検出を強化するための初めての手法である。JWBinderは、言語固有のデータフロー分析を行って、クロス言語の相互作用をキャプチャし、統一された高レベルの構造である「言語間プログラム依存グラフ」を通じて多言語プログラムの機能を特徴付ける。
評価では、VirusTotalの代表的なリアルワールドのアンチウイルスプラットフォームを使用して、JWBinderが様々なベンダーのアンチウイルスシステムを効果的に強化し、多言語悪意あるプログラムに対する全体的な検出率を49.1%から86.2%に向上させることを示している。さらに、JWBinderの副作用と実行時のオーバーヘッドを評価し、実世界のアプリケーションでの実用性を裏付けている。
Estatísticas
多言語悪意あるプログラムに対するVirusTotalの検出率は49.1%に過ぎない。
JWBinderを適用すると、多言語悪意あるプログラムに対する検出率が86.2%に向上する。
JWBinderを適用すると、平均検出エンジン数が4.1から8.3に増加する。
Citações
"WebAssemblyの登場により、攻撃者はJavaScriptの悪意あるプログラムの悪意ある機能をクロス言語の相互作用の中に隠すことができるようになった。"
"既存のアンチウイルスソリューションは依然としてモノリンガルコードに限定されており、その検出効果が大幅に低下している。"
"JWBinderは、言語固有のデータフロー分析を行って、クロス言語の相互作用をキャプチャし、統一された高レベルの構造である「言語間プログラム依存グラフ」を通じて多言語プログラムの機能を特徴付ける。"