JP2014182837A - マルウェア発見方法及びシステム - Google Patents
マルウェア発見方法及びシステム Download PDFInfo
- Publication number
- JP2014182837A JP2014182837A JP2014054320A JP2014054320A JP2014182837A JP 2014182837 A JP2014182837 A JP 2014182837A JP 2014054320 A JP2014054320 A JP 2014054320A JP 2014054320 A JP2014054320 A JP 2014054320A JP 2014182837 A JP2014182837 A JP 2014182837A
- Authority
- JP
- Japan
- Prior art keywords
- monitoring agent
- thread
- malware
- threads
- executable file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 238000012544 monitoring process Methods 0.000 claims abstract description 47
- 230000026676 system process Effects 0.000 claims description 5
- 101100217298 Mus musculus Aspm gene Proteins 0.000 claims description 3
- 239000003795 chemical substances by application Substances 0.000 description 25
- 239000000243 solution Substances 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical class CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
【課題】有害である可能性のあるマルウェアを識別する方法を提供することである。
【解決手段】この方法は、a)実行されようとしている実行ファイルを識別するステップと、b)前記実行ファイルのプロセスによって開始されたスレッドの子孫である全てのスレッドを監視する監視エージェントを提供するステップと、c)前記子孫スレッドのうちの一つが、疑わしいパッチが内部で作成されるターゲットプロセスに到達した場合に、マルウェアが存在する見込みが高いと結論付けるように、前記監視エージェントを構成するステップとを含む。
【選択図】図1
【解決手段】この方法は、a)実行されようとしている実行ファイルを識別するステップと、b)前記実行ファイルのプロセスによって開始されたスレッドの子孫である全てのスレッドを監視する監視エージェントを提供するステップと、c)前記子孫スレッドのうちの一つが、疑わしいパッチが内部で作成されるターゲットプロセスに到達した場合に、マルウェアが存在する見込みが高いと結論付けるように、前記監視エージェントを構成するステップとを含む。
【選択図】図1
Description
本発明は、ソフトウェアセキュリティの分野に関する。
マルウェア攻撃から防御するための最も効率的な方法の一つは、可能な最も早い時期にマルウェアの存在の可能性を能動的に識別することによるものである。これは、マルウェア(通常はそのシグネチャによって識別される)がないかどうかコンピュータシステムを定期的に走査するという、より受け身的な手法とは対照的である。しかし、マルウェアは絶えず開発されており、より識別されにくくするための種々の方法がある。
技術は常に、マルウェアと戦うための新しい改善された方法を探っているが、現在までのところ、マルウェアが存在する可能性を早期に識別するための解決法はほとんどない。
本発明の目的は、既存のマルウェア対策解決法の欠点を克服する方法及びシステムであって、コンピュータシステム中にマルウェアが存在する可能性の早期検出をもたらすことのできる方法及びシステムを提供することである。
本発明の別の目的は、それを使用するコンピュータシステムにとってほぼ邪魔にならないマルウェア対策解決法を提供することである。
本発明の他の目的及び利点は、本記述が進行するにつれて明らかになるであろう。
一態様では、本発明は、有害である可能性のあるマルウェアを識別する方法に関し、この方法は、
a)実行されようとしている実行ファイルを識別するステップと、
b)前記実行ファイルのプロセスによって開始されたスレッドの子孫(descendent)である全てのスレッドを監視する監視エージェントを提供するステップと、
c)前記子孫スレッドのうちの一つが、疑わしいパッチが内部で作成されるターゲットプロセスに到達した場合に、マルウェアが存在する見込みが高いと結論付けるように、前記監視エージェントを構成するステップとを含む。
a)実行されようとしている実行ファイルを識別するステップと、
b)前記実行ファイルのプロセスによって開始されたスレッドの子孫(descendent)である全てのスレッドを監視する監視エージェントを提供するステップと、
c)前記子孫スレッドのうちの一つが、疑わしいパッチが内部で作成されるターゲットプロセスに到達した場合に、マルウェアが存在する見込みが高いと結論付けるように、前記監視エージェントを構成するステップとを含む。
本発明の一実施形態では、ターゲットプロセスはブラウザである。本発明の一実施形態によれば、監視エージェントは、実行されようとしている実行ファイルを識別したとき、その暗号ハッシュアルゴリズムをチェックして、前にシステム中で実行されたことがあるかどうか判定する。暗号ハッシュアルゴリズムは、任意の適切なアルゴリズムとすることができ、例えばMD5、SHA1、及びSHA2から選択することができる。本発明の一実施形態では、実行ファイルが初めて実行されつつあると思われる場合は、監視エージェントは実行ファイルの追跡(follow)を継続する。本発明の別の実施形態では、監視エージェントは、プロセスが実行される度にプロセスを追跡する。
本発明はどんな特定のオペレーティングシステムにも限定されないが、本発明の一実施形態によれば、監視エージェントは、Windows(登録商標)環境で動作し、CRT(Create Remote Thread)関数を見張り、CRTへのフック(hook)を作成する。
本発明はまた、実行ファイルが正当なシステムプロセス中でスレッドを作成する場合にも、効率的に動作することができる。この場合、本発明の一実施形態によれば、正当なプロセスによって開かれた各スレッドに対して、CRT監視が行われる。本発明の代替実施形態では、監視エージェントは、新しいCRTがどのスレッドから生じたかチェックし、前記CRTが疑わしいスレッドから来たものである場合にのみ、このCRTを追跡する。
監視エージェントはまた、疑わしい挙動を伴う正当なプロセスの、ホワイトリストを維持することができる。これにより監視エージェントの動作を合理化することができるが、本発明は、このようなホワイトリストがなくても動作することができる。
マルウェアが存在する見込みがあると監視エージェントが結論付けたとき、是正アクションが実施される。是正アクションは、どんなタイプのものでもよく、例えば、マルウェアを隔離又はブロックすること、ユーザ又は指定エンティティに危険を警告することなどを含み得る。
別の態様では、本発明は、実行ファイルのプロセスによって開始されたスレッドの子孫である全てのスレッドを追跡するように構成された監視エージェントを対象とする。本発明の一実施形態では、監視エージェントは、前記子孫スレッドのうちの一つが、疑わしいパッチが内部で作成されるターゲットプロセスに到達した場合に、マルウェアが存在する見込みが高いと結論付けるように構成される。
以下の記述では、用語「マルウェア」、「有害である可能性のあるコード」、及び「悪意のあるコード」は、交換可能に使用される。本発明は、多くのタイプのマルウェアによって使用される手口に対処する問題を対象とするが、この手口とは、マルウェアが実行され始めると悪意のあるコードをシステムの正当なプロセスに注入するものである。注入が完了するとすぐに、マルウェアプロセスは終了し、マルウェアは今や、前述の正当なシステムプロセス中で実行されるそれ自体のスレッド中で実行される。プロセスは正当なので、マルウェアの存在を識別することは、大幅により困難になる。
しかし、正当なシステムプロセスにスレッドを注入することは、マルウェアの最終目的ではない。マルウェアは通常、異なるターゲットプロセスを狙う。多くの場合、ターゲットはブラウザであり、この場合、マルウェアは、どのブラウザプロセスが開いているかチェックして、そのブラウザプロセスにコードを注入することになる。
マルウェアが従うプロセスの例示的な流れは、以下のとおりである。
1.定期的(例えば100ミリ秒ごと)に、システム中の全てのプロセスを列挙する。
2.名前(例えば「firefox.exe」、「iexplore.exe」)によってターゲットプロセスを識別する。
3.例えばWriteVirtualMemoryを使用して、悪意のあるコードをターゲットプロセスに注入する。
4.CreateRemoteThreadを使用して、悪意のあるコードを本文とするリモートスレッドを作成する。
1.定期的(例えば100ミリ秒ごと)に、システム中の全てのプロセスを列挙する。
2.名前(例えば「firefox.exe」、「iexplore.exe」)によってターゲットプロセスを識別する。
3.例えばWriteVirtualMemoryを使用して、悪意のあるコードをターゲットプロセスに注入する。
4.CreateRemoteThreadを使用して、悪意のあるコードを本文とするリモートスレッドを作成する。
当業者には明らかであろうが、このプロセス(すなわち、現在マルウェアが実行されている場所とは異なるプロセス中で、新しいスレッドを作成すること)は、複数回実施される可能性があり、それにより、元のマルウェアから生じてターゲットプロセスに至る、スレッドの連鎖が生み出される可能性がある。本発明によれば、システム中で実行されるプロセスを監視することは、マルウェアの起源とターゲットの両方を識別することを含む。例えば、ターゲットプロセス中で新しいスレッドが確立され、この新しいスレッドが実行されたときに、扱いに注意を要するプロセスへのフック又はパッチが識別された場合は、本発明によれば、スレッドの連鎖は疑わしいと考えられる。さらに別の例は、元のプロセスが、Program Filesフォルダから実行されず、Tempフォルダなど別のフォルダから実行される場合であり、このTempフォルダ自体が疑わしい。この場合、悪意がある可能性があるとしてプロセスを分類することはまた、追加の要素(ディジタルシグネチャの欠落、特に小さいファイルサイズなど)を調べることによって、より確信を持って行うことができる。
したがって、本発明は、プロセススレッドのアクティビティを追跡(follow)することによって機能する。これは本質的に以下のとおりである。
1.本発明による監視エージェントは、実行されようとしている実行ファイルを識別し、その暗号ハッシュアルゴリズム(例えばMD5又はSHA1又はSHA2)をチェックし、前にシステム中で実行されたことがあるかどうか判定する。この実行ファイルが初めて実行されると思われる場合は、監視エージェントは実行ファイルの追跡を継続することになる。
2.任意選択で、監視エージェントは、プロセスが実行される度にプロセスを追跡することができる。これは例えば、マルウェアが、その悪意あるアクティビティを開始する前に複数回にわたり無害で実行されるようにプログラムされている場合のためである。
3.Windows(登録商標)環境で稼働するとき、監視エージェントは、マルウェアによって通常使用されるCRT(Create Remote Thread)関数を見張る(watch)。本発明の監視エージェントは、カーネルドライバ又はユーザ空間実装(userspace implementation)を通して動作することができ、この場合、監視エージェントはCRTへのフックを作成し、疑わしいプロセスがCRTを呼び出したとき、監視エージェントは、CRTがスレッドをその中で作成するプロセスの識別を検証する。加えて、ターゲットプロセスについても同じことが行われ、そのCRTへのフックが作成される。
4.本発明の一実施形態では、CRT監視は、正当なプロセスによって開かれた各スレッドに適用される。本発明の代替実施形態では、監視エージェントは、「自分はどのスレッドで実行されているか」を尋ねることによって、新しいCRTがどのスレッドから生じたものかチェックし、前記CRTが疑わしいスレッドから来たものである場合にのみ、このCRTを追跡する。この代替実施形態は前の実施形態よりも効率的だが、どちらの代替を使用してもよい。
図1を参照しながら、本発明の一実施形態によるプロセスを概略的に例示する。このプロセスでは、以下のイベントが行われる。
101 実行されようとしている実行ファイルが識別される。
102 前記実行ファイルのプロセスによって開始されたスレッドの子孫(descendent)である全てのスレッドが監視される。
103 全てのスレッドが監視されていない場合、監視プロセスは、新しいスレッドの監視を継続する。
104 疑わしいパッチが作成されない場合、監視プロセスは継続する。
105 1以上の疑わしいパッチが作成される場合、マルウェアが存在する可能性が決定される。
101 実行されようとしている実行ファイルが識別される。
102 前記実行ファイルのプロセスによって開始されたスレッドの子孫(descendent)である全てのスレッドが監視される。
103 全てのスレッドが監視されていない場合、監視プロセスは、新しいスレッドの監視を継続する。
104 疑わしいパッチが作成されない場合、監視プロセスは継続する。
105 1以上の疑わしいパッチが作成される場合、マルウェアが存在する可能性が決定される。
本発明による監視エージェントは、当業者に知られている任意の適切なタイプのものとすることができ、例えば、ZwCreateProcessカーネル呼出しを監視するカーネルドライバとすることができる。或いは、ほぼ全てのユーザ空間プロセス中で、CreateProcess関数にパッチが当てられる可能性もある。
当業者には理解されるであろうが、一つのスレッドが新しいローカルスレッドを開くことになる可能性があり、これらのローカルスレッドのうちの一つが、外に向けたCRTを行うことになる可能性がある。本発明によれば、監視エージェントは、元のプロセスの子孫である全てのスレッドを監視する。任意選択で、監視プロセスは、スレッドにマーキングすることを含んでよいが、マーキングは、場合によっては便利なこともあるが本発明の実施に必須ではない。これらの子孫スレッドのうちの一つがブラウザに到達し、疑わしいパッチが作成される場合、監視エージェントは、マルウェアが存在する見込みが高いと結論付ける。
マルウェアの可能性が識別された後は、監視エージェントは、ユーザに警告すること、実行ファイルを隔離場所に配置すること、1以上のプロセス/スレッドを停止することなど、任意の適切な措置を講じることができる。これらの措置は全て、従来どおりであって当業者に周知であり、したがってここでは詳細に述べない。
プロセスの少なくとも一部はマルウェアと同様にして挙動するが、最終的には何ら悪意あるイベントを生み出さないといった、完全に正当なプロセスが生じる場合も当然ある。本発明の一実施形態によれば、監視エージェントは、疑わしい挙動を伴うこのような正当なプロセスのホワイトリストを維持して、これらのプロセスを繰り返し監視する必要を回避する。
例
当業者なら、本発明の使用対象となり得るマルウェアを容易に認識するであろう。このようなマルウェアの説明となる一例は、Zeusマルウェアであり、これは、CRT連鎖に関する典型的な例である。http://www.mnin.org/write/ZeusMalware.pdfからの、以下の関連する一節に、このことが例示されている。
当業者なら、本発明の使用対象となり得るマルウェアを容易に認識するであろう。このようなマルウェアの説明となる一例は、Zeusマルウェアであり、これは、CRT連鎖に関する典型的な例である。http://www.mnin.org/write/ZeusMalware.pdfからの、以下の関連する一節に、このことが例示されている。
「このトロイの木馬は特に、まずそのイメージ全体をリモートプロセスのヒープ上の領域に書き込み、次いで、所望のサブルーチンのアドレスを指定するCreateRemoteThread()を呼び出すことにより、リモートプロセス内から、それ自体のコードベースからのスレッドを呼び出す。
(中略)これは(中略)、prg.exeからwinlogon.exeを感染させるのに使用され、また、どのようにwinlogon.exeがsvchost.exeを感染させるかであり、どのようにsvchost.exeが他の全てのプロセスを感染させるかである(中略)。」
上のくだりは、特にブラウザに関連する。この記述はさらに、「(中略)全てのシステムプロセスの内部で実行されるスレッドは、とりわけ、wininet.dllからのHttpSendRequestA()及びHttpSendRequestW()エクスポートをフックすることを担う。したがって、感染したプロセスがHTTP通信のためにこれらの関数のうちの一つを呼び出すときはいつでも、リダイレクトされた関数によって要求バッファ中のデータを調べることができる。」と説明する。
(中略)これは(中略)、prg.exeからwinlogon.exeを感染させるのに使用され、また、どのようにwinlogon.exeがsvchost.exeを感染させるかであり、どのようにsvchost.exeが他の全てのプロセスを感染させるかである(中略)。」
上のくだりは、特にブラウザに関連する。この記述はさらに、「(中略)全てのシステムプロセスの内部で実行されるスレッドは、とりわけ、wininet.dllからのHttpSendRequestA()及びHttpSendRequestW()エクスポートをフックすることを担う。したがって、感染したプロセスがHTTP通信のためにこれらの関数のうちの一つを呼び出すときはいつでも、リダイレクトされた関数によって要求バッファ中のデータを調べることができる。」と説明する。
以上の記述及び例は全て、例示のために提供したものであり、添付の特許請求の範囲で可能にされる場合を除いては本発明を限定する意図は決してない。
Claims (15)
- 有害である可能性のあるマルウェアを識別する方法であって、
a)実行されようとしている実行ファイルを識別するステップと、
b)前記実行ファイルのプロセスによって開始されたスレッドの子孫である全てのスレッドを監視する監視エージェントを提供するステップと、
