【CODE BLUE 2024】マーズ・チェン+イーアン・リン+シェンハオ・マー / Mars Cheng+Yi-An Lin+Sheng-Hao Ma - 講演関連資料 / Presentation resources -
●講演概要 / Abstract
[ja] 意味検出に必要なのは注意力だけ:ニューラル・シンボリック・アプローチによる新しい変換器
大規模なサンプルから、専門家が分析する労力に見合う少数のユニークなバイナリを特定するには、自動サンドボックス・エミュレーションやAI検出エンジンなど、インシデント対応の限られた期間内に人的コストを削減するために、重複の多いプログラムファイルを除外するフィルタ技術が不可欠である。 VirusTotalが2021年に報告したように、15億サンプルのうち90%は重複しているが、難読化のためマルウェアの専門家が検証する必要がある。本研究では、未知のAPIコールの中のUse-defineチェーンのテイント分析など、専門家の分析戦略をシミュレートするために、新しいニューラルネットワークベースのシンボリック実行LLMであるCuIDAを提案した。本手法は、APIのコンテキストを自動的理解し、(a.)動的APIソルバー、(b.)シェルコードの動作推論、(c.)アンパックなしの商用パッカー検出など、最も困難な検出ジレンマにおいて難読化された動作を発見することに成功した。
[en] Attention Is All You Need for Semantics Detection:A Novel Transformer on Neural-Symbolic Approach
To identify a few unique binaries even worth the effort for human experts to analyze from large-scale samples, filter techniques for excluding those highly duplicated program files are essential to reduce the human cost within a restricted period of incident response, such as auto-sandbox emulation or AI detection engine. As VirusTotal reported in 2021 ~90% of 1.5 billion samples are duplicated but still require malware experts to verify due to obfuscation.
In this work, we proposed a novel neural-network-based symbolic execution LLM, CuIDA, to simulate the analysis strategies of human experts, such as taint analysis of the Use-define chain among unknown API calls. Our method can automatically capture the contextual comprehension of API and successfully uncover those obfuscated behaviors in the most challenging detection dilemma including (a.) dynamic API solver, (b.) shellcode behavior inference, and (c.) commercial packers detection WITHOUT unpacking.
●略歴 / Bio
[ja] マーズ・チェン
マーズ・チェン (@marscheng_) は、TXOne NetworksのPSIRTおよび脅威リサーチチームのマネージャーとして、プロダクトセキュリティ施策と脅威リサーチ活動を統括している。また、台湾のハッカー協会(HIT/HITCON)の常務理事およびHITCON CISOサミット2024の総合コーディネーターとして、企業と政府の協力を促進し、サイバーセキュリティの強化に貢献している。マーズは、Black Hat USA / Europe / MEA、RSA Conference、DEF CON、CODE BLUE、FIRST、HITB、HITCON、Troopers、NOHAT、SecTor、SINCON、ROOTCON、ICS Cyber Security Conference Asia and USA、CYBERSEC、CLOUDSEC、VXCONなど、数多くの国際的なサイバーセキュリティカンファレンスで50回以上の講演やトレーニングを行っている。彼の専門分野は、ICS / SCADAシステム、マルウェア解析、脅威インテリジェンスおよびハンティング、企業セキュリティなど多岐にわたる。マーズは、サイバーセキュリティコミュニティに対して多大な貢献をしており、10以上のCVE-IDを執筆し、応用暗号に関する3つのSCIジャーナルに論文を発表している。また、HITCON CISO Summit 2023、HITCON PEACE 2022、HITCON 2021、HITCON 2020など、過去にHITCONイベントの開催にも貢献している。
[ja] イーアン・リン
イーアン・リンは、現在TXOne Networks Inc.の脅威リサーチャーである。
彼女の主な業務は、攻撃技術や新たな脅威の調査、攻撃組織の意図の解明、脅威インテリジェンスの分析および脅威ハンティングである。リンは、国立陽明交通大学のコンピューターサイエンス学科を卒業し、群衆の視覚的意味解釈における畳み込みニューラルネットワーク(convolutional neural networks for crowd visual semantic interpretation)など、人工知能の多岐にわたる分野を専門としている。また、CVE-2020-1472に関連するAES-CFB8暗号の脆弱性の根本原因についても研究を行った。2018年には、香港理工大学の電気工学科に在籍し、コンピューティング学科の選択科目を受講することで、サイバーセキュリティ分野に進出した。
[ja] シェンハオ・マー
シェンハオ・マー(@aaaddress1)は、TXOne NetworksのPSIRTおよび脅威研究チームのリーダーとして、製品セキュリティおよび脅威研究の調整を担当している。リバースエンジニアリング、シンボリック実行、マルウェア分析、機械学習に関する15年以上の専門知識を持ち、台湾のサイバーセキュリティ・コミュニティであるCHROOTにも所属している。
[en] Mars Cheng
Mars Cheng (@marscheng_) leads TXOne Networks' PSIRT and Threat Research Team as Threat Research Manager, coordinating product security initiatives and threat research efforts. He is also the Executive Director for the Association of Hackers in Taiwan (HIT/HITCON) and General Coordinator of HITCON CISO Summit 2024, facilitating collaboration between enterprises and the government to bolster the cybersecurity landscape. Mars is a frequent speaker and trainer at numerous prestigious international cybersecurity conferences and has presented over 50 times, including Black Hat USA/Europe/MEA, RSA Conference, DEF CON, CODE BLUE, FIRST, HITB, HITCON, Troopers, NOHAT, SecTor, SINCON, ROOTCON, ICS Cyber Security Conference Asia and USA, CYBERSEC, CLOUDSEC, VXCON, and many others. His expertise spans ICS/SCADA systems, malware analysis, threat intelligence and hunting, and enterprise security. Mars has made significant contributions to the cybersecurity community, including authoring more than ten CVE-IDs and publishing in three SCI journals on applied cryptography. Mars has successfully organized several past HITCON events, including HITCON CISO Summit 2023, HITCON PEACE 2022, HITCON 2021, and HITCON 2020.
[en] Yi-An Lin
Yi-An Lin is currently a threat researcher at TXOne Networks Inc. Her primary responsibilities are research on attack techniques and new threats, interpreting the intentions of attacking organizations, analyzing threat intelligence and threat hunting. Yi-An graduated from the Department of Computer Science at National Yang Ming Chiao Tung University, specializing in multiple areas of artificial intelligence, such as convolutional neural networks for crowd visual semantic interpretation. She has also researched the root causes behind the AES-CFB8 cryptographic weaknesses related to CVE-2020-1472. In 2018, she studied in the Department of Electrical Engineering at The Hong Kong Polytechnic University and ventured into the field of cybersecurity by taking elective courses in the Department of Computing.
[en] Sheng-Hao Ma
Sheng-Hao Ma (@aaaddress1) is a team lead of TXOne Networks PSIRT and threat research team, responsible for coordinating product security and threat research. With over 15 years of expertise in reverse engineering, symbolic execution, malware analysis, and machine-learning, he is also part of CHROOT, a cybersecurity community in Taiwan.
As a frequent speaker, trainer, and instructor, Sheng-Hao has contributed to numerous international conferences and organizations, including Black Hat USA, DEFCON, CODE BLUE, S4, SECTOR, HITB, VXCON, HITCON, and ROOTCON, as well as the Ministry of National Defense and the Ministry of Education. He is the author of "Windows APT Warfare:The Definitive Guide for Malware Researchers," a well-regarded cybersecurity book about reverse engineering of Windows.
●講演動画 / Presentation video
●講演スライド / Presentation slide
(Click the image to open the PDF via an external link)
●写真 / Photo
(From left: Mars Chen, Ian Lin, and Shenhao Ma)
●レポート記事 / Reports
[ja] [レポート]意味検出に必要なのは注意力だけ:ニューラル・シンボリック・アプローチによる新しい変換器 - CODE BLUE 2024(Developers IO / クラスメソッド)