JP2018533793A - ドメイン生成アルゴリズム(dga)のマルウェアを検出するためのシステムおよび方法 - Google Patents
ドメイン生成アルゴリズム(dga)のマルウェアを検出するためのシステムおよび方法 Download PDFInfo
- Publication number
- JP2018533793A JP2018533793A JP2018521861A JP2018521861A JP2018533793A JP 2018533793 A JP2018533793 A JP 2018533793A JP 2018521861 A JP2018521861 A JP 2018521861A JP 2018521861 A JP2018521861 A JP 2018521861A JP 2018533793 A JP2018533793 A JP 2018533793A
- Authority
- JP
- Japan
- Prior art keywords
- access request
- external access
- dga
- computer system
- malware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
潜在的なDGAマルウェアホストによって送られた外部の時間リクエストをインターセプトし、受信された実時間を、時間に依存したDGAの活動をトリガするように設計された、早められた(未来の)実時間に置換することによって、ドメイン生成アルゴリズム(DGA)のマルウェアが検出される。DGAマルウェアが時間の置き換えを識別するリスクを低減させるために、別個の外部の物理的なサーバもしくはルータ、または同じ物理システム上で動く別個のハイパーバイザもしくは仮想マシンなどの、異なる物理システムまたは仮想システム上の物理的または仮想的なDGAホストの外側で、インターセプトおよび置換が実施される。次に、未来の時にのみトリガされる失敗したDGAマルウェアの外部アクセスリクエストを使用して、DGAマルウェアによって生成されたドメイン名を識別し、積極的な対策を可能にする。
Description
[1]本発明は、マルウェアからコンピュータシステムを保護するためのシステムおよび方法に関し、詳細には、ドメイン生成アルゴリズム(DGA:domain generation algorithm)を用いるマルウェアを検出するためのシステムおよび方法に関する。
[2]悪意のあるソフトウェアは、マルウェアとしても知られ、世界中の非常に多くのコンピュータシステムに影響を及ぼす。マルウェアは、コンピュータウイルス、ワーム、ルートキット、およびスパイウェアなどの多くの形で、何百万ものコンピュータユーザに深刻なリスクを生じさせ、中でも、データおよび機密情報の喪失、個人情報の盗難、ならびに生産性の喪失に対して、コンピュータシステムを脆弱にする。
[3]セキュリティソフトウェアは、ユーザのコンピュータシステムに感染するマルウェアを検出するために使用され、追加として、このようなマルウェアを駆除するか、またはその実行を停止させるために使用されることがある。いくつかのマルウェア検出技法が当技術分野で知られている。そのような技法の一部は、マルウェアエージェントのコードの断片を、マルウェアを示唆するシグネチャのライブラリにマッチさせることに依存する。他の従来の方法は、マルウェアエージェントのマルウェアを示唆する挙動のセットを検出する。
[4]悪意のあるボットネットは、特に有害なタイプのマルウェアの脅威を形成する。1つの攻撃シナリオでは、リモートリソースに接続させ、悪意のあるペイロードまたは他の情報、例えば、サービス妨害攻撃を開始するための標的の指標など、をダウンロードさせるように構成されたエージェントに、多数のコンピュータシステムが感染させられる。エージェントは、ドメイン生成アルゴリズム(DGA)を使用してドメイン名を生成し、そのドメイン名への接続を試みるように構成されることがある。このようなドメイン名は、通常、ドメイン名レジストリに予め登録されておらず、したがって接続の試みの大半は失敗する。マルウェアの作成者が攻撃を開始することを決めると、彼らはこれらのドメイン名の1つをドメイン名レジストリに登録し、ペイロードをオンライン状態にする。突然、個々のドメインに接続しようとするボットネットのメンバによる試みが成功となり、攻撃が開始される。
[5]ドメイン名の生成は未知のアルゴリズムを使用して実施されるので、このような攻撃を防ぐことは困難になることがある。セキュリティアプリケーションは、いくつかのドメイン名に接続しようとする散発的な失敗の試みに遭遇することがあるが、このような試みは、通常、外部サイトに接続しようとする多数の合法的な失敗の試みに覆い隠される。
[6]感染したエージェントを識別し、ドメイン生成アルゴリズムを逆行分析する際に、調査員は複雑で退屈な任務を負う。このようなアルゴリズムは様々な方法を使用するが、そのうちの1つは、擬似乱数生成アルゴリズムへの入力として現在の時間を使用することである。伝統的な検出アプローチでは、DGAおよび作成されたドメイン名を判定するために、調査員はコードを逆アセンブルしなければならない。
[7]1つの態様によれば、少なくとも1つのメモリおよび少なくとも1つの関連付けられたマイクロプロセッサを含むコンピュータシステムは、第1の外部アクセスリクエストに対する本来の回答をインターセプトするステップであって、第1の外部アクセスリクエストは、潜在的なドメイン生成アルゴリズム(DGA)マルウェアホストによって外部サイトに送られる、ステップと、第1の外部アクセスリクエストと第1の外部アクセスリクエストに対する本来の回答とのうち少なくとも1つを解析して、第1の外部アクセスリクエストに対する本来の回答が実時間を含むかどうかを判定するステップと、修正された回答を潜在的なDGAマルウェアホストに送るステップであって、修正された回答は、本来の回答に含まれる本来の実時間を、本来の実時間に続く早められた実時間に置換することによって、本来の回答から生成される、ステップと、潜在的なDGAマルウェアホストによって第2の外部アクセスリクエストが送られたことに応答して、第2のアクセスリクエストが成功ではなかったことを示す回答をインターセプトするステップであって、第2の外部アクセスリクエストは、第1の外部アクセスリクエストが送られた後に送られる、ステップと、第2のアクセスリクエストが成功ではなかったことを示す回答をインターセプトすることに応答して、ドメイン生成アルゴリズムを実行するマルウェアを、潜在的なDGAマルウェアホストが含むことを判定するステップとを、潜在的なDGAマルウェアホストの外部で実施するように構成される。
[8]1つの態様によれば、少なくとも1つのメモリおよび少なくとも1つの関連付けられたマイクロプロセッサを含むコンピュータシステムは、第1の外部アクセスリクエストを解析して、第1の外部アクセスリクエストに対する本来の回答が、早められた実時間を含むかどうかを判定するステップであって、第1の外部アクセスリクエストは、潜在的なドメイン生成アルゴリズム(DGA)マルウェアホストによって外部サイトに送られる、ステップと、第1の外部アクセスリクエストに対する第1の本来の回答を解析して、早められた実時間が正確ではないことを示す第1の情報を第1の本来の回答が含むかどうかを判定するステップと、修正された回答を潜在的なDGAマルウェアホストに送るステップであって、修正された回答は、第1の情報を、早められた実時間が正確であることを示す第2の情報に置換することによって、第1の本来の回答から生成される、ステップと、潜在的なDGAマルウェアホストによって第2の外部サイトに第2の外部アクセスリクエストが送られることに応答して、第2のアクセスリクエストが成功ではなかったことを示す第2の本来の回答をインターセプトするステップと、第2の回答をインターセプトすることに応答して、ドメイン生成アルゴリズムを実行するマルウェアを、潜在的なDGAマルウェアホストが含むことを判定するステップとを、潜在的なDGAマルウェアホストの外部で実施するように構成される。
[9]別の態様によれば、非一時的コンピュータ可読媒体は、実行されると、第1の外部アクセスリクエストに対する本来の回答をインターセプトするステップであって、第1の外部アクセスリクエストは、潜在的なドメイン生成アルゴリズム(DGA)マルウェアホストによって外部サイトに送られる、ステップと、第1の外部アクセスリクエストと第1の外部アクセスリクエストに対する本来の回答とのうち少なくとも1つを解析して、第1の外部アクセスリクエストに対する本来の回答が実時間を含むかどうかを判定するステップと、修正された回答を潜在的なDGAマルウェアホストに送るステップであって、修正された回答は、本来の回答に含まれる本来の実時間を、本来の実時間に続く早められた実時間に置換することによって、本来の回答から生成される、ステップと、潜在的なDGAマルウェアホストによって第2の外部アクセスリクエストが送られたことに応答して、第2のアクセスリクエストが成功ではなかったことを示す回答をインターセプトするステップであって、第2の外部アクセスリクエストは、第1の外部アクセスリクエストが送られた後に送られる、ステップと、第2のアクセスリクエストが成功ではなかったことを示す回答をインターセプトすることに応答して、ドメイン生成アルゴリズムを実行するマルウェアを、潜在的なDGAマルウェアホストが含むことを判定するステップとを、潜在的なDGAマルウェアホストの外部で実施するように、第1のコンピュータシステムの少なくとも1つのメモリおよび少なくとも1つの関連付けられたマイクロプロセッサを構成する命令を格納する。
[10]本発明の前述の態様および利点は、以下の詳細な説明を読み、図面を参照するとよりよく理解されるようになるであろう。