c)前記子孫スレッドのうちの一つが、疑わしいパッチが内部で作成されるターゲットプロセスに到達した場合に、マルウェアが存在する見込みが高いと結論付けるように、前記監視エージェントを構成するステップと
を含む方法。 - 前記ターゲットプロセスがブラウザである、請求項1に記載の方法。
- 前記監視エージェントが、実行されようとしている実行ファイルを識別したとき、前記実行ファイルの暗号ハッシュアルゴリズムをチェックして、前にシステム中で実行されたことがあるかどうか判定する、請求項1に記載の方法。
- 前記実行ファイルが初めて実行されつつあると思われる場合は、前記監視エージェントが前記実行ファイルの追跡を継続する、請求項3に記載の方法。
- 前記監視エージェントが、前記プロセスが実行される度に前記プロセスを追跡する、請求項3に記載の方法。
- 前記監視エージェントがWindows(登録商標)環境で動作する、請求項1に記載の方法。
- 前記監視エージェントが、CRT(Create Remote Thread)関数に対してフックを配置することによって前記CRT関数を監視する、請求項6に記載の方法。
- 前記実行ファイルが、正当なシステムプロセス中でスレッドを作成する、請求項1に記載の方法。
- 正当なプロセスによって開かれた各スレッドに対してCRT監視が行われる、請求項7に記載の方法。
- 前記監視エージェントが、前記新しいスレッドがどのスレッドから生じたかチェックし、前記スレッドが疑わしいスレッドによって(例えばCRTを使用して)開始された場合にのみ前記スレッドを追跡する、請求項7に記載の方法。
- 前記監視エージェントが、疑わしい挙動を伴う正当なプロセスのホワイトリストを維持する、請求項1に記載の方法。
- マルウェアが存在する見込みがあると前記監視エージェントが結論付けたときに是正アクションが実施される、請求項1に記載の方法。
- 前記暗号ハッシュアルゴリズムがMD5、SHA1、及びSHA2から選択される、請求項3に記載の方法。
- 実行ファイルのプロセスによって開始されたスレッドの子孫である全てのスレッドを追跡するように構成された監視エージェント。
- 前記子孫スレッドのうちの一つが、疑わしいパッチが内部で作成されるターゲットプロセスに到達した場合に、マルウェアが存在する見込みが高いと結論付けるように構成された、請求項14に記載の監視エージェント。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/847,430 | 2013-03-19 | ||
| US13/847,430 US9330259B2 (en) | 2013-03-19 | 2013-03-19 | Malware discovery method and system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014182837A true JP2014182837A (ja) | 2014-09-29 |
| JP6388485B2 JP6388485B2 (ja) | 2018-09-12 |
Family
ID=50280281
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014054320A Active JP6388485B2 (ja) | 2013-03-19 | 2014-03-18 | マルウェア発見方法及びシステム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9330259B2 (ja) |
| EP (1) | EP2782040A1 (ja) |
| JP (1) | JP6388485B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017021779A (ja) * | 2015-06-30 | 2017-01-26 | エーオー カスペルスキー ラボAO Kaspersky Lab | ランダムアクセスメモリ内の悪質なコードを検出するためのシステムおよび方法 |
| JP6104447B1 (ja) * | 2016-10-31 | 2017-03-29 | 株式会社ソリトンシステムズ | プログラム動作監視制御装置、分散オブジェクト生成管理装置、プログラム、及びプログラム動作監視システム |
| KR20210084029A (ko) * | 2019-12-27 | 2021-07-07 | 주식회사 안랩 | 테스크 추적을 하기 위한 방법, 장치, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9317686B1 (en) * | 2013-07-16 | 2016-04-19 | Trend Micro Inc. | File backup to combat ransomware |
| RU2546585C2 (ru) * | 2013-08-07 | 2015-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ предоставления прав доступа приложениям к файлам компьютера |
| US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US10880316B2 (en) * | 2015-12-09 | 2020-12-29 | Check Point Software Technologies Ltd. | Method and system for determining initial execution of an attack |
| US10291634B2 (en) | 2015-12-09 | 2019-05-14 | Checkpoint Software Technologies Ltd. | System and method for determining summary events of an attack |
| US10440036B2 (en) * | 2015-12-09 | 2019-10-08 | Checkpoint Software Technologies Ltd | Method and system for modeling all operations and executions of an attack and malicious process entry |
| TWI599905B (zh) * | 2016-05-23 | 2017-09-21 | 緯創資通股份有限公司 | 惡意碼的防護方法、系統及監控裝置 |
| US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
| JP2020530922A (ja) | 2017-08-08 | 2020-10-29 | センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. | エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス |
| US10831888B2 (en) | 2018-01-19 | 2020-11-10 | International Business Machines Corporation | Data recovery enhancement system |
| US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
| US11055408B2 (en) | 2018-11-30 | 2021-07-06 | International Business Machines Corporation | Endpoint detection and response attack process tree auto-play |
| US10762200B1 (en) | 2019-05-20 | 2020-09-01 | Sentinel Labs Israel Ltd. | Systems and methods for executable code detection, automatic feature extraction and position independent code detection |
| US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
| US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005527008A (ja) * | 2001-09-19 | 2005-09-08 | ヒューレット・パッカード・カンパニー | コンポーネントベースシステムのランタイム監視 |
| JP2008021274A (ja) * | 2006-06-15 | 2008-01-31 | Interlex Inc | プロセス監視装置及び方法 |
| JP2012008777A (ja) * | 2010-06-24 | 2012-01-12 | Kddi Corp | アプリケーション判定システムおよびプログラム |
| WO2012135192A2 (en) * | 2011-03-28 | 2012-10-04 | Mcafee, Inc. | System and method for virtual machine monitor based anti-malware security |
| EP2515250A1 (en) * | 2011-04-19 | 2012-10-24 | Kaspersky Lab Zao | System and method for detection of complex malware |
| US20120324575A1 (en) * | 2010-02-23 | 2012-12-20 | ISE Information Co., Ltd. | System, Method, Program, and Recording Medium for Detecting and Blocking Unwanted Programs in Real Time Based on Process Behavior Analysis and Recording Medium for Storing Program |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6021510A (en) | 1997-11-24 | 2000-02-01 | Symantec Corporation | Antivirus accelerator |
| US7013424B2 (en) * | 2001-05-04 | 2006-03-14 | International Business Machines Corporation | Dedicated processor for efficient processing of documents encoded in a markup language |
| US7512977B2 (en) * | 2003-06-11 | 2009-03-31 | Symantec Corporation | Intrustion protection system utilizing layers |
| US7523470B2 (en) * | 2004-12-23 | 2009-04-21 | Lenovo Singapore Pte. Ltd. | System and method for detecting keyboard logging |
| US7591016B2 (en) * | 2005-04-14 | 2009-09-15 | Webroot Software, Inc. | System and method for scanning memory for pestware offset signatures |
| US20070094726A1 (en) * | 2005-10-26 | 2007-04-26 | Wilson Michael C | System and method for neutralizing pestware that is loaded by a desirable process |
| US20070118534A1 (en) * | 2005-11-18 | 2007-05-24 | Database-Brothers, Inc. | Auditing database end user activity in one to multi-tier web application and local environments |
| US7530072B1 (en) * | 2008-05-07 | 2009-05-05 | International Business Machines Corporation | Method to segregate suspicious threads in a hosted environment to prevent CPU resource exhaustion from hung threads |
| US8239940B2 (en) * | 2008-12-25 | 2012-08-07 | Trusteer Ltd. | Functional patching/hooking detection and prevention |
| US8572739B1 (en) * | 2009-10-27 | 2013-10-29 | Trend Micro Incorporated | Detection of malicious modules injected on legitimate processes |
| US8677491B2 (en) * | 2010-02-04 | 2014-03-18 | F-Secure Oyj | Malware detection |
| US8042186B1 (en) * | 2011-04-28 | 2011-10-18 | Kaspersky Lab Zao | System and method for detection of complex malware |
| RU2531861C1 (ru) * | 2013-04-26 | 2014-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса |
-
2013
- 2013-03-19 US US13/847,430 patent/US9330259B2/en active Active
-
2014
- 2014-03-17 EP EP14160328.2A patent/EP2782040A1/en not_active Withdrawn
- 2014-03-18 JP JP2014054320A patent/JP6388485B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005527008A (ja) * | 2001-09-19 | 2005-09-08 | ヒューレット・パッカード・カンパニー | コンポーネントベースシステムのランタイム監視 |
| JP2008021274A (ja) * | 2006-06-15 | 2008-01-31 | Interlex Inc | プロセス監視装置及び方法 |
| US20120324575A1 (en) * | 2010-02-23 | 2012-12-20 | ISE Information Co., Ltd. | System, Method, Program, and Recording Medium for Detecting and Blocking Unwanted Programs in Real Time Based on Process Behavior Analysis and Recording Medium for Storing Program |
| JP2012008777A (ja) * | 2010-06-24 | 2012-01-12 | Kddi Corp | アプリケーション判定システムおよびプログラム |
| WO2012135192A2 (en) * | 2011-03-28 | 2012-10-04 | Mcafee, Inc. | System and method for virtual machine monitor based anti-malware security |
| EP2515250A1 (en) * | 2011-04-19 | 2012-10-24 | Kaspersky Lab Zao | System and method for detection of complex malware |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017021779A (ja) * | 2015-06-30 | 2017-01-26 | エーオー カスペルスキー ラボAO Kaspersky Lab | ランダムアクセスメモリ内の悪質なコードを検出するためのシステムおよび方法 |
| US10242186B2 (en) | 2015-06-30 | 2019-03-26 | AO Kaspersky Lab | System and method for detecting malicious code in address space of a process |
| JP6104447B1 (ja) * | 2016-10-31 | 2017-03-29 | 株式会社ソリトンシステムズ | プログラム動作監視制御装置、分散オブジェクト生成管理装置、プログラム、及びプログラム動作監視システム |
| WO2018078902A1 (ja) * | 2016-10-31 | 2018-05-03 | 株式会社ソリトンシステムズ | プログラム動作監視制御装置、分散オブジェクト生成管理装置、記録媒体、及びプログラム動作監視システム |
| JP2018073166A (ja) * | 2016-10-31 | 2018-05-10 | 株式会社ソリトンシステムズ | プログラム動作監視制御装置、分散オブジェクト生成管理装置、プログラム、及びプログラム動作監視システム |
| US10831885B2 (en) | 2016-10-31 | 2020-11-10 | Soliton Systems K.K. | Program behavior monitoring control apparatus, distributed object creation management apparatus, recording medium, and program behavior monitoring system |
| KR20210084029A (ko) * | 2019-12-27 | 2021-07-07 | 주식회사 안랩 | 테스크 추적을 하기 위한 방법, 장치, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램 |
| KR102325291B1 (ko) | 2019-12-27 | 2021-11-12 | 주식회사 안랩 | 테스크 추적을 하기 위한 방법, 장치, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9330259B2 (en) | 2016-05-03 |
| JP6388485B2 (ja) | 2018-09-12 |
| US20140289851A1 (en) | 2014-09-25 |
| EP2782040A1 (en) | 2014-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6388485B2 (ja) | マルウェア発見方法及びシステム | |
| US10706151B2 (en) | Systems and methods for tracking malicious behavior across multiple software entities | |
| US8918878B2 (en) | Restoration of file damage caused by malware | |
| US10691792B2 (en) | System and method for process hollowing detection | |
| JP5326062B1 (ja) | 非実行ファイル検査装置及び方法 | |
| RU2646352C2 (ru) | Система и способ для применения индикатора репутации для облегчения сканирования на наличие вредоносных программ | |
| EP2745229B1 (en) | System and method for indirect interface monitoring and plumb-lining | |
| US20170270296A1 (en) | System and Method for Reverse Command Shell Detection | |
| US20080016339A1 (en) | Application Sandbox to Detect, Remove, and Prevent Malware | |
| JP6468732B2 (ja) | ウィンドウのない状態での画面キャプチャを防止するための方法及びシステム | |
| US20110173698A1 (en) | Mitigating false positives in malware detection | |
| US10083301B2 (en) | Behaviour based malware prevention | |
| KR20140033349A (ko) | 가상 머신 모니터 기반 안티 악성 소프트웨어 보안 시스템 및 방법 | |
| EP2486507A1 (en) | Malware detection by application monitoring | |
| CN107330328B (zh) | 防御病毒攻击的方法、装置及服务器 | |
| JP2010262609A (ja) | 効率的なマルウェアの動的解析手法 | |
| Afreen et al. | Analysis of fileless malware and its evasive behavior | |
| GB2502774A (en) | Identifying and stopping executable threads subjected to process hollowing | |
| Barabosch et al. | Host-based code injection attacks: A popular technique used by malware | |
| JP5326063B1 (ja) | デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法 | |
| US11277436B1 (en) | Identifying and mitigating harm from malicious network connections by a container | |
| CN105653939B (zh) | 一种防御文档溢出的方法及装置 | |
| KR20110055081A (ko) | 컴퓨터의 무결성을 보호하는 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20140828 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20140828 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20161122 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20170106 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180424 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180710 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180724 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180814 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6388485 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20230418 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |