JP2019082989A - 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法 - Google Patents
標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法 Download PDFInfo
- Publication number
- JP2019082989A JP2019082989A JP2018095395A JP2018095395A JP2019082989A JP 2019082989 A JP2019082989 A JP 2019082989A JP 2018095395 A JP2018095395 A JP 2018095395A JP 2018095395 A JP2018095395 A JP 2018095395A JP 2019082989 A JP2019082989 A JP 2019082989A
- Authority
- JP
- Japan
- Prior art keywords
- computer
- database
- attack
- tag
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】標的型攻撃をクラウド上で検出、探索および除去するシステムおよび方法を提供する。【解決手段】システムは、ネットワーク内のコンピュータのオブジェクトに関する情報を収集し、オブジェクトとともにセキュリティ通知をネットワーク内のオブジェクトデータベースに保存するコンピュータ保護モジュールと、ネットワーク内の脅威データベースでオブジェクトを検索し、脅威データベースでオブジェクトが発見された場合に当該オブジェクトに1以上のタグを付与して、オブジェクトデータベース内のレコードと脅威データベースとの対応付けを付与し、1以上のタグがコンピュータ攻撃のデータベース内のシグネチャに対応する場合、コンピュータ攻撃が発生したと判定する標的型攻撃防御用モジュールとを備える。【選択図】図5
Description
本開示は、概してコンピュータセキュリティの分野に関し、特に、標的型攻撃をクラウド上で検出、探索および除去するシステムおよび方法に関する。
従来の悪性ソフトウェア(ウィルス、インターネットワーム、キーロガー、エンクリプタ等)に加えて、現在コンピュータ攻撃が広がっている。特に、情報システム(コンピュータ装置と当該コンピュータ装置同士を接続するために使用される通信とを含む全体;情報システムは統合的インフラストラクチャとしても知られている。)に対する標的型攻撃(targeted attacks; TA)および高度持続型脅威(advanced persistent threats;APT)が広がっている。ハッカーは、従業員の個人データの単純な盗取から産業スパイまで様々な目的を持っている。多くの場合ハッカーは、企業ネットワークのアーキテクチャ、内部ドキュメントフローの仕組み、および、ネットワークやコンピュータ装置の保護に利用される手段に関する情報や、情報システムに固有のその他の情報を持っている。こうした情報により、ハッカーは既存の防御手段を潜り抜けることができる。既存の防御手段は、情報システムのニーズを全て満たすほど設定上の柔軟性を有していないことが多い。
悪性ソフトウェアや、シグネチャ解析、ヒューリスティック解析、およびエミュレーションなどの、コンピュータ脅威を防ぐ既存の技術には多くの欠点があり、標的型攻撃やその他のコンピュータ攻撃に対して適切なレベルの防御を提供する妨げとなっている。たとえば、既存の技術では、これまで知られていない脅威、悪性ソフトウェアを使用しないコンピュータ攻撃、(防御手段を潜り抜ける技術を使用した)複合攻撃および(数日から数年にわたる)長期持続攻撃を検出および探索することができない。こうした脅威のサインは所定期間後になってようやく分かるようになる。
このように、情報システムに対するコンピュータ攻撃のサインを判定する性能が低いという技術的課題が生じる。
しかし、従来技術で知られている方法では、コンピュータ攻撃とそのサインを特定できない場合が多い。これは、特定のためには実行可能ファイルをサーバに送信する必要があるが、標的型攻撃をはじめとする多くのコンピュータ攻撃は悪性ソフトウェアを使用せずに実行されるためである。よって、上述の方法では提示した技術的課題を解決することができない。たとえば、今日の標的型攻撃は、悪性コードを動的に生成しハードディスクにアーチファクトを残すことなくコンピュータメモリに直接ダウンロードするためにPowerShell(登録商標)を使用する場合がある。この場合、悪性ソフトウェアのコピーはなく、PowerShellインタプリタ自体は悪性ソフトウェアではない。別の例では、悪意で正規ツールを使用する場合がある。すなわち、侵入したコンピュータを遠隔制御するためにRemote Administration Utility(LiteManager、 TeamViewer等)を使用したり、侵入したコンピュータに悪性ソフトウェアをロードするために正規Windows(登録商標)ユーティリティ(bitsadmin、certuil等)を使用したり、コマンドを遠隔起動する管理ツール(wmic、 psexec等)を使用したり、ハッカーがドメイン管理者のアカウントデータを取得して侵入したインフラストラクチャに統合するため、ネットワーク内のユーザのアカウントデータを繰り返しハッキングするラテラルムーブメント型攻撃が使用される場合がある。
本開示は、標的型攻撃をクラウド上で検出、探索および除去するシステムおよび方法に関する。
一例示的側面として、コンピュータ攻撃の検出方法を提供する。この方法では、ハードウェアプロセッサを用いて、ネットワーク内のコンピュータのオブジェクトに関する情報を収集し、オブジェクトとともにセキュリティ通知をネットワーク内のオブジェクトデータベースに保存し、ネットワーク内の脅威データベースでオブジェクトを検索し、脅威データベース内でオブジェクトが発見された場合に当該オブジェクトに1以上のタグを付与して、オブジェクトデータベース内のレコードと脅威データベースとの対応付けを付与し、当該1以上のタグがコンピュータ攻撃データベース内のシグネチャに対応する場合、コンピュータ攻撃が発生したと判定する。
別の側面では、この方法はさらに、1以上のタグに基づいて不審動作データベース内で不審動作を検索し、不審動作データベース内で不審動作のサインを発見した場合、第2のタグをセキュリティ通知に付与し、コンピュータ攻撃データベースでオブジェクト、第1のタグ、第2のタグが発見された場合、コンピュータ攻撃が発生したと判定する。
別の側面では、第2のタグは、不審動作のサインであるコンピュータ上の所定イベントの発生や所定動作の実行があった場合にのみ付与される。
別の側面では、コンピュータ攻撃の判定が不確実である場合、この方法では、コンピュータ攻撃の判定を確認するためのコンピュータのメモリダンプ、および、攻撃を検出するロギングステップのいずれかを実行する。
別の側面では、オブジェクトに関する情報は、オブジェクトの動作、コンピュータのオペレーティングシステムにおけるイベント、ネットワーク間のオブジェクトのインタラクションに関する情報、侵入の痕跡(indicators of compromise)、およびオブジェクトのメタデータのうち1以上を含む。
別の側面では、対応付けは、脅威データベースおよびオブジェクトデータベースのオブジェクトのチェックサム同士の一致によって規定される。
別の側面では、タグは、オブジェクトやオブジェクトによって実行されるイベントまたはオブジェクト上で実行されるイベントに関連する特徴である。
別の側面では、オブジェクトは、ファイル、当該ファイルのハッシュ、プロセス、URLアドレス、IPアドレス、証明書およびファイル実行ログのうち1以上を含む。
別の側面では、セキュリティ通知は、収集されたオブジェクトに関する情報を含む。
別の側面では、セキュリティ通知はタイムスタンプを含む。
一例示的側面では、コンピュータ攻撃を検出するシステムが提供される。このシステムは、ネットワーク内のコンピュータのオブジェクトに関する情報を収集し、オブジェクトとともにセキュリティ通知をネットワーク内のオブジェクトデータベースに保存するコンピュータ保護モジュールと、ネットワーク内の脅威データベースでオブジェクトを検索し、脅威データベースでオブジェクトが発見された場合に当該オブジェクトに1以上のタグを付与して、オブジェクトデータベース内のレコードと脅威データベースとの対応付けを付与し、1以上のタグがコンピュータ攻撃のデータベース内のシグネチャに対応する場合、コンピュータ攻撃が発生したと判定する標的型攻撃防御用モジュールとを備える。
一例示的側面では、コンピュータ実行可能命令を格納した非一時的コンピュータ可読媒体が提供される。この命令は、ハードウェアプロセッサによって実行された場合、ハードウェアプロセッサを用いて、ネットワーク内のコンピュータのオブジェクトに関する情報を収集し、オブジェクトとともにセキュリティ通知をネットワーク内のオブジェクトデータベースに保存し、ネットワーク内の脅威データベースでオブジェクトを検索し、脅威データベース内でオブジェクトが発見された場合に当該オブジェクトに1以上のタグを付与して、オブジェクトデータベース内のレコードと脅威データベースとの対応付けを付与し、当該1以上のタグがコンピュータ攻撃のデータベース内のシグネチャに対応する場合、コンピュータ攻撃が発生したと判定する、というコンピュータ攻撃検出方法を実行する。
上記の例示的側面の簡単な概要により、本開示を基本的に理解できるであろう。この概要は、想定されるすべての側面の包括的な概観ではなく、全ての側面の主要または必要不可欠な要素を特定するものでも、本開示の側面の一部または全部の範囲を画するものでもない。本概要は、単に、以下の本開示の詳細な説明の前置きとして、1以上の側面を簡単に述べるものである。本開示の1以上の側面は、請求の範囲において説明され例示的に提示されている特徴を含む。
本明細書に組み込まれて本明細書の一部を構成する添付の図面は、本開示の1以上の例示的側面を図示し、詳細な説明とともにその原理および実施形態を説明する。
図1は、本開示の一例示的側面に係る、標的型攻撃をクラウド上で検出、探索および除去するシステムを示すブロック図である。
図2は、本開示の一例示的側面に係る、コンピュータ保護モジュールの想定されるモジュール例を示す図である。
図3は、本開示の一例示的側面に係る、標的型攻撃防御用コンピュータ保護モジュールの想定されるモジュール例を示す図である。
図4は、本開示の一例示的側面に係る、オブジェクトタグをセキュリティ通知に付与する処理を示す図である。
図5は、本開示の一例示的側面に係る、標的型攻撃を検出、探索および除去する方法の一例を示す図である。
図6Aは、本開示の一例示的側面に係る、オブジェクトタグをセキュリティ通知に付与する一例を示す図である。
図6Bは、本開示の一例示的側面に係る、オブジェクトタグをセキュリティ通知に付与する一例を示す図である。
図7は、本開示の一例示的側面に係る、汎用コンピュータシステムの一例を示す図である。
標的型攻撃をクラウド上で検出し、探索し、除去するためのシステムおよび方法、ならびに、当該システムおよび方法のためのコンピュータプログラムプロダクトについて、例示的側面を説明する。当業者であれば、以下の説明が単に例示的なものであって限定的なものではないことが理解できるであろう。他の側面についても、本開示の利益を享受する当業者は容易に理解できるであろう。以下、添付の図面に示す、例示的側面に係る実施形態を詳しく参照する。図面および以下の説明では、同じ又は同様の要素については可能な限り同じ参照符号を使用する。
以下の用語は、本明細書、図面、および請求の範囲を通して使用される。