[23]以下の説明において、構造間のすべての列挙された接続は、中間体構造を通じた直接の動作的な接続または間接の動作的な接続であってよいことが理解される。要素のセットは、1つまたは複数の要素を含む。要素の任意の列挙は、少なくとも1つの要素を指すと理解される。複数の要素は、少なくとも2つの要素を含む。別段の要求がない限り、任意の説明される方法ステップは、図示された特定の順序で必ずしも実施される必要はない。別段の定めがない限り、プロセスは、アプリケーションまたはオペレーティングシステムの一部などのコンピュータプログラムのインスタンスであり、少なくとも実行スレッド、およびオペレーティングシステムによって実行スレッドに割り当てられる仮想メモリのセクションを有することによって特徴付けられ、個々のメモリセクションは実行コードを含む。ブラックリストは、アクションのセットを実施するのをブロックされるオブジェクトのリストである。パラメータに従って判定または決定することは、パラメータに従って、および任意選択で他のデータに従って判定または決定することを包含する。コンピュータ可読媒体は、磁気、光、および半導体のストレージ媒体(例えば、ハードドライブ、光ディスク、フラッシュメモリ、DRAM)などの非一時的な媒体、ならびに導電性ケーブルリンクおよび光ファイバリンクなどの通信リンクを包含する。時間サーバは、時間サーバが受信するアクセスリクエストに応答して、回答の中に実時間を提供すること、および/または実時間を含むアクセスリクエストに応答して、アクセスリクエストに含まれる実時間が正確であるかどうかを示す回答を提供することを行う外部サーバである。時間サーバは、実時間の値を提供することに対して専用であるサーバであってよく、またはそうでなくてもよい。専用の時間サーバは、問合せに応答して実時間の値を提供することに対して専用である。非専用の時間サーバは、テキストおよび画像(例えば、特定の場所の現在の実時間に加えて、特定の場所の現在の天気についての情報を提供する天気サーバのページ)などの他のコンテンツを含んでよい、より大きいコンテンツページの一部として実時間の値を提供してよい。いくつかの実施形態によれば、本発明は、とりわけ、本明細書で説明される方法を実施するようにプログラムされたハードウェア(例えば、1つまたは複数の半導体基板上に形成された1つまたは複数のプロセッサ)を含むコンピュータシステム、ならびに本明細書で説明された方法を実施する命令をエンコードするコンピュータ可読媒体を提供する。
[24]以下の説明は、例として本発明の実施形態を示すが、必ずしも限定のためではない。
[25]図1は、DGA検出コンピュータシステム11に接続された例示的なDGAホストのクライアントコンピュータシステム10を示し、DGA検出コンピュータシステム11は、DGA標的サーバコンピュータシステム14および時間サーバコンピュータシステム15に、通信ネットワーク12を通じてさらに接続される。クライアントシステム10は、デスクトップ、ラップトップ、タブレット、もしくはスマートフォンなどのエンドユーザコンピュータシステム、またはパーソナルデジタルアシスタント(PDA)、またはウェアラブルコンピューティングデバイス、またはTVもしくは音楽プレーヤなどの家庭用デバイス、またはマルウェアをホストすることがある他の電子デバイスであってよい。クライアントシステム10は、少なくとも1つのハードウェアプロセッサ、メモリ、およびストレージを有し、Windows(登録商標)、MacOS(登録商標)、Linux(登録商標)、Android(登録商標)、またはiOS(登録商標)などのオペレーティングシステムを動かす。いくつかの実施形態において、クライアントシステム10は、ハイパーバイザおよび1つまたは複数の仮想マシンを動かすように構成されてよい。ネットワーク12は、インターネットなどの広域ネットワークであってよいが、ネットワーク12の一部は、ローカルエリアネットワーク(LAN)を含んでもよい。
[25]図1は、DGA検出コンピュータシステム11に接続された例示的なDGAホストのクライアントコンピュータシステム10を示し、DGA検出コンピュータシステム11は、DGA標的サーバコンピュータシステム14および時間サーバコンピュータシステム15に、通信ネットワーク12を通じてさらに接続される。クライアントシステム10は、デスクトップ、ラップトップ、タブレット、もしくはスマートフォンなどのエンドユーザコンピュータシステム、またはパーソナルデジタルアシスタント(PDA)、またはウェアラブルコンピューティングデバイス、またはTVもしくは音楽プレーヤなどの家庭用デバイス、またはマルウェアをホストすることがある他の電子デバイスであってよい。クライアントシステム10は、少なくとも1つのハードウェアプロセッサ、メモリ、およびストレージを有し、Windows(登録商標)、MacOS(登録商標)、Linux(登録商標)、Android(登録商標)、またはiOS(登録商標)などのオペレーティングシステムを動かす。いくつかの実施形態において、クライアントシステム10は、ハイパーバイザおよび1つまたは複数の仮想マシンを動かすように構成されてよい。ネットワーク12は、インターネットなどの広域ネットワークであってよいが、ネットワーク12の一部は、ローカルエリアネットワーク(LAN)を含んでもよい。
[26]クライアントシステム10上で実行するいくつかのプロセスは、悪意のある場合がある。特に、いくつかのプロセスは、DGAを潜在的に実行することがある。いくつかのケースにおいて、マルウェアは、クライアントシステム10上で動く仮想マシンによってホストされることがある。DGA検出システム11は、仮想マシン上で動くプロセスがDGAを実行するかどうかを判定する任務が課される。いくつかの実施形態において、DGA検出システム11はコンピュータサーバを含み、コンピュータサーバを通じて、クライアントシステム10はインターネットにアクセスする。いくつかの実施形態において、DGA検出システム11の少なくとも一部は、下記に説明される少なくともいくつかのDGA検出機能を実装するソフトウェア/ハードウェアで構成されるルータまたはスイッチを使用して実装されてよい。仮想化を用いるいくつかの実施形態において、下記に説明されるようなDGA検出システムは、クライアントシステム10上ではあるが、クライアントシステム10上で動く潜在的なDGAホストを形成する仮想マシンの外側に実装されてよい。このような仮想化の実施形態において、DGA検出システムは、システムハイパーバイザ上で、および/または監視されている潜在的なDGAホストとは異なる仮想マシン上で動くことがある。
[27]いくつかの実施形態において、セキュリティアプリケーションは、DGA検出システム11の少なくとも一部を形成するサーバ上で動く。セキュリティアプリケーションは、クライアントシステム10上で動く1つまたは複数のプロセスを分析することによって多くのDGA検出ステップを実施するように構成される。このような分析は、クライアントシステム10からの外部アクセスリクエストおよびクライアントシステム10への回答を、分析およびインターセプトすることを含んでよい。例示的な実施形態において、このようなセキュリティアプリケーションは、クライアントシステム10上で動く1つまたは複数のプロセスがDGAを実行するかどうかを判定するように構成される。DGAマルウェアが検出されると、セキュリティアプリケーションは、DGAによって生成されたドメイン名のセットをさらに識別し、ドメイン名のセットをブラックリストに載せる。ブラックリストに載せられたドメイン名は、ソフトウェアアップデートの一部として、複数のクライアントおよび/またはサーバコンピュータ上で動くセキュリティアプリケーションのインスタンスに送信され、このようなシステムを保護することを容易にすることがある。他の感染されたシステムを識別し、潜在的に無力化することを可能にするために、識別されたドメイン名が登録されてもよい。
[28]クライアント10は、コンピュータシステム14によってホストされる外部サイトに、アクセスリクエストを伝えることがある。外部サイトは、ドメイン生成アルゴリズムによって生成されるドメイン名によって特徴付けられることがある。ドメイン名は、難解な一連の英数字(例えば、adfjhaadew34.comやgsriptoi4534pfh.io)によって形成されることがある。このようなドメイン名は、ドメイン名レジストラによって以前に登録された可能性はなく、したがって、将来ドメイン名レジストラによる登録に利用できる可能性が大いにある。コンピュータシステム14によってホストされるサイトに、アクセスリクエストが到達する場合、アクセスリクエストは成功である。何らかの理由で、コンピュータシステム14によってホストされるサイトにアクセスリクエストが到達しない場合、アクセスリクエストは不成功である。このような理由としては、このようなサイトがまだ存在しないこと、現在イネーブルされていないこと、またはサイトを特徴づけるドメイン名がドメインネームシステム(DNS)によって有効なドメインとして認識されておらず、したがってこのサイトに伝えられる通信がこのサイトにルートされないこと、等がある。アクセスリクエストが成功である場合、コンピュータシステム14によってホストされるサイトは、クライアントシステム10に回答を送り返す。アクセスリクエストが成功でない場合、ネットワーク12の構成要素は、アクセスリクエストが成功ではなかったということを示す回答を、クライアントシステム10に送り返す。
[29]クライアントシステム10は、1つまたは複数のアクセスリクエストを時間サーバ15にも伝える。時間サーバ15は、このようなアクセスリクエストに、実時間を含むレスポンスで応答する。含まれる実時間の確認をリクエストするアクセスリクエストに対して、時間サーバ15は、アクセスリクエストに含まれる実時間が正確であるかどうかを示すデータで応答してもよい。
[30]図2−Aは、本発明のいくつかの実施形態による、クライアントシステム10の例示的なハードウェア構成を示す。図2Aは、例証的な目的でコンピュータシステムの特定の構造を示し、他のクライアントシステムは、異なる構造を有してよい。いくつかの実施形態において、システム10は、プロセッサ32、メモリユニット34、入力デバイス36のセット、出力デバイス38のセット、ストレージデバイス40のセット、およびネットワークアダプタ42のセットを含む物理デバイスのセットを含み、すべてがバス44のセットによって接続される。
[31]いくつかの実施形態において、プロセッサ32は、シグナルおよび/またはデータのセットで、計算演算および/または論理演算を実行するように構成された物理デバイス(例えば、半導体基板上に形成されたマルチコアの集積回路)を含む。いくつかの実施形態において、このような論理演算は、一連のプロセッサ命令(例えば、機械語または他のタイプのソフトウェア)の形でプロセッサ32に届けられる。メモリユニット34は、命令を遂行する過程で、プロセッサ32によってアクセスまたは生成されるデータ/シグナルを格納する非一時的コンピュータ可読媒体(例えばRAM)を含んでよい。入力デバイス36は、ユーザがデータおよび/または命令をクライアントシステム10に入れることを可能にする個々のハードウェアインターフェースおよび/またはアダプタを含み、中でも、コンピュータキーボード、マウス、およびマイクロフォンを含んでよい。出力デバイス38は、中でも、ディスプレイ画面およびスピーカ、ならびにクライアントシステム10がデータをユーザに通信することを可能にする、グラフィックカードなどのハードウェアインターフェース/アダプタを含んでよい。いくつかの実施形態において、入力デバイス36および出力デバイス38は、タッチスクリーンデバイスの場合のように、共通のハードウェアを共有してよい。ストレージデバイス40は、ソフトウェア命令および/またはデータの非一時的な保存、読取り、および書込みを可能にするコンピュータ可読媒体を含む。例示的なストレージデバイス40は、磁気ディスクおよび光ディスクおよびフラッシュメモリデバイス、ならびにCDおよび/またはDVDのディスクおよびドライブなどのリムーバブルメディアを含む。ネットワークアダプタ42のセットは、コンピュータネットワーク、例えばネットワーク12に、および/または他のデバイス/コンピュータシステムに、クライアントシステム10が接続できるようにする。バス44は、複数のシステムバス、周辺機器用バス、およびチップセットバス、ならびに/またはクライアントシステム10のデバイス32〜デバイス42の相互通信を可能にするすべての他の回路機器を、一括して表す。例えば、バス44は、中でも、プロセッサ32をメモリ34に接続するノースブリッジ、および/またはプロセッサ32をデバイス36〜デバイス42に接続するサウスブリッジを含んでよい。
[32]図2−Bは、DGA検出システム11(図1)を実装するのに使用されるサーバなどの、サーバの例示的なハードウェア構成を示す。このようなサーバは、サーバプロセッサ132、サーバメモリ134、サーバストレージデバイス140のセット、およびネットワークアダプタ142のセットを含み、すべてがバス144のセットによって接続される。デバイス132、134、140、および142の動作は、上述のデバイス32、34、40、および42の動作と同一であってよい。例えば、サーバプロセッサ132は、シグナルおよび/またはデータのセットで、計算演算および/または論理演算を実行するように構成された物理デバイスを含んでよい。サーバメモリ134は、演算を実行する過程で、プロセッサ132によってアクセスまたは生成されるデータ/シグナルを格納する非一時的コンピュータ可読媒体(例えばRAM)を含んでよい。ネットワークアダプタ142は、ネットワーク12などのコンピュータネットワークに、サーバが接続できるようにする。
[33]図3Aは、仮想マシン710によって形成される潜在的なDGAマルウェアホストと、仮想マシン710の外部にあるDGA検出器704との間の例示的なデータ交換を示す。図示された構成において、DGA検出器704と仮想マシン710は、共通の物理的なコンピュータシステム711上で動く。特に、図3Aに示された構成において、DGA検出器704は、ハイパーバイザ705上で動くアプリケーションであり、および/またはハイパーバイザ705の一部を形成するアプリケーションである。仮想マシン710は、外部サイト714にアクセスリクエストを送り、外部サイト714から回答を受信する。プロセス701、プロセス742のセットは、仮想マシン710上で並行に動く。DGA検出器704は、例示的なプロセス701によって送られた外部アクセスリクエスト702を分析する。DGA検出器704は、また、リクエスト702に対する本来の回答715をインターセプトし、分析する。本来の回答715は、次に、DGA検出器704によって、修正された回答703に修正される。リクエスト702および本来の回答715を分析する際、DGA検出器704は、時間サーバデータベース712に問い合わせることがある。図3Aにおいて、時系列データベース712は、コンピュータシステム711上にホストされるように示される。いくつかの実施形態において、時間サーバデータベース712は、コンピュータシステム711の外部にあってよい。あるプロセスがDGAを実行することを判定すると、DGA検出器704は、そのプロセスをブラックリストに載せるように、セキュリティアプリケーション54に命令する。
[34]図3Bは、本発明のいくつかの実施形態による、コンピュータシステム711’上で動く潜在的なDGAマルウェアホストと、システム711’とは別個のコンピュータシステム713上で動くDGA検出器704’との間の例示的なデータ交換を示す。コンピュータシステム711’は、クライアントコンピュータシステムであってよい。コンピュータシステム713は、ルータ、スイッチ、またはサーバコンピュータであってよい。プロセス701’、プロセス742’のセットは、コンピュータシステム711’上で並行に動く。DGA検出器704は、プロセス701によって外部サイト714に送られた外部アクセスリクエスト702を分析する。DGA検出器704は、また、リクエスト702に対する受信される回答715をインターセプトして分析する。本来の回答715は、修正された回答703に修正されてよい。リクエスト702および本来の回答715を分析する際、DGA検出器は、時間サーバデータベース712を照会してよい。プロセスがDGAを実行することを判定すると、DGA検出器704は、DGAによって生成された1つまたは複数のドメイン名を判定し、DGAドメインをブラックリストに追加するように、セキュリティアプリケーション54に命令する。いくつかの実施形態において、セキュリティアプリケーション54は、ホスト711上で実行するDGA感染したプロセスをブラックリストに載せ、他のコンピュータシステムへの送信のために、識別されたマルウェアに対する1つまたは複数の識別特徴(例えばハッシュ)を生成してもよい。
[35]図4は、外部アクセスリクエスト702の一部を形成する例示的な一連のフィールド401a〜401dを示す。外部アクセスリクエスト702に対する本来のまたは修正された回答は、類似の一連のフィールドを含んでよい。いくつかの実施形態において、DGA検出器704(図3A)は、外部アクセスリクエスト702および/または外部アクセスリクエスト702に対する回答を解析することによって、実時間情報を含むフィールドを識別する。また、DGA検出器704は、専用または非専用の時間サーバのアドレスへの外部アクセスリクエスト702を解析してもよい。解析は、下記に説明される正規表現のセットを使用して実施されてよく、正規表現のセットは、正式なルールを使用して入力データ内のパターンを説明/識別する。例えば、日付は、任意の順序の月および日(例えば、それぞれ、1から12までの数字、および1から31までの数字)の後または前にある年(例えば、19または20で始まる4桁の数字)を検索することによって識別されることがあり、いくつかの定義されたセパレータ(例えば、スペース、コンマ、他)の1つによって分離されることがある。別の例として、実時間は、それぞれ、24、60、および、60までになるように抑えられた2つまたは3つの数によって識別されることがあり、いくつかの定義されたセパレータ(例えば、スペース、:、他)の1つによって分離されることがある。時間サーバのアドレスは、いくつかのプレフィックス(例えば、http、https、ftp、またはネットワークタイムプロトコル、つまりntpなどのプロトコル識別子)、およびドメインネームサーバのデータベースまたは他のリストに存在するドメイン名またはインターネットプロトコル(IP)アドレスの1つの存在によって識別されることがある。
[36]適切な正規表現の構文および特定の設計は、DGA検出器704の解析エンジンを実装するために選ばれる特定のソフトウェア言語および標準ライブラリに依存することがある。IEEEのPOSIX標準は、正規表現のための適切な構文を提供する。加えて、正規表現を扱うための標準ライブラリは、Perl、Java(登録商標)、Python、C++などを含む様々な言語で利用できる。
[37]例えば、IEEEのPOSIX標準によって使用される、以下の構文を用いる正規表現のセットを考える。
()=グループを定義する。
[0−9]=0〜9の任意の数字のキャラクタである。
[a−z]=a〜zの任意の文字のキャラクタである。
{n}=先行するグループは、ちょうどn回繰り返されてよく、nは自然数である。
{,n}=先行するグループは、n回しか繰り返されなくてよく、nは自然数である。
{n,}=先行するグループは、少なくともn回繰り返されてよく、nは自然数である。
{m,n}=先行するグループは、m回〜n回の間繰り返されてよく、mおよびnは自然数である。
{m,n,p}=先行するグループは、m回、n回、またはp回繰り返されてよく、m、n、およびpは自然数である。
$=分析されるテキストの終わりである。
()=グループを定義する。
[0−9]=0〜9の任意の数字のキャラクタである。
[a−z]=a〜zの任意の文字のキャラクタである。
{n}=先行するグループは、ちょうどn回繰り返されてよく、nは自然数である。
{,n}=先行するグループは、n回しか繰り返されなくてよく、nは自然数である。
{n,}=先行するグループは、少なくともn回繰り返されてよく、nは自然数である。
{m,n}=先行するグループは、m回〜n回の間繰り返されてよく、mおよびnは自然数である。
{m,n,p}=先行するグループは、m回、n回、またはp回繰り返されてよく、m、n、およびpは自然数である。
$=分析されるテキストの終わりである。
[38]上記の構文を用いて、正規表現「^(19|20)\d\d[− /.](0[1−9]|1[012])[− /.](0[1−9]|[12][0−9]|3[01])$」は、4つのセパレータの選択肢を伴う、1900−01−01と2099−12−31の間から、yyyy−mm−ddのフォーマットの日付にマッチする。4つのセパレータは、「−」、「 」、「/」、および「.」である。また、例として、正規表現「^(ht|f)tp(s?)\:\/\/[0−9a−zA−Z]([−.\w]*[0−9a−zA−Z])*(:(0−9)*)*(\/?)([a−zA−Z0−9\−\.\?\,\’\/\\\+&%\$#_]*)?$」は、URLのウェブサイトアドレスのアドレスにマッチする。
[39]図5Aは、本発明のいくつかの実施形態による、時間サーバへの外部アクセスリクエストを解析するDGA検出器704(図3A〜図3B)によって遂行される例示的な一連のステップを示す。ステップ501において、DGA検出器704は、すべての外部アクセスリクエストを解析する。DGA検出器704は、さらに、外部アクセスリクエストに対する本来の回答をインターセプトし(ステップ502)、本来の回答を解析する(ステップ503)。ステップ504において、DGA検出器704は、予期される回答が実時間を含むかどうかを判定する。上述のように、図示されたステップは、示された特定の順序で実施される必要はなく、例えば、いくつかの実施形態において、ステップ504は、ステップ502および/またはステップ503の前に実施されてよい。ステップ504における判定は、アクセスリクエストによって標的とされるアドレスを、専用および非専用の時間サーバを含む時間サーバの1つまたは複数のリストと比較することによって、アクセスリクエストが専用または非専用の時間サーバのアドレスを含むかどうかを判定することによって行われてよい。専用の時間サーバは、Network Time Foundationによって、そのネットワークタイムプロトコルのサイト、つまりwww.ntp.orgで利用できるようにされた事前定義リストなどの、事前定義リストを介して識別されてよい。専用の時間サーバは、リクエストの中のネットワークタイムプロトコル(ntp)識別子の存在を介して識別されてもよい。非専用の時間サーバは、大衆的なサイト(例えば、www.yahoo.com)および特殊用途のサイト(例えば、www.weather.com)を検索して実時間を戻すサイトを選択し、検索結果に従って、非専用の時間サーバのリストを生成することによって識別されてよい。ステップ504において、解析することによって見つけられたURLアドレスと、時間サーバデータベース712からのURLアドレスのリストとの間に、マッチが存在するかどうかを判定するために、DGA検出器704は、時間サーバデータベース712に問い合わせてよい。
[40]外部アクセスリクエストが時間サーバのアドレスを含まないことを、DGA検出器704が判定する場合、DGA検出器704は、プロセスがDGAを実行するかどうかを、ステップ507で検出する。ステップ507は、下記で詳細に説明される。外部アクセスリクエストが時間サーバのアドレスを含むことを、DGA検出器704が判定する場合、下記に解説されるように、DGA704検出器は、本来の実時間を、早められた実時間に置換することによって、インターセプトされた本来の回答を修正する(ステップ505)。次に、DGA検出器704は、ステップ501で解析されたアクセスリクエストを送ったプロセスに、修正された回答を送る(ステップ506)。
[41]図5Bは、本発明のいくつかの実施形態による、外部アクセスリクエストに対する本来の回答を解析するために、DGA検出器704(図3A〜図3B)によって遂行される例示的な一連のステップを示す。ステップ502において、DGA検出器704は、外部アクセスリクエストに対する本来の回答をインターセプトする。ステップ503において、DGA検出器704は、上述のように、本来の回答を解析する。ステップ507において、DGA検出器704は、プロセスがDGAを実行するかどうかを判定する。
[42]ステップ524において、DGA検出器704は、本来の回答が実時間フィールドを含むかどうかをさらに判定する。ステップ524で実施される判定は、テキストフィールドおよび/または画像フィールドに埋め込まれた1つまたは複数の実時間の値を検索することを含んでよい。テキストフィールドおよび/または画像フィールドを検索することは、当技術分野で知られた方法を使用して達成され得る。いくつかの実施形態において、テキストフィールドを検索することは、特化されたアプリケーション(例えば、テキストファイル用のテキストエディタ)を使用して、フィールドを収めるオブジェクトを編集することを含んでよい。ステップ524は、解析の結果に対して、日付で正規表現をマッチさせることを含んでよい。次に、下記に解説されるように、DGA検出器704は、実時間を、早められた実時間に置換することによって、インターセプトされた回答を修正する(ステップ505)。次に、DGA検出器704は、解析されたアクセスリクエストを送ったプロセスに、修正された回答を送る(ステップ506)。
[43]図5Cは、プロセスがDGAを実行するかどうかを判定するときに、DGA検出器704(図3A〜図3B)によって遂行されるステップ507(図5A〜図5B)内の例示的な一連のステップを示す。ステップ527において、DGA検出器704は、アクセスリクエストに対する本来の回答が成功であるかどうかを判定する。本来の回答が成功ではない場合、DGA検出器704は、コンピュータシステム上で動くプロセスがDGAを実行するかどうかを判定する(ステップ528)。ステップ528における判定は、当技術分野で知られた方法を使用して実施されてよい。DGA検出についてのステップ528からの詳細は下記に提示される。プロセスがDGAを実行する場合、DGAによって生成されたドメイン名が判定される(ステップ529)。ステップ529で識別されたドメイン名は、ステップ531において、セキュリティアプリケーションからブラックリストに追加される。ブラックリストは、複数のクライアントシステム10を適時に更新するために使用されてよく、複数のクライアントシステム10が、DGAマルウェアから保護されるようになることがある。セキュリティアプリケーションは、ステップ509からのドメイン名を、ドメイン名の、指定されたレジストラのデータベースに登録するようにさらに構成されてよい。ドメイン名の適時の登録は、マルウェアの作成者が、ドメイン名を使用してボットネットマルウェアを伝播および/または活性化させるのを防ぐことができる。セキュリティアプリケーションは、登録されたドメイン名にアクセスリクエストを送るコンピュータシステムのセットを識別するようにさらに構成されてよい。コンピュータシステムの識別されたセットは、ボットネットのメンバを含んでよい。早期の識別は、ボットネットマルウェアの伝搬を制限することができる。
[44]マルウェアは、様々な方法を通じて、例えば、コンピュータシステム上で動くオペレーティングシステムに問い合わせることによって、実時間を判定することがある。セキュリティアプリケーションは、早められた実時間を示すことによって、オペレーティングシステムが示す実時間を変化させてよい。早められた実時間は、未来の実時間を示す。マルウェアは、OSに問い合わせることによって、実時間の値をリクエストすることがある。Windows(登録商標)を動かすコンピュータシステム上で、関数GetSystemTime()に対するコールは、実時間の値を取り出すために使用されることがある。マルウェアは、次に、OSによって示された早められた実時間が正確であることを照合することがある。照合するために、マルウェアは、時間サーバへの外部アクセスリクエストに、早められた実時間を含めることがある。時間サーバからの本来の回答は、早められた実時間が正確であるかどうかの指示を含んでよい。
[45]図5Dは、本発明のいくつかの実施形態による、早められた実時間を含む外部アクセスリクエストを解析するDGA検出器704(図3A〜図3B)によって遂行される例示的な一連のステップを示す。ステップ501において、DGA検出器704は、すべての外部アクセスリクエストを解析する。次に、DGA検出器704は、外部アクセスリクエストに対する本来の回答をインターセプトし(ステップ502)、本来の回答を解析する(ステップ503)。ステップ544において、DGA検出器704は、本来の回答が成功であるかどうかを判定する。本来の回答が成功である場合、DGA検出器704は、次に、リクエストが早められた実時間を含むかどうかを判定する(ステップ546)。このような判定は、解析されたリクエストから抽出された時間を、現在の時間の値と比較することによって行われてよい。比較は、所望のレベルの精度で、例えば、日付および/または時間(しかし必ずしも分/秒ではない)がマッチするかどうかを判定することによって実施されてよい。DGA検出器704は、コンピュータシステム上で動くオペレーティングシステムに問い合わせることによって、現在の時間の値を判定してよい。このような早められた実時間が含まれる場合、DGA検出器704は、早められた実時間が正確ではないという本来の情報を、本来の回答が含むかどうかを判定する(ステップ547)。早められた実時間が正確ではないという本来の情報を、本来の回答が含む場合、DGA検出器704は、本来の情報を、早められた実時間が正確であることを示す修正された情報に置換することによって、本来の回答を修正する(ステップ548)。次に、DGA検出器704は、解析されたアクセスリクエストを送ったプロセスに、修正された回答を送る(ステップ506)。本来の回答が成功ではない場合、DGA検出器は、上述のDGA検出ステップ507を遂行する。
[46]ステップ545において、解析されたリクエストに対する本来の回答は、インターセプトされ(ステップ545)、解析される(ステップ546)。ステップ547において、DGA検出器704は、ステップ543で判定された早められた実時間が正確ではないという情報を、解析された本来の回答が含むかどうかを判定する。肯定的な判定がステップ547においてなされる場合、DGA検出器704は、早められた実時間が不正確であるという情報を、早められた実時間が正確であるという情報に置換し、修正された回答を生成する。修正された回答は、次に、解析されたアクセスリクエストを送ったプロセスに送られる。
[47]図6は、連続する回答が本来の実時間を含むときの、本来の実時間606と早められた実時間605との間の数学的関係を示す。この数学的関係は、外部アクセスリクエストを発行するプロセスに依存することのない機能によって、DGA検出器の中でエンコードされてよい。1つの実施形態において、実時間は、OSによってクライアントシステム上で測定される現在の時間であってよい。破線601は、早められた実時間が本来の実時間に等しい場合を示す。1つの実施形態において、早められた実時間は、凸状の関数603によって表されることがある。これは、永久に実時間より進んで動く早められた実時間を提供することが有利であるとき、例えば、プロセスが一定の挙動に対して照合されるときに望ましいことがある。1つの実施形態において、早められた実時間は、凹形の関数604によって表されることがある。これは、本来の実時間よりかなり進んで動いた継続期間の後に減速される、早められた実時間を提供することが有利であるとき、例えば、プロセスの挙動がある継続期間にわたって詳細に照合されるときに、望ましいことがある。1つの実施形態において、早められた実時間は、直線の関数602によって表されることがある。これは、いかなる予備知識もない状態で、プロセスの挙動が初めて調査されるときに、望ましいことがある。
[48]プロセスがDGAを実行するかどうかを判定するために、様々な方法が使用されることがある。いくつかの方法は外部サイト714(図1)のURLを分析することがあり、DGAによって生成される多くのURLは「www」で始まらないという観察などの発見的方法を使用することがある。アクセスされるURLの明瞭さを分析するために、他の方法が発見的方法に適用されることがある。さらに他の方法は、所定の最新の期間内、例えば最近の24時間のうちに、ドメインレジストラによって登録された任意の外部サイトをグレイリストに入れる(greylisting)ことに依存する。
[49]DGA検出のためのより精巧な方法は、疑われるプロセスの実行コードの分析を用いることがある。図7はこのような方法を示す。このような方法は、(時間、システムイベント、他などの)一定の既知のタイプのものであるイベントによって、少なくともいくつかのDGAマルウェアがトリガされるという観察に依存する。第1のステップ701において、分析のためにトリガタイプが選択される。ステップ703において、疑われるプロセスに、選択されたトリガタイプの入力を供給しながら、混合された(具体的かつ象徴的な)実行を使用して疑われるプロセスが実行される。選択されたトリガタイプの入力は、象徴的な変数として表される。象徴的な変数に依存する分岐がこのステップで発生しない場合、混合された実行におけるそれぞれのステップは具体的に実行され、そうでなければ象徴的に実行される。ステップ705において、象徴的な変数の値に基づいて、すべての実行パスが判定される。ステップ707において、すべての実現可能な実行パスが判定される。例えば、互いに対して矛盾する2つのトリガ値を実行パスが要求するので、ステップ705で判定される実行パスのいくつかは、実現可能でないことがある。例えば、実現可能ではない実行パスは2つの分岐を含むことがあり、実時間の値が2015年5月より前である場合には第1の分岐がトリガされ、実時間の値が2015年7月より後である場合には第2の分岐がトリガされる。最終的に、ステップ711において、それぞれの実現可能なパスで生成されたURLが分析される。分析は、URLを、一定のトリガタイプおよび値と相関させることを含んでよい。例として、2つしかないトリガタイプの値の変化に応答してURLの80%以上が生成される場合、疑われるプロセスがDGAを実行するという判定がなされる。
[50]上述の例示的なシステムおよび方法は、DGA実行ボットネット(DGA−execution botnet)などのマルウェアを検出することを可能にする。いくつかの実施形態において、外部アクセスリクエストおよび回答をインターセプトおよび解析し、DGAを検出するマシンとは別個のマシン上で、疑わしいプロセスが動く。別個のマシンは、異なる物理的コンピュータシステムである場合も、または同じ物理的コンピュータシステム上でホストされる仮想マシンである場合もある。すべての回答は解析され、本来の実時間を含む回答は修正される。修正された回答の内部で、早められた実時間は、本来の実時間を置換する。次に、疑わしいプロセスがDGAを実行するかどうかを判定するために、疑わしいプロセスが分析される。早められた実時間を提供することによって、ドメイン名が生成されるであろう実際の時間より前に、DGAによって生成されたドメイン名が取得され得る。
[51]いくつかの実施形態において、疑わしいプロセスは、早められた実時間を含む外部アクセスリクエストを送ることがある。この状況は、オペレーティングシステムに問い合わせることから取得された実時間を、疑わしいプロセスが照合しようと試みるときに発生することがある。調査員は、未来の時間を指し示すことによって、オペレーティングシステムによって示された実時間を変更してよい。このように、オペレーティングシステムによって示された実時間は、早められた実時間になる。通常の運用では、外部サイトからの本来の回答が、早められた実時間が正確ではないことを示す。早められた実時間が正確であることを修正された回答が示すように、本来の回答が修正される。次に、疑わしいプロセスがDGAを実行するかどうかを判定するために、疑わしいプロセスが分析される。早められた実時間を提供することによって、ドメイン名が生成されるであろう実際の時間より前に、DGAによって生成されたドメイン名が取得され得る。これにより、調査員は、DGAが未来に生成するドメイン名を判定することができる。
[52]いくつかの実施形態によれば、疑わしいプロセスによって送られ、実時間を含む複数の回答が受信されるとき、修正された回答のための早められた実時間を計算するために、いくつかの数学関数が使用されることがある。DGAによるドメインの生成における一定の頻度が疑われるとき、これらの様々な関数が望ましい。
[53]早められた実時間を提供し、その結果、DGAの実行をトリガすることは、実行コードを逆行分析するという時間のかかる取組みに従事することなく、調査員が悪意のある挙動を検出することを可能にする。DGAによって生成されたドメインをブラックリストに載せることは、ドメイン生成アルゴリズムを使用するマルウェアがマルウェアの作成者によって活性化される前に、セキュリティアプリケーションベンダが彼らの顧客にアップデートを提供することを可能にする。DGAによって生成されたと判定されるドメインは、予め登録されてよく、登録されたドメインで受信されたリクエストに従って、ボットネットのメンバが識別されてよい。
[54]潜在的なDGAマルウェアホストの外部で、DGAの実行をインターセプトし、解析し、検出することは、潜在的なDGAマルウェアホストをリサーチツールから隔離するという利点を提供する。したがって、アンチマルウェアツールのあるところで、マルウェアがその挙動を修正するリスクが大きく低減される。加えて、このようなアプローチは、DGAマルウェアホストのOSによって示される内部の実時間の変化を必要としない。DGAマルウェアを検出するために、調査員は最適なコンピューティング環境を選んでよい。いくつかの実施形態において、疑わしいプロセスを開始することが望ましいことがある。いくつかの実施形態において、イントラネットネットワークのインターネットトラフィックを集約するルータまたはスイッチからDGAマルウェアを検出することが望ましいことがある。
[55]本発明の範囲を逸脱することなく、上記の実施形態は、多くの方式で変更されてよいことが当業者には明らかであろう。それに応じて、本発明の範囲は、以下の特許請求の範囲およびその法的均等物によって判定されるべきである。
Claims (17)
- 少なくとも1つのメモリおよび少なくとも1つの関連付けられたマイクロプロセッサを含む第1のコンピュータシステムであって、前記マイクロプロセッサは、潜在的なドメイン生成アルゴリズム(DGA)マルウェアホストの外部でステップを実行するように構成され、前記ステップは、
第1の外部アクセスリクエストに対する本来の回答をインターセプトするステップであって、前記第1の外部アクセスリクエストは、前記潜在的なDGAマルウェアホストによって外部サイトに送られる、ステップと、
前記第1の外部アクセスリクエストと前記第1の外部アクセスリクエストに対する前記本来の回答とのうち少なくとも1つを解析して、前記第1の外部アクセスリクエストに対する前記本来の回答が実時間を含むかどうかを判定するステップと、
修正された回答を前記潜在的なDGAマルウェアホストに送るステップであって、前記修正された回答は、前記本来の回答に含まれる本来の実時間を、前記本来の実時間に続く早められた実時間に置換することによって、前記本来の回答から生成される、ステップと、
前記潜在的なDGAマルウェアホストによって第2の外部アクセスリクエストが送られたことに応答して、前記第2のアクセスリクエストが成功ではなかったことを示す回答をインターセプトするステップであって、前記第2の外部アクセスリクエストは、前記第1の外部アクセスリクエストが送られた後に送られる、ステップと、
前記第2のアクセスリクエストが成功ではなかったことを示す前記回答をインターセプトすることに応答して、前記潜在的なDGAマルウェアホストはドメイン生成アルゴリズムを実行するマルウェアを含むと判定するステップと
を含む、第1のコンピュータシステム。 - 請求項1に記載の第1のコンピュータシステムであって、前記第1の外部アクセスリクエストと前記第1の外部アクセスリクエストに対する前記本来の回答とのうち少なくとも1つを解析するステップは、前記第1の外部アクセスリクエストのアドレスフィールド内の時間サーバのアドレスを識別するステップを含む、第1のコンピュータシステム。
- 請求項1に記載の第1のコンピュータシステムであって、前記第1の外部アクセスリクエストと前記第1の外部アクセスリクエストに対する前記本来の回答とのうち少なくとも1つを解析するステップは、前記第1の外部アクセスリクエストに対する前記本来の回答を解析して、前記第1の外部アクセスリクエストに対する前記本来の回答の複数のフィールドから実時間フィールドを識別するステップを含む、第1のコンピュータシステム。
- 請求項3に記載の第1のコンピュータシステムであって、前記実時間フィールドを識別するステップは、前記実時間フィールドの内容を、前記第1のコンピュータシステムによって判定された依存しない実時間の値と比較するステップを含む、第1のコンピュータシステム。
- 請求項1に記載の第1のコンピュータシステムであって、前記潜在的なDGAマルウェアホストは、前記第1のコンピュータシステムとは物理的に別個の第2のコンピュータシステムである、第1のコンピュータシステム。
- 請求項1に記載の第1のコンピュータシステムであって、前記潜在的なDGAマルウェアホストは、前記第1のコンピュータシステムによってホストされる仮想マシンである、第1のコンピュータシステム。
- 請求項1に記載の第1のコンピュータシステムであって、前記少なくとも1つの関連付けられたマイクロプロセッサは、前記ドメイン生成アルゴリズムによって生成されたドメイン名を判定し、前記ドメイン名に従って、前記ドメイン生成アルゴリズムを実行していることが疑われる複数のコンピュータシステムを識別するようにさらに構成される、第1のコンピュータシステム。
- 請求項1に記載の第1のコンピュータシステムであって、前記少なくとも1つの関連付けられたマイクロプロセッサは、前記潜在的なDGAマルウェアホストは前記ドメイン生成アルゴリズムを実行するマルウェアを含むと判定することに応答して、前記ドメイン生成アルゴリズムによって生成されたドメイン名を、セキュリティアプリケーションのブラックリストに追加するようにさらに構成される、第1のコンピュータシステム。
- 少なくとも1つのメモリおよび少なくとも1つの関連付けられたマイクロプロセッサを含む第1のコンピュータシステムであって、前記マイクロプロセッサは、潜在的なドメイン生成アルゴリズム(DGA)マルウェアホストの外部でステップを実行するように構成され、前記ステップは、
第1の外部アクセスリクエストを解析して、前記第1の外部アクセスリクエストに対する本来の回答が、早められた実時間を含むかどうかを判定するステップであって、前記第1の外部アクセスリクエストは、潜在的なDGAマルウェアホストによって外部サイトに送られる、ステップと、
前記第1の外部アクセスリクエストに対する第1の本来の回答を解析して、前記第1の本来の回答が前記早められた実時間が正確ではないことを示す第1の情報を含むかどうかを判定するステップと、
修正された回答を前記潜在的なDGAマルウェアホストに送るステップであって、前記修正された回答は、前記第1の情報を、前記早められた実時間が正確であることを示す第2の情報に置換することによって、前記第1の本来の回答から生成される、ステップと、
第2の外部アクセスリクエストが前記潜在的なDGAマルウェアホストによって第2の外部サイトに送られることに応答して、前記第2のアクセスリクエストが成功ではなかったことを示す第2の本来の回答をインターセプトするステップと、
前記第2の回答をインターセプトすることに応答して、前記潜在的なDGAマルウェアホストはドメイン生成アルゴリズムを実行するマルウェアを含むと判定するステップと
を含む、第1のコンピュータシステム。 - 命令を記憶した非一時的コンピュータ可読媒体であって、前記命令は、実行されると、第1のコンピュータシステムの少なくとも1つのメモリおよび少なくとも1つの関連付けられたマイクロプロセッサを、潜在的なドメイン生成アルゴリズム(DGA)マルウェアホストの外部でステップを実行するように構成し、前記ステップは、
第1の外部アクセスリクエストに対する本来の回答をインターセプトするステップであって、前記第1の外部アクセスリクエストは、潜在的なDGAマルウェアホストによって外部サイトに送られる、ステップと、
前記第1の外部アクセスリクエストと前記第1の外部アクセスリクエストに対する前記本来の回答とのうち少なくとも1つを解析して、前記第1の外部アクセスリクエストに対する前記本来の回答が実時間を含むかどうかを判定するステップと、
修正された回答を前記潜在的なDGAマルウェアホストに送るステップであって、前記修正された回答は、前記本来の回答に含まれる本来の実時間を、前記本来の実時間に続く早められた実時間に置換することによって、前記本来の回答から生成される、ステップと、
前記潜在的なDGAマルウェアホストによって第2の外部アクセスリクエストが送られたことに応答して、前記第2のアクセスリクエストが成功ではなかったことを示す回答をインターセプトするステップであって、前記第2の外部アクセスリクエストは、前記第1の外部アクセスリクエストが送られた後に送られる、ステップと、
前記第2のアクセスリクエストが成功ではなかったことを示す前記回答をインターセプトすることに応答して、前記潜在的なDGAマルウェアホストはドメイン生成アルゴリズムを実行するマルウェアを含むと判定するステップと
を含む、非一時的コンピュータ可読媒体。 - 請求項10に記載の非一時的コンピュータ可読媒体であって、前記第1の外部アクセスリクエストと前記第1の外部アクセスリクエストに対する前記本来の回答とのうち少なくとも1つを解析するステップは、前記第1の外部アクセスリクエストのアドレスフィールド内の時間サーバのアドレスを識別するステップを含む、非一時的コンピュータ可読媒体。
- 請求項10に記載の非一時的コンピュータ可読媒体であって、前記第1の外部アクセスリクエストと前記第1の外部アクセスリクエストに対する前記本来の回答とのうち少なくとも1つを解析するステップは、前記第1の外部アクセスリクエストに対する前記本来の回答を解析して、前記第1の外部アクセスリクエストに対する前記本来の回答の複数のフィールドから実時間フィールドを識別するステップを含む、非一時的コンピュータ可読媒体。
- 請求項12に記載の非一時的コンピュータ可読媒体であって、前記実時間フィールドを識別するステップは、前記実時間フィールドの内容を、前記第1のコンピュータシステムによって判定された依存しない実時間の値と比較するステップを含む、非一時的コンピュータ可読媒体。
- 請求項10に記載の非一時的コンピュータ可読媒体であって、前記潜在的なDGAマルウェアホストは、前記第1のコンピュータシステムとは物理的に別個の第2のコンピュータシステムである、非一時的コンピュータ可読媒体。
- 請求項10に記載の非一時的コンピュータ可読媒体であって、前記潜在的なDGAマルウェアホストは、前記第1のコンピュータシステムによってホストされる仮想マシンである、非一時的コンピュータ可読媒体。
- 請求項10に記載の非一時的コンピュータ可読媒体であって、前記少なくとも1つの関連付けられたマイクロプロセッサは、前記ドメイン生成アルゴリズムによって生成されたドメイン名を判定し、前記ドメイン名に従って、前記ドメイン生成アルゴリズムを実行していることが疑われる複数のコンピュータシステムを識別するようにさらに構成される、非一時的コンピュータ可読媒体。
- 請求項10に記載の非一時的コンピュータ可読媒体であって、前記少なくとも1つの関連付けられたマイクロプロセッサは、前記潜在的なDGAマルウェアホストは前記ドメイン生成アルゴリズムを実行するマルウェアを含むと判定することに応答して、前記ドメイン生成アルゴリズムによって生成されたドメイン名を、セキュリティアプリケーションのブラックリストに追加するようにさらに構成される、非一時的コンピュータ可読媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/932,765 | 2015-11-04 | ||
| US14/932,765 US9819696B2 (en) | 2015-11-04 | 2015-11-04 | Systems and methods for detecting domain generation algorithm (DGA) malware |
| PCT/EP2016/076343 WO2017076859A1 (en) | 2015-11-04 | 2016-11-02 | System and methods for detecting domain generation algorithm (dga) malware |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018533793A true JP2018533793A (ja) | 2018-11-15 |
| JP6726429B2 JP6726429B2 (ja) | 2020-07-22 |
Family
ID=57286460
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018521861A Active JP6726429B2 (ja) | 2015-11-04 | 2016-11-02 | ドメイン生成アルゴリズム(dga)のマルウェアを検出するためのシステムおよび方法 |
Country Status (13)
| Country | Link |
|---|---|
| US (1) | US9819696B2 (ja) |
| EP (1) | EP3371953B1 (ja) |
| JP (1) | JP6726429B2 (ja) |
| KR (1) | KR102271545B1 (ja) |
| CN (1) | CN108353083B (ja) |
| AU (1) | AU2016348500B2 (ja) |
| CA (1) | CA3002605C (ja) |
| ES (1) | ES2880269T3 (ja) |
| HK (1) | HK1254971A1 (ja) |
| IL (1) | IL258776A (ja) |
| RU (1) | RU2726032C2 (ja) |
| SG (1) | SG11201803441WA (ja) |
| WO (1) | WO2017076859A1 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9979748B2 (en) * | 2015-05-27 | 2018-05-22 | Cisco Technology, Inc. | Domain classification and routing using lexical and semantic processing |
| US10728266B2 (en) * | 2017-08-15 | 2020-07-28 | Check Point Software Technologies Ltd. | Methods and systems for identifying malware enabled by automatically generated domain names |
| US10979451B2 (en) | 2018-02-14 | 2021-04-13 | Cisco Technology, Inc. | Autonomous domain generation algorithm (DGA) detector |
| US11075947B2 (en) * | 2018-06-26 | 2021-07-27 | Cisco Technology, Inc. | Virtual traffic decoys |
| US10862854B2 (en) | 2019-05-07 | 2020-12-08 | Bitdefender IPR Management Ltd. | Systems and methods for using DNS messages to selectively collect computer forensic data |
| US11729134B2 (en) * | 2019-09-30 | 2023-08-15 | Palo Alto Networks, Inc. | In-line detection of algorithmically generated domains |
| KR102265955B1 (ko) * | 2019-12-18 | 2021-06-16 | 주식회사 쏘마 | 악성 코드 실행 방지를 위한 악성 코드 탐지 방법 및 도메인 생성 알고리즘 탐지 방법 |
| KR102638308B1 (ko) * | 2021-12-21 | 2024-02-20 | 주식회사 윈스 | DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치 |
| US20230259614A1 (en) * | 2022-02-14 | 2023-08-17 | Mellanox Technologies, Ltd. | Malicious activity detection in memory of a data processing unit using machine learning detection models |
| US20230262076A1 (en) * | 2022-02-14 | 2023-08-17 | Mellanox Technologies, Ltd. | Malicious domain generation algorithm (dga) detection in memory of a data processing unit using machine learning detection models |
| US11582247B1 (en) * | 2022-04-19 | 2023-02-14 | Palo Alto Networks, Inc. | Method and system for providing DNS security using process information |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07175734A (ja) * | 1993-12-20 | 1995-07-14 | Ricoh Co Ltd | ローカルエリアネットワーク |
| US20120303808A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Using dns communications to filter domain names |
| US20120304244A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Malware analysis system |
| US20140310811A1 (en) * | 2013-04-11 | 2014-10-16 | F-Secure Corporation | Detecting and Marking Client Devices |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5444780A (en) | 1993-07-22 | 1995-08-22 | International Business Machines Corporation | Client/server based secure timekeeping system |
| DE10014522C2 (de) * | 2000-03-23 | 2003-08-21 | Siemens Ag | Verfahren und Anordnung zur Zulässigkeitsprüfung einer Dienstnutzung |
| US8327448B2 (en) | 2005-06-22 | 2012-12-04 | Intel Corporation | Protected clock management based upon a non-trusted persistent time source |
| US8220031B2 (en) | 2007-05-01 | 2012-07-10 | Texas Instruments Incorporated | Secure time/date virtualization |
| US8161160B2 (en) * | 2008-02-28 | 2012-04-17 | Microsoft Corporation | XML-based web feed for web access of remote resources |
| US9501644B2 (en) * | 2010-03-15 | 2016-11-22 | F-Secure Oyj | Malware protection |
| US8260914B1 (en) * | 2010-06-22 | 2012-09-04 | Narus, Inc. | Detecting DNS fast-flux anomalies |
| US8516585B2 (en) | 2010-10-01 | 2013-08-20 | Alcatel Lucent | System and method for detection of domain-flux botnets and the like |
| RU103643U1 (ru) * | 2010-11-01 | 2011-04-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система противодействия фишинг атакам |
| US8763117B2 (en) | 2012-03-02 | 2014-06-24 | Cox Communications, Inc. | Systems and methods of DNS grey listing |
| CN102833337B (zh) * | 2012-08-30 | 2016-03-02 | 北京星网锐捷网络技术有限公司 | 一种ftp文件上传、下载方法及装置 |
| US9077546B1 (en) * | 2012-11-27 | 2015-07-07 | Symnatec Corporation | Two factor validation and security response of SSL certificates |
| US8990513B2 (en) * | 2013-01-11 | 2015-03-24 | International Business Machines Corporation | Accelerated recovery for snooped addresses in a coherent attached processor proxy |
| CN103634315B (zh) * | 2013-11-29 | 2017-11-10 | 哈尔滨工业大学(威海) | 域名服务器的前端控制方法及系统 |
| CN104580185B (zh) * | 2014-12-30 | 2017-12-01 | 北京工业大学 | 一种网络访问控制的方法和系统 |
-
2015
- 2015-11-04 US US14/932,765 patent/US9819696B2/en active Active
-
2016
- 2016-11-02 JP JP2018521861A patent/JP6726429B2/ja active Active
- 2016-11-02 KR KR1020187012077A patent/KR102271545B1/ko active IP Right Grant
- 2016-11-02 AU AU2016348500A patent/AU2016348500B2/en active Active
- 2016-11-02 SG SG11201803441WA patent/SG11201803441WA/en unknown
- 2016-11-02 CN CN201680064630.2A patent/CN108353083B/zh active Active
- 2016-11-02 ES ES16794548T patent/ES2880269T3/es active Active
- 2016-11-02 RU RU2018118828A patent/RU2726032C2/ru active
- 2016-11-02 WO PCT/EP2016/076343 patent/WO2017076859A1/en active Application Filing
- 2016-11-02 EP EP16794548.4A patent/EP3371953B1/en active Active
- 2016-11-02 CA CA3002605A patent/CA3002605C/en active Active
-
2018
- 2018-04-17 IL IL258776A patent/IL258776A/en active IP Right Grant
- 2018-11-05 HK HK18114078.6A patent/HK1254971A1/zh unknown
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07175734A (ja) * | 1993-12-20 | 1995-07-14 | Ricoh Co Ltd | ローカルエリアネットワーク |
| US20120303808A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Using dns communications to filter domain names |
| US20120304244A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Malware analysis system |
| CN103842965A (zh) * | 2011-05-24 | 2014-06-04 | 帕洛阿尔托网络公司 | 恶意软件分析系统 |
| JP2014519113A (ja) * | 2011-05-24 | 2014-08-07 | パロ・アルト・ネットワークス・インコーポレーテッド | マルウェア解析システム |
| JP2014519751A (ja) * | 2011-05-24 | 2014-08-14 | パロ・アルト・ネットワークス・インコーポレーテッド | ドメイン名をフィルタリングするためのdns通信の使用 |
| US20140310811A1 (en) * | 2013-04-11 | 2014-10-16 | F-Secure Corporation | Detecting and Marking Client Devices |
Non-Patent Citations (1)
| Title |
|---|
| 福田 鉄平: "DGAの時間的局所性を用いたボットネット検知手法の実装と評価", 電子情報通信学会技術研究報告 VOL.114 NO.489, vol. 第114巻, JPN6020012192, 24 February 2015 (2015-02-24), JP, pages 19 - 24, ISSN: 0004244986 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6726429B2 (ja) | 2020-07-22 |
| AU2016348500B2 (en) | 2020-04-30 |
| EP3371953A1 (en) | 2018-09-12 |
| CN108353083B (zh) | 2021-02-26 |
| SG11201803441WA (en) | 2018-05-30 |
| IL258776A (en) | 2018-06-28 |
| US20170126706A1 (en) | 2017-05-04 |
| EP3371953B1 (en) | 2021-05-12 |
| US9819696B2 (en) | 2017-11-14 |
| CN108353083A (zh) | 2018-07-31 |
| AU2016348500A1 (en) | 2018-05-10 |
| KR102271545B1 (ko) | 2021-07-05 |
| RU2726032C2 (ru) | 2020-07-08 |
| RU2018118828A3 (ja) | 2020-03-25 |
| RU2018118828A (ru) | 2019-12-05 |
| WO2017076859A1 (en) | 2017-05-11 |
| CA3002605C (en) | 2022-03-29 |
| KR20180081053A (ko) | 2018-07-13 |
| HK1254971A1 (zh) | 2019-08-02 |
| CA3002605A1 (en) | 2017-05-11 |
| ES2880269T3 (es) | 2021-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6726429B2 (ja) | ドメイン生成アルゴリズム(dga)のマルウェアを検出するためのシステムおよび方法 | |
| EP3430557B1 (en) | System and method for reverse command shell detection | |
| Rastogi et al. | Are these Ads Safe: Detecting Hidden Attacks through the Mobile App-Web Interfaces. | |
| Nikiforakis et al. | You are what you include: large-scale evaluation of remote javascript inclusions | |
| Lu et al. | Blade: an attack-agnostic approach for preventing drive-by malware infections | |
| US9135443B2 (en) | Identifying malicious threads | |
| US20150172305A1 (en) | Systems and methods for incubating malware in a virtual organization | |
| RU2697950C2 (ru) | Система и способ выявления скрытого поведения расширения браузера | |
| US20140223566A1 (en) | System and method for automatic generation of heuristic algorithms for malicious object identification | |
| Kedrowitsch et al. | A first look: Using linux containers for deceptive honeypots | |
| US11416613B2 (en) | Attack detection through exposure of command abuse | |
| Shao et al. | Understanding in-app ads and detecting hidden attacks through the mobile app-web interface | |
| Tanabe et al. | Evasive malware via identifier implanting | |
| Musch et al. | Server-Side Browsers: Exploring the Web's Hidden Attack Surface | |
| EP3999985A1 (en) | Inline malware detection | |
| Takata et al. | MineSpider: Extracting hidden URLs behind evasive drive-by download attacks | |
| Kaur et al. | UAC: a lightweight and scalable approach to detect malicious web pages | |
| EP3522057B1 (en) | System and method of detecting hidden behavior of a browser extension | |
| US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
| Wu et al. | Detection of Android Malware Behavior in Browser Downloads | |
| Al Shamsi | Mapping, Exploration, and Detection Strategies for Malware Universe | |
| Hovmark et al. | Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS | |
| Hsu et al. | A Cloud-based Protection approach against JavaScript-based attacks to browsers | |
| RU2673407C1 (ru) | Система и способ определения вредоносного файла | |
| Rahman | Characterisation and detections of third-party content loading in the web |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190521 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200331 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200327 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200508 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200601 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200624 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6726429 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |