On the Abuse and Detection of Polyglot Files

本文讨论了多格式文件（Polyglot）的问题。这种文件在两个或更多格式中都是有效的，因此对于将文件传递给特定格式检测器/签名的恶意软件检测系统以及文件上传和卫生工具都构成了问题。研究人员发现，即使是专门针对多格式文件开发的文件格式和嵌入式文件检测工具，也无法可靠地检测到在野中使用的多格式文件，这使得组织容易受到攻击。为了解决这个问题，研究人员研究了恶意行为者在野外使用多格式文件的情况，并找到了30个多格式样本和15个利用多格式文件的攻击链。在本文中，研究人员重点介绍了两个著名的APT组织，他们的网络攻击链依赖于多格式文件来绕过检测机制。基于对多格式文件使用情况的调查，研究人员创建了一个新的基于对手技术的数据集，并使用这个数据集训练了一个机器学习检测解决方案PolyConv。PolyConv在多格式检测和文件格式识别方面的F1得分分别为99.20％和99.47％，显著优于所有其他测试工具。研究人员还开发了一个内容消毒和重建工具ImSan，成功地消毒了所有测试的基于图像的多格式文件，这是调查中发现的最常见类型。本文提供了具体的工具和建议，以使防御者更好地防御多格式文件，并为未来创造更强大的文件规范和消除武器的方法提供了方向。

解决问题：论文研究多语言文件的检测问题，探究黑客利用多语言文件绕过检测的方式，并提出解决方案。

关键思路：使用机器学习算法训练新的检测工具PolyConv，基于黑客的攻击方式创建新的数据集，同时提出了一个内容消毒和重构工具ImSan。

亮点：使用了机器学习算法训练新的检测工具PolyConv，该工具在多语言文件检测和文件格式识别上表现优异；创建了新的数据集，该数据集基于黑客的攻击方式，可以更好地检测多语言文件；提出了一个内容消毒和重构工具ImSan，可以有效地清除多语言图像文件中的恶意代码。

相关研究：最近的相关研究包括多语言文件检测和恶意代码检测。其中一些论文包括："PolyDet: Automatic Extraction of Polyglot Malware"，"Malware Detection Using Deep Learning: A Meta-Review"，"A Survey of Malware Detection Techniques"。