侵入の痕跡(indicators of compromise;IOC)は、フォレンジックアーチファクト、侵入のレムナントとも呼ばれ、ホストまたはネットワーク上で特定され得る。一般的なIOCは、ウィルスシグネチャ、IPアドレス、ファイルのチェックサム、URLアドレス、および従来のコンピュータ攻撃で知られているボットネットコマンドセンターのドメイン名などである。IOCには複数の規格がある。具体的には、OpenIOC(https://community.rsa.com/docs/DOC-62341、https://web.archive.org/web/20160401023434、 http://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/、 http://openioc.org/)、STIX(https://stix.mitre.org/)、CybOX(https://cybox.mitre.org)等である。
コンピュータ攻撃とは、ネットワークに侵入して組織や自然人に様々な危害を加えるために、当該組織や自然人の情報システムを対象とした、ハッカーが隠れて実行する長期間にわたる一連のステップのことを言う。
標的型攻撃(targeted attacks)またはTAとは、ネットワークに侵入して特定の組織や自然人に様々な危害を加えるための、当該組織や自然人の情報システムを対象としたコンピュータ攻撃のことを言う。
高度持続型脅威(advanced persistent threats)またはAPTとは、複雑な悪性ソフトウェア、ソーシャルエンジニアリング手法、および攻撃対象の情報システム上のデータを利用した、複雑で長期間にわたる巧みに計画された多面的なコンピュータ攻撃のことを言う。
ファジーハッシュ(フレキシブルフィンガープリントまたは局所鋭敏型ハッシュともいう。)とは、ファイルのフィンガープリントであって、ファイルのわずかな変更によってフィンガープリントが変わらないよう生成されているもののことを言う。つまり、悪性ファイルのフィンガープリントの値を用いて当該悪性ファイルを検出しようとすると、複数の類似した(おそらく未知の)悪性ファイルが検出される。このようなフィンガープリントの主な特徴は、ファイルに軽微な変更があっても変わらない点である。
ファジー判定(fuzzy verdict)とは、悪性ファイルの特徴など、ファイルの不審動作を検出する際のアンチウィルスアプリケーションの応答のことを言う。たとえば、フレキシブルフィンガープリントによってファイルを検出する際にファジー判定が返される。ファジー判定は、検出されたファイルが、ある程度の確率で悪性であることを示す。
図1は、本開示の一例示的側面に係る、標的型攻撃をクラウド上で検出、探索および除去するシステムを示すブロック図である。情報システム100(または統合的インフラストラクチャ)は、コンピュータネットワーク105によって接続された一群のコンピュータ101を含む。コンピュータ101は、概括的に任意の計算装置およびセンサを指し、特に、パーソナルコンピュータ、ノート型パソコンおよびスマートホン、並びに、ルータ、スイッチおよびコンセントレータなどの通信デバイスを指す。情報システム100は、従来技術で知られている任意のネットワーク105トポロジを使用して構成される。たとえば、完全接続型、point-to-point型、バス型、スター型、リング型または円型、メッシュ型、ツリー型、デイジーチェーン型あるいはハイブリッド型のうちいずれか一つを使用できる。コンピュータ101の一部には、コンピュータ保護モジュール102がインストールされている。コンピュータ保護モジュール102は、所定のコンピュータ101にはインストールされない場合がある。情報システム100は、標的型攻撃防御用モジュール103を含んでもよく、標的型攻撃防御用モジュール103は、別のサーバなどに配置してもよい。評価サーバ104は、情報システム100内に配置してもよく、(検出モジュール110に接続された)サービスプロバイダのクラウドサービス内に配置してもよい。コンピュータ101は、物理装置または仮想マシンのいずれであってもよい。ネットワーク105によってコンピュータ101をインターネットおよび検出モジュール110に接続するために、代理サーバ(図示せず)を使用してもよい。
コンピュータ保護モジュール102は、また、必要に応じて標的型攻撃防御用モジュール103は、コンピュータ101上のオブジェクトおよびネットワーク105内のオブジェクトに関する情報を収集する。コンピュータ保護モジュール102および標的型攻撃防御用モジュール103は、保護モジュール102,103とも呼ぶ。特定の例示的側面では、オブジェクトは、ファイル、当該ファイルのハッシュ、プロセス、URLアドレス、IPアドレス、証明書、ファイル実行ログ、またはコンピュータ101上で検出されるその他のオブジェクトでもよい。収集される情報は、コンピュータ101上のオブジェクトおよびネットワーク105内のオブジェクトに接続する不審なイベントに関する情報である。その後、コンピュータ保護モジュール102は、ネットワーク105によってセキュリティ通知を検出モジュール110(サービスプロバイダのクラウドサービス)に送信する。セキュリティ通知は、具体的には、保護モジュール自体に関する情報(識別子等)および収集されたオブジェクトに関する情報を含んでもよい。特定の例示的側面では、セキュリティ情報はタイムスタンプ(オブジェクトに関する情報が収集される時間または時間幅)を含んでもよい。特定の例示的側面では、保護モジュール102,103は、オブジェクトに関する以下の情報を収集するために使用される:
・プロセスの動作(実行トレース等)
・オペレーティングシステム(OS)におけるイベント−OSのイベントログのレコード
・ネットワーク間のインタラクションに関する情報
・侵入の痕跡(indicators of compromise)
・保護モジュールまたは保護モジュールが含む複数のモジュールの判定(ファジー判定を含む)またはテストシグネチャ
・オブジェクトのメタデータ、たとえばオブジェクトのチェックサム
・プロセスの動作(実行トレース等)
・オペレーティングシステム(OS)におけるイベント−OSのイベントログのレコード
・ネットワーク間のインタラクションに関する情報
・侵入の痕跡(indicators of compromise)
・保護モジュールまたは保護モジュールが含む複数のモジュールの判定(ファジー判定を含む)またはテストシグネチャ
・オブジェクトのメタデータ、たとえばオブジェクトのチェックサム
標的型攻撃防御用モジュール(または標的型攻撃保護モジュール)103は、ネットワーク105を介してコンピュータ保護モジュール102に接続され、情報システム100のネットワーク動作の解析を行う。また、標的型攻撃保護モジュール103は、(一部の側面では)「サンドボックス」、プロセスを安全に行うためのコンピュータ環境、およびその他の検出手法(詳しくは、図2〜3)を使用してコンピュータ101のオブジェクトを検出することにより、情報システム内の標的型攻撃を検出する。
標的型攻撃防御用モジュール103は、ネットワークトラフィックで送信された情報を収集する。このように、標的型攻撃防御用モジュール103は、コンピュータ101(コンピュータ保護モジュール102がインストールされていないコンピュータ101を含む)からネットワーク105を介して送信されるすべてのオブジェクトの情報を収集する。
ネットワーク105内のオブジェクトに関する情報は、標的型攻撃防御用モジュール103の判定、ネットワークトラフィック内およびDNSトラフィック内の不審動作、および、電子メールやインターネットからのオブジェクトのエミュレーション結果を含んでもよい。
特定の例示的側面では、保護モジュール102,103は、上述のオブジェクトすべての情報を収集する。別の例示的側面では、保護モジュール102,103は、(悪性でも不審でもないことが正確に把握されている)安全な(正規)オブジェクトの一覧、および、悪性かつ不審なオブジェクトの一覧(図示せず)を含んでもよい。この例では、保護モジュール102,103は、悪性かつ不審なオブジェクトの一覧の中のオブジェクトだけでなく、(安全なオブジェクトの一覧にも、悪性かつ不審なオブジェクトの一覧にも存在しない)不明なオブジェクトに関する情報も収集する。
さらに別の例示的側面では、保護モジュール102,103は、情報の収集が必要な補足オブジェクトの一覧を含んでもよい。このようなオブジェクトの一覧は、管理者106などが作成する。さらに別の特定の例示的側面では、管理者106は、一覧にオブジェクトを追加したり、一覧からオブジェクトを削除したりして、悪性かつ不審なオブジェクト(動作など)の一覧や安全なオブジェクトの一覧を作成してもよい。
たとえば、管理者106は、禁止動作の一覧および許可動作の一覧を示してもよい。たとえば、情報システム100では、「psexec」ユーティリティはハッカーがリモート管理に使用する可能性があるため、一部のコンピュータ101での使用が禁止される場合がある。禁止動作に関連するオブジェクトの情報は、保護モジュール102,103が収集する。よって、特定のコンピュータ101やネットワーク105内でpsexecユーティリティが実行された場合、その使用に関する情報は検出モジュールに送信されその使用に応じたマーカが付与される。禁止動作および許可動作の一覧は、情報システム100または検出モジュール110のいずれかに保存される。標的型攻撃防御モジュール103が、コンピュータ保護モジュール102がインストールされていないコンピュータ110上でpsexecユーティリティの使用を検出した場合、当該コンピュータ上での「psexec」の使用が許可可能かの確認および対応するタグの付与は、禁止動作の一覧を用いて標的型攻撃防御モジュール103または検出モジュール110のいずれかが行う。さらに別の特定の例示的側面では、禁止動作の一覧または許可動作の一覧に情報がない場合、解析センター115は、検出された動作が許可可能であるか管理者106に確認し、当該動作が許可可能ではない場合、対応するタグを付与する。
検出モジュール110は、受信したセキュリティ通知をオブジェクトデータベース112内に格納し、脅威データベース111内を検索してセキュリティ通知内のオブジェクトが脅威データベース111内にあるか判定する。検出モジュール110は、セキュリティ通知からのオブジェクトを脅威データベース111内に発見すると、検出モジュール110は発見したオブジェクトにつきオブジェクトデータベース112内にタグを付与し、脅威データベース111内に発見されたオブジェクトとの対応付けを付与する。対応付けは、たとえば脅威データベース111およびオブジェクトデータベース112内のオブジェクトのチェックサムの一致によって規定される。
オブジェクトのタグは、コンピュータ101で発生するイベントの特徴、発見されたオブジェクトに関連する特徴、あるいは、オブジェクトによって実行されたイベントまたはオブジェクト上で実行されたイベントに関連する特徴である。よって、コンピュータ101上で特定のイベントが発生した場合、または、オブジェクトに関する特定の動作が行われた場合にのみ、オブジェクトのタグがオブジェクトに付与される。特定の例示的側面では、オブジェクトのタグは、保護モジュール102,103の判定および(オブジェクトの情報に基づく)オブジェクトの不審動作に関する情報などを特徴づける。したがって、オブジェクトのタグは具体的に以下のイベントを含む(以下、所定のオブジェクトに関連し、オブジェクトについて得られた情報に基づいて検出されたイベントがコンピュータ101上で発生した場合にのみ、タグがオブジェクトに付与されるものと想定する):
・コンピュータ上でのDNSサーバの置換
・オペレーティングシステムの自動更新の切断
・ネットワークファイアウォールの切断
・保護モジュールの切断
・UAC(User Account Control;Windows(登録商標)OSのコンポーネント)の切断
・コンピュータ上でのDNSサーバの置換
・オペレーティングシステムの自動更新の切断
・ネットワークファイアウォールの切断
・保護モジュールの切断
・UAC(User Account Control;Windows(登録商標)OSのコンポーネント)の切断
さらに別の特定の例示的側面では、検出モジュール110によってオブジェクトに付与されるオブジェクトのタグは、以下のイベントも含む:
・オブジェクト名とそのチェックサムとの不一致に関する情報(たとえば、リモートアクセスアプリケーションである実行可能ファイルTeamViewerが名称変更された場合)
・コンピュータ上の認証プロファイル違反(一定期間(1日間、2日間、またはそれ以上)にわたりオブジェクトに関する情報が収集されてコンピュータ101上で特定のユーザリストについて認証が実行された後、当該リストに存在しないユーザがコンピュータ101上で認証された場合)
・プロセスのネットワーク動作プロファイル違反(一定期間(1日間、2日間、またはそれ以上)にわたりオブジェクトに関する情報が収集されてプロセスがインターネットの特定のIPアドレス一覧とネットワーク内で相互作用した後に、プロセスがリストにないIPアドレスにネットワークによって接続された場合)
・所定の情報システム100内で一意であり、許可タスクの一覧にないscheduler/AutoRunsettings/OS service/driver処理。
・外部のサイバー脅威インテリジェンスのソースから得たオブジェクトを検索した結果に関連するタグ
・キーロガー、リモートアドミンツールおよびモニタとして分類されるファイルが少数のコンピュータ101上で発見される場合に、当該ファイルが検出されるコンピュータ101
・オブジェクト名とそのチェックサムとの不一致に関する情報(たとえば、リモートアクセスアプリケーションである実行可能ファイルTeamViewerが名称変更された場合)
・コンピュータ上の認証プロファイル違反(一定期間(1日間、2日間、またはそれ以上)にわたりオブジェクトに関する情報が収集されてコンピュータ101上で特定のユーザリストについて認証が実行された後、当該リストに存在しないユーザがコンピュータ101上で認証された場合)
・プロセスのネットワーク動作プロファイル違反(一定期間(1日間、2日間、またはそれ以上)にわたりオブジェクトに関する情報が収集されてプロセスがインターネットの特定のIPアドレス一覧とネットワーク内で相互作用した後に、プロセスがリストにないIPアドレスにネットワークによって接続された場合)
・所定の情報システム100内で一意であり、許可タスクの一覧にないscheduler/AutoRunsettings/OS service/driver処理。
・外部のサイバー脅威インテリジェンスのソースから得たオブジェクトを検索した結果に関連するタグ
・キーロガー、リモートアドミンツールおよびモニタとして分類されるファイルが少数のコンピュータ101上で発見される場合に、当該ファイルが検出されるコンピュータ101
特定の例示的側面では、オブジェクトが悪性オブジェクトの一覧にない場合、検出モジュール110はオブジェクトに対してフレキシブルフィンガープリントを算出してもよい。その後、検出モジュール110は、このフレキシブルフィンガープリントが悪性オブジェクトのいずれかに対応しないか確認し、対応する場合、元のオブジェクトも検出モジュール110は悪性としてマークする。さらに、所与のファイルに対して判定(verdict)が作成され、検出モジュール110によってコンピュータ保護モジュール102に送信される。
検出モジュール110を使用して、受信したセキュリティ通知および当該セキュリティ通知に含まれるオブジェクトに付与されたタグに基づいて、不審動作データベース113内の不審動作のサイン(すなわち、コンピュータ攻撃の特徴的サイン)を検索する。不審動作のサインを発見すると、不審動作データベース113に含まれるタグが検出モジュール110によってセキュリティ通知に付与される。タグは、発見された不審動作のサインがあることを示す。その後、コンピュータ攻撃データベース114からコンピュータ攻撃のシグネチャを特定することにより、取得したオブジェクトおよびセキュリティ通知、ならびに、オブジェクトデータベース112内の当該オブジェクトおよびセキュリティ通知のタグの中から、コンピュータ攻撃のサインを検出する。
コンピュータ攻撃のサインが特定されることで、解析センター115が、標的型攻撃について詳細な探索および確認または標的型攻撃ではないとの証明を開始する条件が満たされる。特定の例示的側面では、コンピュータ攻撃のシグネチャを特定すると、解析センター115による探索を要することなく、コンピュータ攻撃のサインだけでなくコンピュータ攻撃も明確に特定し確認できる。別の例示的側面では、コンピュータ攻撃のシグネチャを特定することでは標的型攻撃を明確に確認することはできず、この場合、解析センター115によるさらなる探索が必要である。
タグは、オブジェクトおよびセキュリティ通知の両方に付与される。ここでタグは、コンピュータ101(セキュリティ通知に含まれる情報の収集元であるコンピュータ101)上で発生しているイベント、または、コンピュータ上で実行される動作の特徴である。よって、タグがセキュリティ通知に付与されるのは、不審動作のサインと定義される特定のイベントや特定の動作がコンピュータ101上で行われた場合のみである。
セキュリティ通知のタグは以下のような不審動作のサインを含む:
・ユーザが初めてコンピュータ上で認証を行ったこと。
このような不審イベントを発生させるスクリプトの一例を以下に説明する。保護モジュール102は、コンピュータ101上で認証に成功したユーザアカウントレコードの一覧を一月間収集する。その後、こうして作成されたアカウントレコードの一覧に含まれていないアカウントレコードでユーザがコンピュータ101上で認証される。
・オブジェクト(ファイル/プロセス)のリモート起動が発生したこと。
このような不審イベントを発生させるスクリプトの一例を以下に説明する。オブジェクトのリモート起動は、Windows Management Instrumentation(WMI)インフラストラクチャまたはOS Windowsサービスによって発生する。
・イベントログからレコードが削除されたこと。
・ブラウザではないアプリケーションからネットワーク内でファイルが起動されたこと。
・ホワイトリストに存在しないファイルが不審なディレクトリから起動されたこと。
・シャドウコピーが削除されたこと(たとえば、vssadmin.exeユーティリティによって削除される−これは、システムの復元を妨げる多くの悪性暗号化アプリケーションの特徴である)。
・名称変更されたリモート管理者のユーティリティが検出されたこと(AmmyyAdmin、TeamViewer等)。
・管理者のネットワークフォルダにファイルがコピーされたこと(C$、ADMIN$)。
・bcdedit.exeユーティリティを使用してOSコンポーネントスタートアップ修復が停止されたこと。
・Isass.exeシステムプロセスがディスク上でファイルを開いたりファイルを変更したりしたこと。
・難読化されたPowerShellスクリプトが実行されたこと。
・Windows API関数が呼び出されたこと(不審なPowerShellコマンド−Windows API関数が実行されている)。
・ライブラリRundll32によって不審な経路からのファイルが開かれたこと。
・ユーザが初めてコンピュータ上で認証を行ったこと。
このような不審イベントを発生させるスクリプトの一例を以下に説明する。保護モジュール102は、コンピュータ101上で認証に成功したユーザアカウントレコードの一覧を一月間収集する。その後、こうして作成されたアカウントレコードの一覧に含まれていないアカウントレコードでユーザがコンピュータ101上で認証される。
・オブジェクト(ファイル/プロセス)のリモート起動が発生したこと。
このような不審イベントを発生させるスクリプトの一例を以下に説明する。オブジェクトのリモート起動は、Windows Management Instrumentation(WMI)インフラストラクチャまたはOS Windowsサービスによって発生する。
・イベントログからレコードが削除されたこと。
・ブラウザではないアプリケーションからネットワーク内でファイルが起動されたこと。
・ホワイトリストに存在しないファイルが不審なディレクトリから起動されたこと。
・シャドウコピーが削除されたこと(たとえば、vssadmin.exeユーティリティによって削除される−これは、システムの復元を妨げる多くの悪性暗号化アプリケーションの特徴である)。
・名称変更されたリモート管理者のユーティリティが検出されたこと(AmmyyAdmin、TeamViewer等)。
・管理者のネットワークフォルダにファイルがコピーされたこと(C$、ADMIN$)。
・bcdedit.exeユーティリティを使用してOSコンポーネントスタートアップ修復が停止されたこと。
・Isass.exeシステムプロセスがディスク上でファイルを開いたりファイルを変更したりしたこと。
・難読化されたPowerShellスクリプトが実行されたこと。
・Windows API関数が呼び出されたこと(不審なPowerShellコマンド−Windows API関数が実行されている)。
・ライブラリRundll32によって不審な経路からのファイルが開かれたこと。
特定の例示的側面では、一部のオブジェクトのタグとセキュリティ通知のタグ(すなわち、不審動作のサイン)とは同時に生じる。たとえば、オブジェクトの名前とそのチェックサムとが対応しない場合、不審動作のサインであるとともに、タグがオブジェクトに付与される状況でありうる。
コンピュータ攻撃(特に標的型攻撃等)のシグネチャは、一側面において、オブジェクトの一覧、セキュリティ通知、および、特定のコンピュータ攻撃(特に標的型攻撃)の特徴である当該オブジェクトおよびセキュリティ通知のタグといった一連のレコードを含む。よって、標的型攻撃のシグネチャから特定のレコードの組合せを発見することで、攻撃(またはそのサイン)の発見を確認することができる。特定の一例示的側面では、コンピュータ攻撃のシグネチャは、オブジェクトに関する少なくとも一つのレコード、セキュリティ通知に関する少なくとも一つのレコード、オブジェクトの少なくとも一つのタグ、および、セキュリティ通知の少なくとも一つのタグを同時に含む。別の特定の例示的側面では、コンピュータ攻撃のシグネチャは上述のレコードのうち一つまたは複数のレコードを含んでもよい(たとえば、一つのオブジェクトに関するレコード、または、オブジェクトおよびオブジェクトのタグに関するレコードを含んでもよい)。さらに別の特定の例示的側面では、コンピュータ攻撃のシグネチャはセキュリティ通知の少なくとも一つのタグを含む。
不審動作(プロセスやコンピュータのネットワーク動作のプロファイル違反、ネットワーク入力のプロファイル違反等)のあらゆる種類のサインを発見するため、教師なし機械学習のシステムが使用されてもよい(このシステムは、送信されてくるセキュリティ通知および付与されたタグに基づいて自律的に学習する)。学習後、システムは、不審動作データベース113内でタグが付与されていないセキュリティ通知にタグを割り当てる。さらに、教師あり機械学習のシステムは、プロセスまたはコンピュータの動作を分類するという問題を解決するために使用されてもよい。この場合、因子は不審動作のサインであり、検出された既知のコンピュータ攻撃のデータによって学習が行われる。
オブジェクトデータベース112は、オブジェクトに関する情報を含むセキュリティ通知、ならびに、オブジェクトに付与されたタグおよびセキュリティ通知に付与されたタグを記憶する。
脅威データベース111は、既知の脅威に関するデータを含む。具体的には、脅威データベース111は、脅威のサインであるオブジェクトの識別子及び情報を含む。脅威データベース111内の各オブジェクトは対応するタグがラベル付けされる。たとえば、悪性オブジェクトには「悪性オブジェクト」タグが対応する。オブジェクトが特定の標的型攻撃で使用された場合、対応するタグが割り当てられる。
既知の標的型攻撃「Turla」の一例について検討する。これに関するURLアドレスが知られている。よって、実行可能ファイルであるオブジェクトがこのアドレスにアクセスした場合、そのオブジェクトにはその動作を示すタグが付与される(たとえば、「APT『Turla』につながるURLアドレスへのアクセス」タグがオブジェクトに付与される)。
さらに別の例では、「Naikon APT」標的型攻撃が既知のIPアドレス群に関連し、オブジェクトがこのアドレスにアクセスした場合、「『Naikon』APTにつながるURLアドレスへのアクセス」を示すタグがオブジェクトに付与される。
不審動作データベース113は、不審動作のサイン一覧を含む。不審動作の各サインには、当該不審動作のサインに対応する標的型攻撃を示す特別なタグがラベル付けされる(不審動作のサインの例は上述の通りである。)。
特定の例示的側面では、オブジェクトに特定のタグ群がラベル付されている場合、その状態を示す追加のタグがそのオブジェクトに付与されてもよい。よって、タグ群にさらにタグがラベル付されてもよい。
コンピュータ攻撃データベース114は、コンピュータ攻撃または標的型攻撃のシグネチャ一覧を含む。
図2は、コンピュータ保護モジュールの想定されるモジュール例を示す図である。コンピュータ保護モジュール102は、オンアクセススキャナ、オンデマンドスキャナ、Eメールアンチウィルス、ウェブアンチウィルス、プロアクティブ保護モジュール、HIPS(Host Intrusion Prevention System)モジュール、DLP(data loss prevention)モジュール、脆弱性スキャナ、エミュレータ、ネットワークファイアウォール等、コンピュータ101のセキュリティを確保するよう構成されたモジュールを含む。特定の例示的側面では、これらのモジュールはコンピュータ保護モジュール102の一部である。さらに別の例示的側面では、これらのモジュールは個々のソフトウェアコンポーネントとして実行される。
オンアクセススキャナは、ユーザのコンピュータシステムで開けられ、実行され、記憶されるすべてのファイルの悪性動作を検出する機能を含む。オンデマンドスキャナは、ユーザの要求に応じて、ユーザが指定したファイルやディレクトリをスキャンするという点でオンアクセススキャナと異なる。
Eメールアンチウィルスは、送受信されるEメールに悪性オブジェクトがないかをチェックするために必要である。ウェブアンチウィルスは、ユーザがウェブサイトにアクセスした時に、当該ウェブサイトが含んでいる可能性がある悪性コードの実行を防止し、また、ウェブサイトを開けないようブロックする。HIPSモジュールは、望ましくない悪性なプログラムの動作を検出し、実行時にこれをブロックする。DLPモジュールは、コンピュータやネットワークからの機密データの漏えいを検出して回避する。脆弱性スキャナは、コンピュータ上の脆弱性(たとえば、コンピュータ保護モジュール102の特定のコンポーネントが停止されていること、ウィルスデータベースが古いこと、ネットワークポートが閉じていること等)を検出するために必要である。ネットワークファイアウォールは、所定のルールに則ってネットワークトラフィックの制御およびフィルタリングを行う。エミュレータの機能は、エミュレータ内のコード実行中にゲストシステムのシミュレーションを実行することである。プロアクティブ保護モジュールは、実行可能ファイルの動作を検出して信頼度に応じて分類するために動作シグネチャを使用する。
悪性ソフトウェア(不審動作、スパム、およびその他のコンピュータ脅威のサイン)を検出する上述のモジュールは、(後にコンピュータ保護モジュール102の判定に変換されてもよい)対応する通知を生成し、発見した脅威およびその脅威を除去する処理(ファイルの削除や変更、実行の禁止など)の必要性について保護モジュールに通知する。特定の例示的側面では、悪性なソフトウェアを発見したモジュール自体が脅威を除去する処理を実行する。さらに別の例では、(判定は誤検知の可能性があるため)判定はファジーまたはテストでありうる。この場合、保護モジュールは脅威を除去する処理を行わずに検出モジュール110に通知を渡す。なお、コンピュータ保護モジュール102の判定は、オブジェクト(ファイル、プロセス)に関する情報の一部であり、後にセキュリティ通知の形式で検出モジュール110に送信される。
図3は、標的型攻撃防御用モジュールの想定されるモジュール例を示す図である。標的型攻撃防御用モジュール103は、たとえば、「サンドボックス」、侵入検出システム(Intrusion Detection System;IDS)、評価サービス、YARAルールチェックモジュール、およびその他の検出モジュールなどの保護モジュールを含む。
サンドボックスモジュールは、コンピュータ保護モジュール102のエミュレータと同様の機能を有しているが、標的型攻撃防御用モジュール103はコンピュータ保護モジュール102に固有の時間制限がないため、サンドボックスは追加のコンピュータ性能を使用することができ、長時間作業を行うことができる。
サンドボックスは、プロセスを安全に実行するためのコンピュータ環境であり、ファイルから起動されたプロセスの実行中に不審動作を判定する。
サンドボックスは、たとえば、ファイルシステムおよびレジストリの部分仮想化、ファイルシステムおよびレジストリへのアクセスのルール、または、ハイブリッド手法に基づき、仮想マシンの形で実現してもよい。
侵入検出システムは、コンピュータシステム101またはネットワーク105への不正アクセスやその不正制御があったことを特定する。
評価サーバは、評価サーバ104のミラーコピーまたはキャッシュコピーでもよく、コンピュータ101上のオブジェクトの評判に関する情報(オブジェクトが存在するコンピュータ101の数、オブジェクトが起動された回数など)を含む。
YARAルールチェックモジュールは、YARAシグネチャ(シグネチャのオープンフォーマット)をチェックするために使用される(http://yararules.com/参照)。
DLPモジュールは、コンピュータやネットワークからの機密データの漏えいを検出して回避する。
TI(threat intelligence)解析器は、コンピュータ攻撃に関する報告のオブジェクトと、オブジェクトおよび不審動作のサインに関する情報とを照合するモジュールである。たとえば、TI解析器は、既知のコンピュータ攻撃に加わる指令センターのIPアドレス一覧を判定する。TI解析器は取得した情報をスコア化モジュールに送信し、スコア化モジュールは、オブジェクトや不審動作のサインに関する情報をコンピュータ攻撃に該当する確率に応じてランク付けする。
図4は、オブジェクトタグをセキュリティ通知に付与する処理を示す図である。保護モジュール102,103の少なくとも一つがオブジェクト401に関する情報を収集し、セキュリティ通知402を検出モジュール110に送信する。検出モジュール110は、受信したセキュリティ通知402からオブジェクト401を抽出し、脅威データベース111内でオブジェクト401を検索する(レベル1)。肯定の判定結果の場合、検出モジュール110は、脅威データベース111内の、このオブジェクト401に対応するタグ410を付与する。特定の一例示的側面では、上述のオブジェクト401にタグを付与する際に、収集された当該オブジェクトに関する情報が読み出される。たとえば、(脅威データベース111内に示されるように)規定されたIOCに対応するオブジェクト401がコンピュータ上で検出された場合、タグが付与される。しかし、同じオブジェクト401が検出されていても規定されたIOCが発見されない場合は、タグは付与されない。次に、検出モジュール110は、受信したセキュリティ通知402とオブジェクト402に付与されたタグ410とに基づいて、不審動作データベース113に含まれる不審動作のサインを検索する(レベル2)。不審動作のサインが発見された場合、検出モジュール110は、不審動作データベース113に含まれるタグ411をオブジェクトデータベース112(特にセキュリティ通知402)に付与する。
その結果、検出モジュール110は、オブジェクトデータベース112から受信したオブジェクト401、セキュリティ通知402、当該オブジェクトのタグ410、および、当該セキュリティ通知のタグ411の中から、コンピュータ攻撃データベース114の標的型攻撃のシグネチャを特定することにより、標的型攻撃の検出(レベル3)403を行う。
特定の例示的側面では、コンピュータ攻撃を確認すると、その情報が解析センター115へ送信されてもよい。解析センター115はこれに応じて、具体的には電気通信ネットワーク120またはネットワーク105を利用して、情報システム100の管理者106に攻撃を検出した旨の警告を出す。
別の特定の例示的側面では、コンピュータ攻撃を確認するため、同様に情報が解析センター115へ送信される。これに応じて解析センター115は、具体的には電気通信ネットワーク120またはネットワーク105を利用して、情報システム100の管理者106に攻撃を検出した旨の警告を出す。そして、管理者106が、コンピュータ脅威のシグネチャの特定の原因となった動作が正規の動作であると通知した場合、コンピュータ攻撃が反証される。
しかし、管理者106が、コンピュータ脅威のシグネチャの特定につながった動作は許容されるものではないことを通知した場合、および、オブジェクトデータベース112内の1以上のレコードにおいてコンピュータ攻撃データベース114からの標的型攻撃のシグネチャが特定できない場合は、解析センター115を使用して管理者106に追加情報を要求する。追加情報は、具体的に、1以上のコンピュータ101のファイル、コンピュータ保護モジュール102のログレコード(ネットワークファイアウォールログまたはプロアクティブ保護モジュールのログなど)、1以上のコンピュータ101のメモリダンプ、または、1以上のコンピュータ101のディスクダンプを含んでもよい。
解析センター115によって管理者106に追加情報を要求する例を以下の表1に示す。
たとえば、ウィルスシグネチャがメモリについてのファジー判定を含む場合、コンピュータ攻撃を確認するためにメモリダンプが必要となる(例1)。他の例については表1で詳しく説明する。
特定の例示的側面では、不審動作のサインはコンピュータ攻撃(特に標的型攻撃)の戦術、技術および手順(tactics, techniques and procedures; TTP)に依拠している。
ここで、TTPの一例を挙げる。ユーザがEメールの添付ファイル形式でオフィス文書を受信したとする。文書にはマクロが含まれ、ユーザはマクロを始める同意をした。開始されたマクロはPowerShellインタプリタを起動し、これにより、Base64でエンコードされているコンテンツがサイトからダウンロードされ、ディスク上にファイルを作成せずに起動された。起動されたコードは、PowerShellプロセスのコンテキスト内で実行され、レジスタHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run内にレコードを生成することによってコンピュータシステムに埋め込まれ、ユーザがログオンするたびに当該コードが確実に起動されるようにする。このコードはクライアントTeamViewerと名称変更され、侵入したシステムにハッカーがリモート入力する際に使用する。
この例では、不審動作の以下のサインが役立つ:
・オフィスアプリケーションからのPowerShellインタプリタの起動;
・PowerShellパラメータの難読化(圧縮、BASE64でのエンコード等)に対するヒューリスティックなファジー判定;
・PowerShellインタプリタからのHTTPリクエスト;
・添付ファイルのダウンロード元のサイトが、(悪性オブジェクト一覧に含まれる)悪性ソフトウェアの拡散時に検出済であること;
・アクセススキャナによる、ダウンロードされた添付ファイルに対するファジー判定(フレキシブルフィンガープリントの機能から得られる結果と同様);
・ダウンロードされた添付ファイルについて評価サーバの評価または評判が低いこと;
・サイトから悪性なコンテンツをダウンロードした後、コンピュータ保護モジュール102がPowerShellプロセスのメモリのスキャン時にファジー判定または確認済みとの判定を行うこと;
・PowerShellによる自動実行の登録鍵の変更;
・自動実行で登録されたファイルのハッシュが名前と一致しないこと(たとえば、ファイルのハッシュがTeamViewerアプリケーションのハッシュと一致するが、ファイル名が異なる)。
・オフィスアプリケーションからのPowerShellインタプリタの起動;
・PowerShellパラメータの難読化(圧縮、BASE64でのエンコード等)に対するヒューリスティックなファジー判定;
・PowerShellインタプリタからのHTTPリクエスト;
・添付ファイルのダウンロード元のサイトが、(悪性オブジェクト一覧に含まれる)悪性ソフトウェアの拡散時に検出済であること;
・アクセススキャナによる、ダウンロードされた添付ファイルに対するファジー判定(フレキシブルフィンガープリントの機能から得られる結果と同様);
・ダウンロードされた添付ファイルについて評価サーバの評価または評判が低いこと;
・サイトから悪性なコンテンツをダウンロードした後、コンピュータ保護モジュール102がPowerShellプロセスのメモリのスキャン時にファジー判定または確認済みとの判定を行うこと;
・PowerShellによる自動実行の登録鍵の変更;
・自動実行で登録されたファイルのハッシュが名前と一致しないこと(たとえば、ファイルのハッシュがTeamViewerアプリケーションのハッシュと一致するが、ファイル名が異なる)。
さらに別の例示的側面では、不審動作のサインは、侵入テスト(penetration test)(「pentest」と略称。)実行中に得られた標的型攻撃に関する情報に依拠する。たとえば、侵入テスト団体がSMBプロトコルの脆弱性によって管理者のコンピュータへのアクセス権限を得、正規のユーティリティによってIsass.exeプロセスのメモリダンプを生成する。権限データはこのダンプから抽出され、ネットワーク内の他のコンピュータにアクセスするために使用され、ここからメモリダンプが取得され権限データも抽出される。このプロセスは、Windowsドメインの管理者の権限データにアクセスできるまで何度も繰り返される。
なお、不審動作のサインの例は上記図1の説明の中で列挙した。
図5は、本開示の一例示的側面に係る、標的型攻撃を検出、探索および除去する方法500の一例を示す図である。ステップ501において、コンピュータ保護モジュール102および/または標的型攻撃防御用モジュール103は、コンピュータ101上でオブジェクト(ファイル、プロセス等)に関する情報を収集する。次に、ステップ502において、これらの保護モジュールは検出モジュール110に対し、特に保護モジュールそのものに関する情報や収集されたオブジェクトに関する情報を含むセキュリティ通知を送信する。検出モジュール110は、受信したセキュリティ通知をオブジェクトデータベース112に記憶する。
ステップ503において、検出モジュール110は、脅威データベース111内にセキュリティ通知からのオブジェクトがあるか検索する。ステップ504において、検出モジュール110は、脅威データベース111内の当該オブジェクトに対応づけて、発見されたオブジェクトに対してオブジェクトデータベース112内でタグを付与する。ステップ505において、検出モジュール110は、受信したセキュリティ通知およびセキュリティ通知に含まれるオブジェクトに付与されたタグに基づいて、不審動作データベース113に含まれる不審動作のサインを検索する。ステップ506において、不審動作のサインを発見すると、検出モジュール110は不審動作データベース113に含まれるタグをオブジェクトデータベース112(特に、セキュリティ通知)に付与する。
ステップ507において、検出モジュール110は、オブジェクトデータベース112から受信したオブジェクト、セキュリティ通知、当該オブジェクトのタグ、および当該セキュリティ通知のタグの中から、コンピュータ攻撃データベース114からのコンピュータ攻撃のシグネチャを特定することにより、コンピュータ攻撃のサインを発見する。コンピュータ攻撃のサインを発見した後、それ以降の攻撃の探索は解析センター115のコンピュータセキュリティ専門家が管理者106と共同して行う。特定の例示的側面では、コンピュータ攻撃のシグネチャを特定することで、コンピュータ攻撃のサインだけでなくコンピュータ攻撃の存在を解析センター115の探索を要することなく明確に確認できる。別の例示的側面では、コンピュータ攻撃のシグネチャを特定することでは、標的型攻撃を明確に確認することができない。この場合は、解析センター115による詳しい探索が必要となる。
このように、情報システムに対するコンピュータ攻撃のサインを判定する性能が低いという技術的課題を解決し、上述の技術的結果を実現する。すなわち、上記目的が達成され、さらに、オブジェクトデータベースから取得したオブジェクト、セキュリティ通知、当該オブジェクトのタグ、および当該セキュリティ通知のタグの中からコンピュータ攻撃のシグネチャを特定することにより、既知の解決法と比べ、情報システムに対するコンピュータ攻撃のサインを特定する性能が向上する。
なお、標的型攻撃を含む一定の攻撃は、保護モジュール102および103によって検出される。この場合、図5による方法が実行され、(攻撃で使用されたファイルの削除、トラフィックの遮断、その他の処理などによって)保護モジュール102,103によって攻撃が回避される。
特定の例示的側面では、ステップ501において、保護モジュール102および103は特に以下のオブジェクトに関する情報を収集する:
・プロセスの動作;
・オペレーティングシステムにおけるイベント;
・ネットワーク間のインタラクションに関する情報;
・侵入の痕跡(indicators of compromise; IOC)
・保護モジュールの判定(モジュールの例は図2〜3に図示)
・プロセスの動作;
・オペレーティングシステムにおけるイベント;
・ネットワーク間のインタラクションに関する情報;
・侵入の痕跡(indicators of compromise; IOC)
・保護モジュールの判定(モジュールの例は図2〜3に図示)
特定の例示的側面では、不審動作のサインを発見すると、不審動作データベース内のタグが上述のセキュリティ通知に情報が含まれる保護モジュールに追加される。そして、標的型攻撃は、当該保護モジュールに付与されたタグとコンピュータ攻撃データベース114からのコンピュータ攻撃のシグネチャとの比較に基づいて検出される。
別の特定の例示的側面では、オブジェクトに関する情報は特に以下のいずれか一つをさらに含む:
・オブジェクトまたはその一部のチェックサム(たとえば、ファイルまたはその一部のチェックサム)(CRCや、MD5、SHA-1、SHA-2、Kessak、GOST R34.11-2012などのハッシュ関数);
・オブジェクトの出現元(たとえば、オブジェクトのダウンロード元であるリソースのIPアドレス);
・オブジェクト実行のエミュレーション結果;
・(オブジェクトがプロセスの場合)オブジェクトからのオペレーティングシステムのAPI関数呼び出しのログ;
・コンピュータ装置内のオブジェクト出現時間;
・ネットワーク内のオブジェクトが送信したデータ。
・オブジェクトまたはその一部のチェックサム(たとえば、ファイルまたはその一部のチェックサム)(CRCや、MD5、SHA-1、SHA-2、Kessak、GOST R34.11-2012などのハッシュ関数);
・オブジェクトの出現元(たとえば、オブジェクトのダウンロード元であるリソースのIPアドレス);
・オブジェクト実行のエミュレーション結果;
・(オブジェクトがプロセスの場合)オブジェクトからのオペレーティングシステムのAPI関数呼び出しのログ;
・コンピュータ装置内のオブジェクト出現時間;
・ネットワーク内のオブジェクトが送信したデータ。
別の特定の例示的側面では、ステップ502において、オブジェクトや当該オブジェクトに関する追加情報を提示する必要性を示すタグを脅威データベース111のオブジェクトに付与すると、検出モジュール110は、保護モジュール102,103の少なくとも一つに対し、オブジェクトまたは当該オブジェクトに関する追加情報を要求する。そして、要求したオブジェクトまたは当該オブジェクトに関する追加情報を保護モジュールから取得した後、新たに取得したオブジェクトまたは当該オブジェクトに関する追加情報についてステップ503〜504が実行される。
さらに別の特定の例示的側面では、ステップ506において、セキュリティ通知に含まれる少なくとも一つのオブジェクトまたは当該オブジェクトに関する追加情報を提示する必要性を示すタグをセキュリティ通知に付与すると、検出モジュールは情報システム100の少なくとも一つの保護モジュールに対し、オブジェクトまたは当該オブジェクトに関する追加情報を要求する。そして、要求したオブジェクトまたは当該オブジェクトに関する追加情報を保護モジュールから取得した後、新たに取得したオブジェクトまたは当該オブジェクトに関する追加情報についてステップ503〜506が実行される。
図6A〜6Bは、図5の方法に係る、オブジェクトタグをセキュリティ通知に付与する例を示す図である。
ステップ502では、検出モジュール110は、保護モジュールからセキュリティ通知を取得した後、セキュリティ通知をオブジェクトデータベース112に保存する。この例では、2つのオブジェクトについて4つのセキュリティ通知が受信される(図6Aのオブジェクトデータベース112の状態601参照)。
ステップ503において、検出モジュール110は、セキュリティ通知のオブジェクトが脅威データベース111内にあるか検索する。この例では、オブジェクト1のみが脅威データベース111に含まれる。オブジェクト1は、オブジェクトタグOT1、OT4、OT5に対応する。これらのタグは、ステップ504において検出モジュール110によりオブジェクトデータベース112に付与される。その結果、オブジェクトデータベース112は状態602となる。
ステップ505において、検出モジュール110は、受信したセキュリティ通知と付与されたオブジェクトタグに基づき(すなわち、状態602のオブジェクトデータベース112に基づき)、不審動作データベース113に含まれる不審動作のサインを検索する。オブジェクトについての情報はセキュリティ通知に含まれている。この例では、不審動作データベース113中の不審動作の第1および第2のサインとの一致が発見される。よって、ステップ506では、不審動作データベース113の通知タグNT1がオブジェクト1の通知2に付与され、通知4には通知タグNT2が付与される。オブジェクトデータベース112は、図6Bの状態603となる。
ステップ507において、検出モジュール110は、(状態603の)オブジェクトデータベース112から受信したオブジェクトおよびセキュリティ通知、ならびに、当該オブジェクトおよびセキュリティ通知のタグの中から、コンピュータ攻撃データベース114に含まれるコンピュータ攻撃のシグネチャを特定することによって、コンピュータ攻撃のサインを検出する。この例では、オブジェクトデータベース112はオブジェクト1、タグOT1、通知2および通知タグNT1を同時に含んでいる(すなわち、第1のシグネチャを含んでいる)ため、コンピュータ攻撃の第1のシグネチャが検出される。また、第2のシグネチャが検出される。さらに、第2のシグネチャが検出される。よって、オブジェクトデータベース112において同時に2つのシグネチャが発見され、情報システム100にコンピュータ攻撃のサインが存在することが証明される。
図7は、標的型攻撃をクラウド上で検出、探索および除去するシステムおよび方法の側面が例示的側面に応じて実施される、汎用コンピュータシステムの図である。
図示されているとおり、コンピュータシステム20(パーソナルコンピュータまたはサーバでもよい)は、中央処理装置21、システムメモリ22、および、中央処理装置21に対応するメモリを含む様々なシステムコンポーネントを接続するシステムバス23を備える。当業者に理解されるとおり、システムバス23は、バスメモリまたはバスメモリ制御部、周辺バス、および他のバスアーキテクチャと相互作用可能なローカルバスを含む。システムメモリは、永久メモリ(ROM)24およびランダムアクセスメモリ(RAM)25を含む。基本入力/出力システム(basic input/output system;BIOS)26は、ROM24を使用してオペレーティングシステムをロードする時などの、コンピュータシステ20の要素間の基本的な情報転送手順を記憶する。
コンピュータシステム20は、さらに、データの読み取りおよび書き込みを行うハードディスク27、取り外し可能な磁気ディスク29の読み取りおよび書き込みを行う磁気ディスクドライブ28、ならびに、CD−ROM、DVD−ROMおよびその他の光学媒体等の取り外し可能な光学ディスク31の読み取りおよび書き込みを行う光学ドライブ30を含む。ハードディスク27、磁気ディスクドライブ28、および光学ドライブ30は、それぞれ、ハードディスクインタフェース32、磁気ディスクインタフェース33、および光学ドライブインタフェース34を介して、システムバス23に接続されている。ドライブおよびそれに対応するコンピュータ情報媒体は、コンピュータ命令、データ構造、プログラムモジュールおよびその他のコンピュータシステム20のデータを記憶するための独立電源型モジュールである。
コンピュータシステム20は、コントローラ55を介してシステムバス23に接続される、ハードディスク27、取り外し可能な磁気ディスク29、および取り外し可能な光学ディスク31を含む。コンピュータによって読み取り可能な形式でデータを記憶できる媒体56(ソリッド・ステート・ドライブ、フラッシュメモリカード、デジタルディスク、ランダムアクセスメモリ(RAM)等)であればどのようなものでも利用できることは、当業者であれば理解できるであろう。
コンピュータシステム20は、オペレーティングシステム35が記憶されるファイルシステム36、ならびに、追加プログラムアプリケーション37、その他のプログラムモジュール38およびプログラムデータ39を有する。コンピュータシステム20のユーザは、キーボード40、マウス42、または当業者に知られているマイク、ジョイスティック、ゲームコントローラ、スキャナ等(これらに限定されない)のその他の入力装置を使用して命令や情報を入力する。これらの入力装置は、通常、シリアルポート46を介してコンピュータシステム20に差し込まれ、システムバスに接続される。ただし、当業者であれば、入力装置は、パラレルポート、ゲームポート、またはユニバーサルシリアルバス(USB)(これらに限定されない)を介するその他の方法でも接続され得ることがわかるであろう。モニタ47やその他のタイプの表示装置も、ビデオアダプタ48などのインタフェースを介してシステムバス23に接続されてもよい。モニタ47に加え、パーソナルコンピュータは、ラウドスピーカやプリンタ等のその他の周辺出力装置(図示せず)を装備していてもよい。
コンピュータシステム20は、1以上のリモートコンピュータ49へのネットワーク接続を使用して、ネットワーク環境で動作してもよい。一台(または複数)のリモートコンピュータ49は、上述のコンピュータシステム20の性質で説明した要素の大部分もしくはすべてを含むローカルコンピュータワークステーションまたはサーバでもよい。以下に限定されないが、ルータ、ネットワークステーション、ピア装置またはその他のネットワークノードなど他の装置も、コンピュータネットワーク内に存在してもよい。
ネットワーク接続により、ローカルエリア・コンピュータネットワーク(LAN)50およびワイドエリア・コンピュータネットワーク(WAN)が形成される。これらのネットワークは、企業コンピュータネットワークおよび社内ネットワークで使用され、通常はインターネットにアクセスできる。LANまたはWANネットワークでは、パーソナルコンピュータ20は、ネットワークアダプタまたはネットワークインタフェース51を介して、ローカルエリア・ネットワーク50に接続されている。ネットワークが使用されると、コンピュータシステム20は、モデム54、または、インターネットなどのワイドエリア・コンピュータネットワークによって通信を可能にする、当業者に周知のその他のモジュールを使用する。内部装置または外部装置であるモデム54は、シリアルポート46によってシステムバス23に接続される。このネットワーク接続が、通信モジュールを使用して一つのコンピュータを別のコンピュータに接続させる数々の周知の方法の非限定的な例であることは、当業者であればわかるであろう。
種々の側面において、ここに記載するシステムおよび方法は、ハードウェア、ソフトウェア、ファームウェアまたはその組み合わせにおいて実行される。ソフトウェアで実行される場合、この方法は1以上の命令またはコードとして非一時的なコンピュータ可読媒体に記憶されてもよい。コンピュータ可読媒体はデータ記憶装置も含む。一例では、このコンピュータ可読媒体は、RAM、ROM、EEPROM、CD−ROM、フラッシュメモリ、その他の電気、磁気または光学記憶媒体、あるいは、命令やデータ構造の形式で所望のプログラムコードを伝達または記憶するために使用し、汎用コンピュータのプロセッサからアクセス可能な、その他の媒体を含んでもよいが、これらに限定されない。
種々の側面において、ここに記載したシステムおよび方法は、モジュールによって処理することができる。「モジュール」という用語は、たとえば、application−specific integrated circuit(ASIC)またはfield−programmable gate array(FPGA)などのハードウェア、あるいは、モジュールの機能を実行するマイクロプロセッサシステムおよび命令一式などのハードウェアとソフトウェアとの組み合わせによって実行される、実装置、コンポーネントまたは一組のコンポーネントのことを指しており、これらは(実行中に)マイクロプロセッサシステムを専用装置に変換する。モジュールは、一部の機能をハードウェアのみで実行させ、他の機能をハードウェアとソフトウェアの組み合わせによって実行させるという、2つの組み合わせで実行させることもできる。特定の実施例では、モジュールの少なくとも一部、または、場合によってすべてが、汎用コンピュータのプロセッサで実行される(上記図3で詳しく説明)。よって、各モジュールは、様々な適切な設定で実行されるものであって、ここで例示した特定の実施例に限定されるものではない。
なお、明瞭化のため、各側面の一般的な特徴すべてについては開示しない。本開示の実際の実装を開発する際、開発者の具体的な目的を達成するためには実装に応じた数々の決定を行わなければならず、具体的な目的は実装や開発者によって異なることに留意されたい。こうした開発上の取り組みは、複雑で時間を要するものであるが、本発明の利益を享受する当業者にとっては日常の作業であることを理解されたい。
更に、ここで使用する用語又は表現は、あくまでも説明のためであり、限定するものではないことを理解されたい。よって、本明細書の用語又は表現は、関連技術の熟練者の知識と組み合わせて、本明細書に示す教示及び指針に照らして当業者によって解釈されたい。明細書又は特許請求の範囲における用語はいずれも、特に明記していない限り、一般的でない意味や特別な意味をもつものではない。
本明細書で開示した様々な側面は、本明細書で例示した既知のモジュールの、現在及び将来の既知の均等物を包含する。本明細書では、複数の側面及び応用例を示して説明したが、本明細書に開示した発明の概念の範囲内で、上記よりも多くの変形例が可能であることは、本発明の利益を享受する当業者にとって明らかであろう。
Claims (20)
- ハードウェアプロセッサを用いて、ネットワーク内のコンピュータのオブジェクトに関する情報を収集し、
前記オブジェクトとともにセキュリティ通知を前記ネットワーク内のオブジェクトデータベースに保存し、
前記ネットワーク内の脅威データベースで前記オブジェクトを検索し、
前記脅威データベース内で前記オブジェクトが発見された場合に前記オブジェクトに1以上のタグを付与して、前記オブジェクトデータベース内のレコードと脅威データベースとの対応付けを付与し、
前記1以上のタグがコンピュータ攻撃データベース内のシグネチャに対応する場合、コンピュータ攻撃が発生したと判定する
ことを含む、コンピュータ攻撃検出方法。 - 前記1以上のタグに基づいて不審動作データベース内で不審動作を検索し、
前記不審動作データベース内で不審動作のサインを発見した場合、第2のタグを前記セキュリティ通知に付与し、
コンピュータ攻撃データベース内で前記オブジェクト、第1のタグ、第2のタグが発見された場合、コンピュータ攻撃が発生したと判定する
ことをさらに含む請求項1に記載の方法。 - 前記第2のタグは、不審動作のサインである前記コンピュータ上の所定イベントの発生や所定動作の実行があった場合にのみ付与される、請求項2に記載の方法。
- 前記コンピュータ攻撃の判定が不確実である場合、前記コンピュータ攻撃の判定を確認するためのコンピュータのメモリダンプ、および、前記攻撃を検出するロギングステップのいずれかを実行することをさらに含む、請求項2に記載の方法。
- 前記オブジェクトに関する情報は、前記オブジェクトの動作、前記コンピュータのオペレーティングシステムにおけるイベント、ネットワーク間の前記オブジェクトのインタラクションに関する情報、侵入の痕跡(indicators of compromise)、および前記オブジェクトのメタデータのうち1以上を含む、請求項1に記載の方法。
- 前記対応付けは、前記脅威データベースおよび前記オブジェクトデータベースの前記オブジェクトのチェックサム同士の一致によって規定される、請求項1に記載の方法。
- 前記タグは、前記オブジェクトや前記オブジェクトによって実行されるイベントまたは前記オブジェクト上で実行されるイベントに関連する特徴である、請求項1に記載の方法。
- オブジェクトは、ファイル、当該ファイルのハッシュ、プロセス、URLアドレス、IPアドレス、証明書およびファイル実行ログのうち1以上を含む、請求項1に記載の方法。
- 前記セキュリティ通知は収集された前記オブジェクトに関する情報を含む、請求項1に記載の方法。
- 前記セキュリティ通知はタイムスタンプを含む、請求項1に記載の方法。
- ハードウェアプロセッサ上で実行されるコンピュータ保護モジュールであって、
ネットワーク内のコンピュータのオブジェクトに関する情報を収集し、
前記オブジェクトともにセキュリティ通知を前記ネットワーク内のオブジェクトデータベースに保存する、コンピュータ保護モジュールと、
ハードウェアプロセッサ上で実行される標的型攻撃防御用モジュールであって、
前記ネットワーク内の脅威データベースで前記オブジェクトを検索し、
前記脅威データベースで前記オブジェクトが発見された場合に前記オブジェクトに1以上のタグを付与して、前記オブジェクトデータベース内のレコードと前記脅威データベースとの対応付けを付与し、
前記1以上のタグがコンピュータ攻撃データベース内のシグネチャに対応する場合、コンピュータ攻撃が発生したと判定する、標的型攻撃防御用モジュールと
を備える、コンピュータ攻撃検出システム。 - 前記検出されたモジュールは、
前記1以上のタグに基づいて不審動作データベース内で不審動作を検索し、
前記不審動作データベース内で不審動作のサインを発見した場合、第2のタグを前記セキュリティ通知に付与し、
コンピュータ攻撃のデータベース内で前記オブジェクト、第1のタグ、第2のタグが発見された場合、コンピュータ攻撃が発生したと判定する
ことをさらに含む請求項11に記載のシステム。 - 前記第2のタグは、不審動作のサインである前記コンピュータ上の所定イベントの発生や所定動作の実行があった場合にのみ付与される、請求項12に記載のシステム。
- 前記コンピュータ攻撃の判定が不確実である場合、前記コンピュータ攻撃の判定を確認するためのコンピュータのメモリダンプ、および、前記攻撃を検出するロギングステップのいずれかを実行する解析センターをさらに含む、請求項12に記載のシステム。
- オブジェクトに関する情報は、前記オブジェクトの動作、前記コンピュータのオペレーティングシステムにおけるイベント、ネットワーク間の前記オブジェクトのインタラクションに関する情報、侵入の痕跡(indicators of compromise)、および前記オブジェクトのメタデータのうち1以上を含む、請求項11に記載のシステム。
- 前記対応付けは、前記脅威データベースおよび前記オブジェクトデータベースの前記オブジェクトのチェックサム同士の一致によって規定される、請求項11に記載のシステム。
- 前記タグは、前記オブジェクトや前記オブジェクトによって実行されるイベントまたは前記オブジェクト上で実行されるイベントに関連する特徴である、請求項11に記載のシステム。
- ハードウェアプロセッサを用いて、ネットワーク内のコンピュータのオブジェクトに関する情報を収集し、
前記オブジェクトとともにセキュリティ通知を前記ネットワーク内のオブジェクトデータベースに保存し、
前記ネットワーク内の脅威データベースでオブジェクトを検索し、
前記脅威データベース内で前記オブジェクトが発見された場合に前記オブジェクトに1以上のタグを付与して、前記オブジェクトデータベース内のレコードと脅威データベースとの対応付けを付与し、
前記1以上のタグがコンピュータ攻撃のデータベース内のシグネチャに対応する場合、コンピュータ攻撃が発生したと判定する
ことを含むコンピュータ攻撃検出方法を、ハードウェアプロセッサによって実行された場合に実行するコンピュータ実行可能命令を格納した非一時的コンピュータ可読媒体。 - 前記1以上のタグに基づいて不審動作データベース内で不審動作を検索し、
前記不審動作データベース内で不審動作のサインを発見した場合、第2のタグを前記セキュリティ通知に付与し、
コンピュータ攻撃のデータベース内で前記オブジェクト、第1のタグ、第2のタグが発見された場合、コンピュータ攻撃が発生したと判定する
ことをさらに含む請求項18に記載の媒体。 - 不審動作のサインである前記コンピュータ上の所定イベントの発生や所定動作の実行があった場合にのみ、前記第2のタグが付与されることをさらに含む、請求項19に記載の媒体。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2017133842A RU2661533C1 (ru) | 2017-09-29 | 2017-09-29 | Система и способ обнаружения признаков компьютерной атаки |
| RU2017133842 | 2017-09-29 | ||
| US201762573830P | 2017-10-18 | 2017-10-18 | |
| US62/573,830 | 2017-10-18 | ||
| US15/923,581 US10873590B2 (en) | 2017-09-29 | 2018-03-16 | System and method of cloud detection, investigation and elimination of targeted attacks |
| US15/923,581 | 2018-03-16 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2019082989A true JP2019082989A (ja) | 2019-05-30 |
| JP2019082989A5 JP2019082989A5 (ja) | 2020-11-19 |
| JP7084778B2 JP7084778B2 (ja) | 2022-06-15 |
Family
ID=62148273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018095395A Active JP7084778B2 (ja) | 2017-09-29 | 2018-05-17 | 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10873590B2 (ja) |
| EP (1) | EP3462698B1 (ja) |
| JP (1) | JP7084778B2 (ja) |
| CN (1) | CN109583193B (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021144978A1 (ja) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10902114B1 (en) * | 2015-09-09 | 2021-01-26 | ThreatQuotient, Inc. | Automated cybersecurity threat detection with aggregation and analysis |
| US11277423B2 (en) * | 2017-12-29 | 2022-03-15 | Crowdstrike, Inc. | Anomaly-based malicious-behavior detection |
| US11381984B2 (en) * | 2018-03-27 | 2022-07-05 | Forescout Technologies, Inc. | Device classification based on rank |
| US11108798B2 (en) | 2018-06-06 | 2021-08-31 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US11444957B2 (en) * | 2018-07-31 | 2022-09-13 | Fortinet, Inc. | Automated feature extraction and artificial intelligence (AI) based detection and classification of malware |
| USD926810S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926809S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926811S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926200S1 (en) | 2019-06-06 | 2021-07-27 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926782S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| US11533323B2 (en) * | 2019-10-10 | 2022-12-20 | Target Brands, Inc. | Computer security system for ingesting and analyzing network traffic |
| CN111079144B (zh) * | 2019-11-25 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种病毒传播行为检测方法及装置 |
| US11438373B2 (en) | 2020-01-09 | 2022-09-06 | Cymulate Ltd. | Monitoring for security threats from lateral movements |
| CN112287339B (zh) * | 2020-03-06 | 2024-06-04 | 杭州奇盾信息技术有限公司 | Apt入侵检测方法、装置以及计算机设备 |
| CN111475818B (zh) * | 2020-04-17 | 2023-08-11 | 北京墨云科技有限公司 | 一种基于ai的自动化渗透测试系统的渗透攻击方法 |
| US20220075871A1 (en) * | 2020-09-09 | 2022-03-10 | Microsoft Technology Licensing, Llc | Detecting hacker tools by learning network signatures |
| CN112269316B (zh) * | 2020-10-28 | 2022-06-07 | 中国科学院信息工程研究所 | 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法 |
| US12019730B2 (en) * | 2021-09-28 | 2024-06-25 | Red Hat, Inc. | Systems and methods for identifying computing devices |
| US12063228B2 (en) * | 2021-12-22 | 2024-08-13 | Cisco Technology, Inc. | Mitigating security threats in daisy chained serverless FaaS functions |
| US11936785B1 (en) | 2021-12-27 | 2024-03-19 | Wiz, Inc. | System and method for encrypted disk inspection utilizing disk cloning techniques |
| US12081656B1 (en) | 2021-12-27 | 2024-09-03 | Wiz, Inc. | Techniques for circumventing provider-imposed limitations in snapshot inspection of disks for cybersecurity |
| US20230247040A1 (en) * | 2022-01-31 | 2023-08-03 | Wiz, Inc. | Techniques for cloud detection and response from cloud logs utilizing a security graph |
| CN114844691B (zh) * | 2022-04-20 | 2023-07-14 | 安天科技集团股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
| US12061719B2 (en) | 2022-09-28 | 2024-08-13 | Wiz, Inc. | System and method for agentless detection of sensitive data in computing environments |
| US12079328B1 (en) | 2022-05-23 | 2024-09-03 | Wiz, Inc. | Techniques for inspecting running virtualizations for cybersecurity risks |
| US12061925B1 (en) | 2022-05-26 | 2024-08-13 | Wiz, Inc. | Techniques for inspecting managed workloads deployed in a cloud computing environment |
| WO2023249577A1 (en) | 2022-06-24 | 2023-12-28 | Binalyze Yazilim A.S. | Systems and methods for detection of advanced persistent threats in an information network |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016061038A1 (en) * | 2014-10-14 | 2016-04-21 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
| JP2017021777A (ja) * | 2015-06-30 | 2017-01-26 | エーオー カスペルスキー ラボAO Kaspersky Lab | 仮想スタックマシンで実行可能な有害なファイルを検出するためのシステムおよび方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104335220B (zh) | 2012-03-30 | 2018-04-20 | 爱迪德技术有限公司 | 用于防止和检测安全威胁的方法和系统 |
| US9088606B2 (en) * | 2012-07-05 | 2015-07-21 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| RU141239U1 (ru) | 2013-06-04 | 2014-05-27 | Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения |
| RU2538292C1 (ru) | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ обнаружения компьютерных атак на сетевую компьютерную систему |
| US10089461B1 (en) * | 2013-09-30 | 2018-10-02 | Fireeye, Inc. | Page replacement code injection |
| WO2015066604A1 (en) | 2013-11-04 | 2015-05-07 | Crypteia Networks S.A. | Systems and methods for identifying infected network infrastructure |
| RU2587426C2 (ru) | 2013-12-27 | 2016-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения направленных атак на корпоративную инфраструктуру |
| US20150326592A1 (en) * | 2014-05-07 | 2015-11-12 | Attivo Networks Inc. | Emulating shellcode attacks |
| US9507946B2 (en) | 2015-04-07 | 2016-11-29 | Bank Of America Corporation | Program vulnerability identification |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
| US9530016B1 (en) | 2016-01-29 | 2016-12-27 | International Business Machines Corporation | Using source taint analysis to reduce false positives in an advanced persistent threat (APT) protection solution |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
-
2018
- 2018-03-16 US US15/923,581 patent/US10873590B2/en active Active
- 2018-05-10 EP EP18171677.0A patent/EP3462698B1/en active Active
- 2018-05-17 JP JP2018095395A patent/JP7084778B2/ja active Active
- 2018-05-31 CN CN201810553206.5A patent/CN109583193B/zh active Active
-
2020
- 2020-11-16 US US17/098,777 patent/US11489855B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016061038A1 (en) * | 2014-10-14 | 2016-04-21 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
| JP2017021777A (ja) * | 2015-06-30 | 2017-01-26 | エーオー カスペルスキー ラボAO Kaspersky Lab | 仮想スタックマシンで実行可能な有害なファイルを検出するためのシステムおよび方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021144978A1 (ja) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7084778B2 (ja) | 2022-06-15 |
| CN109583193A (zh) | 2019-04-05 |
| US11489855B2 (en) | 2022-11-01 |
| US10873590B2 (en) | 2020-12-22 |
| CN109583193B (zh) | 2023-07-04 |
| EP3462698B1 (en) | 2021-06-23 |
| US20190104140A1 (en) | 2019-04-04 |
| EP3462698A1 (en) | 2019-04-03 |
| US20210067529A1 (en) | 2021-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7084778B2 (ja) | 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法 | |
| JP6639588B2 (ja) | 悪意あるファイルを検出するシステムおよび方法 | |
| US10599841B2 (en) | System and method for reverse command shell detection | |
| US10009370B1 (en) | Detection and remediation of potentially malicious files | |
| RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
| US8955138B1 (en) | Systems and methods for reevaluating apparently benign behavior on computing devices | |
| CN110119619B (zh) | 创建防病毒记录的系统和方法 | |
| JP6134395B2 (ja) | アプリケーション制御のためのリスクベースの規則のシステム及び方法 | |
| Qbeitah et al. | Dynamic malware analysis of phishing emails | |
| RU2661533C1 (ru) | Система и способ обнаружения признаков компьютерной атаки | |
| RU2750628C2 (ru) | Система и способ определения уровня доверия файла | |
| US8640242B2 (en) | Preventing and detecting print-provider startup malware | |
| CN113824678B (zh) | 处理信息安全事件的系统、方法和非暂时性计算机可读介质 | |
| Anand et al. | Comparative study of ransomwares | |
| Hassan et al. | Endpoint Defense Strategies: How to Protect Endpoints from Ransomware Attacks | |
| Deep et al. | Security In Smartphone: A Comparison of Viruses and Security Breaches in Phones and Computers | |
| RU2673407C1 (ru) | Система и способ определения вредоносного файла | |
| RU2763115C1 (ru) | Способ корректировки параметров модели машинного обучения для определения ложных срабатываний и инцидентов информационной безопасности | |
| Major | A Taxonomic Evaluation of Rootkit Deployment, Behavior and Detection | |
| Hovmark et al. | Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS | |
| Corregedor | An Architecture for Anti-Malware Protection Based on Collaboration | |
| CN117972676A (zh) | 应用检测方法、装置、电子设备及存储介质 | |
| Decloedt et al. | Rootkits, Trojans, backdoors and new developments | |
| Dunham | Malicious Code |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201005 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201005 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210831 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210907 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211207 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220510 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220603 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7084778 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |