JP2021064358A - 悪意あるソフトウェアによるデジタルフォレンジック情報の破棄を阻止するシステムおよび方法 - Google Patents

悪意あるソフトウェアによるデジタルフォレンジック情報の破棄を阻止するシステムおよび方法 Download PDF

Info

Publication number
JP2021064358A
JP2021064358A JP2020145978A JP2020145978A JP2021064358A JP 2021064358 A JP2021064358 A JP 2021064358A JP 2020145978 A JP2020145978 A JP 2020145978A JP 2020145978 A JP2020145978 A JP 2020145978A JP 2021064358 A JP2021064358 A JP 2021064358A
Authority
JP
Japan
Prior art keywords
digital
suspicious
objects
suspicious object
command
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020145978A
Other languages
English (en)
Other versions
JP7353251B2 (ja
Inventor
ストローゴフ ウラジミール
Strogov Vladimir
ストローゴフ ウラジミール
イシャノフ オレグ
Ishanov Oleg
イシャノフ オレグ
ドッド アレクセイ
Dod Alexey
ドッド アレクセイ
ベロウソフ セルゲイ
Beloussov Serguei
ベロウソフ セルゲイ
プロタソフ スタニスラフ
Protasov Stanislav
プロタソフ スタニスラフ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Acronis International GmbH
Original Assignee
Acronis International GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Acronis International GmbH filed Critical Acronis International GmbH
Publication of JP2021064358A publication Critical patent/JP2021064358A/ja
Application granted granted Critical
Publication of JP7353251B2 publication Critical patent/JP7353251B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Abstract

【課題】デジタルフォレンジック調査を妨害する疑わしいオブジェクトによる行為を阻止する方法及びシステムを提供する。【解決手段】方法300において、コンピューティングデバイス内の複数のオブジェクトから疑わしいオブジェクトを識別302し、疑わしいオブジェクトによって行われる行為を監視304する。次に、デジタルアーティファクトを作成及び/又は改変する疑わしいオブジェクトによる第1コマンドをインターセプト306し、疑わしいオブジェクトによる第2コマンドをインターセプト308する。そして、第2コマンドは、作成/改変されたデジタルアーティファクトを削除するか310又は疑わしいオブジェクトそれ自体を削除するか312の判断に応じて、第2コマンドをブロック314し、疑わしいオブジェクト及びデジタルアーティファクトをデジタルリポジトリに格納316する。【選択図】図3

Description

本開示は、データセキュリティの分野に関し、より具体的には、デジタルフォレンジック調査を妨害する疑わしいオブジェクトによる行為を阻止するシステムおよび方法に関する。
デジタルコンピューティングに対する依存度が高まるにつれて、ハッキング、データ盗難、マルウェア攻撃などのサイバー犯罪の件数が増加している。それに応じて、サイバーセキュリティ方法の焦点は、攻撃が発生した後の分析向けに、悪意あるソフトウェアを追跡することに移行してきた。しかし、ある種の最新の悪意あるソフトウェアは、データ、暗号化ファイルなどを破損させる、盗むだけではなく、コンピュータシステムからそれらの存在の全痕跡を破棄する。悪意ある行為が行われる場合に、悪意あるソフトウェアは、自滅し、かつそれらの活動の追跡を妨害する場合があるので、その後にデジタル調査を行うことが非常に難しいか、不可能であることさえある。
アンチルートキットプログラムを用いる従来の阻止方法は、このような悪意あるソフトウェアの高度な性質を完全に考慮に入れるのに充分なほどには専門化されていない。また、アンチルートキットプログラム、特定の悪意あるソフトウェアを検出することができるが、ルートキットおよびそれらのアーティファクトの活動に関する情報を保存することを目的としていない。この点に関して、悪意のあるソフトウェアの活動の痕跡の滅失、消去および隠蔽を阻止する専門的な解決策が必要とされる。
これらの欠点に対処するために、本開示は、デジタルフォレンジック調査を妨害する疑わしいオブジェクトによる行為を阻止する方法およびシステムについて記載する。
一例示的態様では、方法は、コンピューティングデバイス上の複数のオブジェクトから疑わしいオブジェクトを識別し、前記疑わしいオブジェクトによって行われる行為を監視する場合があり、前記行為は、前記疑わしいオブジェクトから発信されるコマンドおよび要求を含む。前記方法は、前記コンピューティングデバイス上にデジタルアーティファクトを作成および/または改変する疑わしいオブジェクトによる第1コマンドをインターセプトし、前記第1コマンドをインターセプトした後に、前記疑わしいオブジェクトおよび前記デジタルアーティファクトのうち少なくとも1つを削除する前記疑わしいオブジェクトによる第2コマンドをインターセプトする場合がある。前記デジタルアーティファクトを作成および/または改変する前記第1コマンドと、前記疑わしいオブジェクトおよび前記デジタルアーティファクトのうち少なくとも1つを削除する前記第2コマンドとの両方をインターセプトすることに応じて、前記方法は、前記第2コマンドをブロックする場合があり、かつ前記疑わしいオブジェクトおよび前記デジタルアーティファクトをデジタルリポジトリに格納する場合がある。
一部の態様では、前記方法は、前記コンピューティングデバイス上のシステムおよびユーザデータのバックアップと共に前記デジタルリポジトリのコンテンツを格納する場合がある。
一部の態様では、前記方法は、前記疑わしいオブジェクトおよび前記デジタルアーティファクトのそれぞれの場所をデジタルリポジトリに格納する場合がある。
一部の態様では、前記方法は、前記疑わしいオブジェクトのすべての監視された行為の記録を前記デジタルリポジトリに格納する場合がある。
一部の態様では、前記方法は、複数のオブジェクトのそれぞれのオブジェクトごとに、前記それぞれのオブジェクトのデジタル署名を抽出することと、前記それぞれのオブジェクトのデジタル署名が、デジタル署名のホワイトリスト内のいずれかの信頼のできるデジタル署名と一致するかどうかを判断することと、一致しないという判断に応じて、前記それぞれのオブジェクトを前記疑わしいオブジェクトとして識別することと、によって、前記コンピューティングデバイス上の複数のオブジェクトから疑わしいオブジェクトを識別する場合がある。
一部の態様では、複数の疑わしいオブジェクトが識別され、前記方法は、閾値期間に複数の疑わしいオブジェクトを監視する場合があり、前記複数の疑わしいオブジェクトは、前記疑わしいオブジェクトを含む。前記方法は、前記コンピューティングデバイスの性能を低下させるか、または前記コンピューティングデバイス上のユーザ機密を損なう行為を前記閾値期間にわたって行わなかった前記疑わしいオブジェクトのサブセットをさらに識別する場合がある。前記方法は、疑わしいオブジェクトのサブセットが疑わしくないと判断して、前記サブセットの監視を中止する場合がある。
一部の態様では、前記方法は、前記デジタルアーティファクトが前記コンピューティングデバイス上に別のデジタルアーティファクトを作成および/または改変したことを検出する場合がある。前記デジタルアーティファクト、および前記疑わしいオブジェクトを削除する前記別のデジタルアーティファクトのうち1つによる第3コマンドをインターセプトすることに応じて、前記方法は、前記第3コマンドをブロックして、前記疑わしいオブジェクト、前記デジタルアーティファクト、および前記別のデジタルアーティファクトを前記デジタルリポジトリに格納する場合がある。
上記の方法は、ハードウェアプロセッサを含むシステムに実装される場合があるという点に留意すべきである。あるいは、前記方法は、非一時的コンピュータ可読媒体のコンピュータ実行可能命令を使用して実行される場合がある。
例示的態様の簡略化された上記概要は、本開示の基本的な理解をもたらすために提供される。本概要は、すべての考えられた態様の広範な概要ではなく、またすべての態様の主要なまたは重要な要素を特定することも、本開示のいずれかまたはすべての態様の範囲を描写することも意図していない。その唯一の目的は、1つまたは複数の態様を、以下の本開示のより詳細な説明の序文として、簡略化した形で示すことである。上記の目的を達成するために、本発明の1つまたは複数の態様は、特許請求の範囲で説明され、かつ例示的に示される特徴を含むものである。
本明細書に組み込まれ、かつ本明細書の一部を構成する添付図面は、発明を実施するための形態と共に本開示の1つまたは複数の例示的態様を示すものであり、それらの原理および実装形態を説明するために提供される。
本開示の態様に従って、悪意あるソフトウェアによるデジタルフォレンジック情報の破棄を阻止するシステムを示すブロック図である。 本開示の態様に従って、疑わしいオブジェクトによる活動を監視する方法を示すブロック図である。 本開示の態様に従って、疑わしいオブジェクトおよび/またはそのアーティファクトを削除する試みをブロックする方法を示すフロー図である。 本開示の態様が実装され得る汎用コンピュータシステムの一例を示す図である。
例示的態様が、フォレンジック特定メタデータを生成および格納するシステム、方法、およびコンピュータプログラム製品のコンテキストで、本明細書に記載される。以下の説明は例示のためのみのものであり、いかなる点においても限定することを意図するものではないことを当業者であれば理解するであろう。本開示の効果を用いることで、その他の態様は当業者によって容易に連想されるであろう。添付図面に示される例示的な態様の実装形態に、参照番号が項目ごとに付与される。同一または類似の項目であることを言及するために、図面および以下の説明を通して可能な範囲で同じ参照番号が使用される。
図1は、疑わしいオブジェクトによるアンチフォレンジック行為を阻止するシステム100を示すブロック図である。システム100は、パーソナルコンピュータ、サーバなどを含む場合があるコンピューティングデバイス102を含み、前記コンピューティングデバイス102は、コンピュータ処理装置(「Computer Processing Unit:CPU」)、および種々のタスクを行うソフトウェア(例えば、オペレーティングシステム(Operating System:OS)ソフトウェア、アプリケーションソフトウェアなど)を備えるメモリを備える。コンピューティングデバイス102用のデータは、デバイス自体のメモリ、およびバックアップサーバ104、コンパクトディスク、フラッシュドライブ、光ディスクなどの他の外部デバイス上に格納される場合がある。
本開示では、コンピューティングデバイス102のメモリから発信されるバックアップデータ106は、ネットワーク108を介してバックアップサーバ104に伝送される。ネットワーク108は、インターネット、モバイルフォンネットワーク、データネットワーク(例えば、4GまたはLTEネットワーク)、ブルートゥース(登録商標)、またはこれらの任意の組み合わせであってもよい。例えば、バックアップサーバ104は、インターネットを介してアクセスされるクラウドコンピューティング環境の一部であるか、またはコンピューティングデバイス102とのローカルネットワーク(Local Area Network:LAN)の一部であってもよい。バックアップサーバ104およびコンピューティングデバイス102をネットワーク108へ接続するラインは、通信経路を意味し、この通信経路は、自由空間接続(例えば、ワイヤレス信号用の)と物理的接続(例えば、光ファイバーケーブル)との任意の組み合わせを含む場合がある。
複数のバックアップサーバ104がある場合があるが、図面を過度に複雑にすることを回避するために、図1には1つのみを示していることに留意する必要がある。例えば、バックアップサーバ104は、分散しているクラウドクラスタにおける複数のサーバを意味する場合がある。バックアップサーバ104は、(例えば、図4に示すような)任意の数の物理的コンポーネントを含む場合がある。例えば、バックアップサーバ104は、プロセッサ、物理ブロック記憶デバイス(例えば、ハードディスクドライブ(Hard Disk Drives:HDD)、ソリッドステートドライブ(Solid State Drives:SSD)、フラッシュドライブ、SMRディスクなど)、またはメモリ(例えば、ランダムアクセスメモリ(Random Access Memory:RAM))、I/Oインターフェースコンポーネントなどを含む場合がある。
バックアップデータ106は、ユーザデータ、アプリケーション、システムファイル、基本設定、文書、メディアなどを含む任意のタイプのデータであってもよい。コンピューティングデバイス102は、バックアップデータ106に含まれる特定のデータおよびデータがバックアップされる必要がある頻度を示す、バックアップスケジュールに従ってバックアップデータ106をバックアップサーバ104内の記憶装置に送信する。例えば、コンピューティングデバイス102は、コンピューティングデバイス102のメモリ内に存在するデータファイルのコピーを生成して、そのコピーをバックアップデータ106としてバックアップサーバ104に1時間おきに伝送する場合がある。バックアップデータ106は、コンピューティングデバイス102のユーザによって選択されてもよく、バックアップスケジュールの頻度もまた、ユーザによって選択されてもよい。
アンチフォレンジック阻止モジュール110は、不正侵入検知システム(Intrusion Detection System:IDS)ソフトウェアの一部であってもよい。アンチフォレンジック阻止モジュール110は、図1に示すように、クライアントエンドソフトウェアであるが、バックアップサーバ104とコンピューティングデバイス102との間で、シッククライアントとシンクライアントにそれぞれ分割される場合がある。一部の態様では、アンチフォレンジック阻止モジュール110は、少なくとも3つのコンポーネント、すなわち、オブジェクト識別部112、活動分析部114、およびデジタルリポジトリ116に分割される場合がある。オブジェクト識別部112は、コンピューティングデバイス102内の複数のオブジェクトから疑わしいオブジェクトを識別するように構成される場合がある。オブジェクトは、コンピューティングデバイス102上の任意のアプリケーション、プロセス、スレッド、ファイル、データ構造またはポータブル実行可能(Portable Executable:PE)ファイルであってもよい。オブジェクト識別部112は、全オブジェクトのリストを取得して、リスト内の疑わしいオブジェクトを識別する場合がある。例えば、オブジェクト識別部112は、初期スキャン時に、コンピューティングデバイス102上の全オブジェクトのリストを、(例えば、プロセスおよびスレッドを列挙すること、ファイルおよびアプリケーションをスキャンすることなどによって)取得する場合がある。一部の態様では、初期スキャンの後に、新しいオブジェクトがコンピューティングデバイス102上に作成されるか、または既存のオブジェクトが改変される場合はいつでも、オブジェクト識別部112は、新しい/改変されたオブジェクトの疑わしさを評価/再評価する場合がある。一部の態様では、疑わしさを評価するために、オブジェクト識別部112は、オブジェクトの取得されたリストと、信頼のできるオブジェクトを含むホワイトリストとを比較する場合がある。ホワイトリスト内にないオブジェクトは、オブジェクト識別部112によって疑わしいと見なされる。
それらの疑わしさに起因して監査対象となり得るオブジェクトの中には、サードパーティの悪意あるコード、プログラム、スクリプトなどを使用して、信頼のできるプロセス(すなわち、ホワイトリスト内で見いだされるもの)に送り込まれる可能性がある、実行可能ファイルおよび様々な種類のダイナミックライブラリがある。オブジェクト識別部112はまた、信頼のできるデジタル署名をオブジェクトが有しているかどうかを判断して、疑わしさを判断する場合がある。信頼のできるデジタル署名が欠如している場合、疑惑のオブジェクトが疑わしいオブジェクトであることがオブジェクト識別部112に示される場合がある。オブジェクト識別部112は、オブジェクトの疑わしい動作(例えば、信頼ができると見なされている他のプロセスにダイナミックライブラリを送り込む動作)、およびネットワーク活動(例えば、異常な、ダウンロード/アップロードアイテム、ソースおよび宛先)を分析する場合がある。
活動分析部114は、疑わしいオブジェクトによって行われる行為を監視するように構成される場合がある。疑わしいオブジェクトが、別のファイルを生成する実行可能ファイルである場合の例を考察する。このシナリオでは、この行為は、別のファイルの生成である。別のファイルとは、疑わしいオブジェクトのデジタルアーティファクトである。(アーティファクトとも称される)デジタルアーティファクトとは、疑わしいオブジェクトによって直接的または間接的に作成/改変されるいずれかのアプリケーション、プロセス、スレッド、またはデータ構造であってもよい。この例では、別のファイルは、疑わしいオブジェクトによって行われる行為によって作成されるので、別のファイルは、活動分析部114によってデジタルアーティファクトとして識別される。別の例では、実行可能ファイルが、コンピューティングデバイス102上の既存のファイルを改変する場合、活動分析部114は、デジタルアーティファクトとして改変されたファイルを識別する場合がある。両方の例で、疑わしいオブジェクトは直接的にデジタルアーティファクトを作成/改変している。間接的な生成/改変のケースでは、疑わしいオブジェクトは、信頼のできるオブジェクトにコードを送り込み(デジタルアーティファクトにし)、かつ送り込まれたコードを伴うオブジェクトは、追加のオブジェクトを改変/作成する場合があり、それは、デジタルアーティファクトと見なされるものである。疑わしいオブジェクトが直接的に追加のオブジェクトを作成/改変しなかったとしても、その疑わしいオブジェクトが直接影響を及ぼしたオブジェクトによって作成/改変されたのであれば、追加のオブジェクトは、デジタルアーティファクトと考えられる。したがって、間接的に影響を受けるデジタルアーティファクトは、疑わしいオブジェクトが、デジタルアーティファクトを特に目的としていなかったとしても疑わしいオブジェクトの間接的な行為によって影響を受けるなんらかのデジタルアーティファクトである可能性がある。したがって、一部の態様では、活動分析部114はまた、疑わしいオブジェクトが関与する(しかし、疑わしいオブジェクトによって直接的には行われない)行為も監視する場合がある。
活動分析部114は、疑わしいオブジェクトによるコマンドをインターセプトすることによって、特に、作成または改変される行為を検出する場合がある。一旦、活動分析部114が疑わしいオブジェクトおよびデジタルアーティファクトを識別すると、活動分析部114は、疑わしいオブジェクトによるいずれの次のコマンドまたはデジタルアーティファクトも、疑わしいオブジェクトそれ自体か、または作成/改変されたデジタルアーティファクトのいずれかの削除に関与するものかどうかを判断する。疑わしいオブジェクトが疑わしいと識別され、かつコマンドが疑わしいオブジェクト、または疑わしいオブジェクトの少なくとも1つのデジタルアーティファクトの削除(自滅)に関与するという理由で、活動分析部114は、それ自体の痕跡を破棄しようとするマルウェアとして疑わしいオブジェクトをマークする場合がある。したがって、アンチフォレンジック阻止モジュール110は、削除コマンドをブロックする場合がある。
マルウェアがコンピューティングデバイス102を攻撃する場合の例を考察する。マルウェアは、2012年に発見されたモジュール式コンピュータマルウェア、「Flame」と類似の特徴を有する場合がある。その特徴は、音声を録音し、スクリーンショットを撮り、キーボード活動をモニタし、ネットワーク活動を追跡するなどの能力を含む場合がある。マルウェアは、種々の暗号化方法を使用する場合があり、また入手した構造化情報をSQLiteデータベースに格納する場合がある。ちょうど「Flame」が、ターゲットデバイスにインストールされているアンチウイルスソフトウェアを識別して、アンチウイルスソフトウェアのセキュリティを回避するようにそれ自体の動作を(例えば、ファイル名拡張子を変更することによって)適応させるように、マルウェアは、コンピューティングデバイス102上のセキュリティシステムを欺こうとする場合がある。さらに、マルウェアは、システムからそれ自体のファイルおよび動作の全痕跡を取り除く、「Flame」と類似の「kill」機能を有する場合がある。
アンチウイルスソフトウェアは、このようなマルウェアの定義を(マルウェアが新しいことがあり)有していない場合があるため、検出時に無効となる。「Flame」は、およそ20MBの大きさのプログラムである。オブジェクトのスキャンがオブジェクト識別部112によって実行される場合に、マルウェアプログラムは、オブジェクトとして検出される。一部の態様では、オブジェクトがホワイトリスト内で見つからないという理由で、アンチフォレンジック阻止モジュール110によって疑わしいオブジェクトとして扱われる。マルウェアによってコピーされたスクリーンショット、音声および他の追跡された情報は、デジタルアーティファクトとして分析部114によって識別される。さらに、コンピューティングデバイス102上のマルウェアの後を追うことができないように、入手したコピーを「kill」するマルウェアの試みは、削除コマンドと見なされる。killコマンドのインターセプトに応じて、そのマルウェアが疑わしいオブジェクトと考えられるという理由で、アンチフォレンジック阻止モジュール110は、コマンドの実行をブロックする場合がある。
いくつかのオブジェクトが、それらが最終的に無害なオブジェクトである場合であっても疑わしいオブジェクトとして特徴づけられる場合があるという点に留意すべきである。一部の態様では、無害である複数の疑わしいオブジェクトを監視するために充てられるリソースの量を減らすために、オブジェクト識別部112は、以前に識別した疑わしいオブジェクトがコンピューティングデバイス102上の他のオブジェクトと相互作用せず、コンピューティングデバイス102の性能を低下させる有害な行為(例えば、所定の期間を超えて、CPUパワー、RAM、記憶装置などの閾値を超えて利用することによる行為)を行わず、またはコンピューティングデバイス102のユーザ機密を(例えば、データをモニタ、保存、他の場所に送信することによって)損なわずに閾値期間が満了した後に、そのオブジェクトをもはや疑わしいオブジェクトではないと見なす場合がある。
アンチフォレンジック阻止モジュール110は、疑わしいオブジェクトおよびデジタルアーティファクトを(まとめてアンチフォレンジックデータ118を作り上げて)デジタルリポジトリ116にさらに格納する。デジタルリポジトリ116は、独立した(例えば、隔離)記憶装置として構成される場合があり、それにより、疑わしいオブジェクトが追加コマンドを起こすことを阻止する。一部の態様では、アンチフォレンジック阻止モジュール110は、アンチフォレンジックデータ118を生成する場合がある。アンチフォレンジックデータ118は、デジタルリポジトリ116のコンテンツ(すなわち、疑わしいオブジェクトおよびデジタルアーティファクト)、ならびに(1)コンピューティングデバイス102のメモリ内の疑わしいオブジェクトおよびデジタルアーティファクトのそれぞれの位置、および(2)活動分析部114によって追跡される疑わしいオブジェクトの監視される全行為のような情報を含むバックアップデータである。一部の態様では、先に列挙した情報は、疑わしいオブジェクトおよびデジタルアーティファクトと共にデジタルリポジトリ116に格納される。
一部の態様では、アンチフォレンジック阻止モジュール110は、さらに(例えば、高度暗号化標準(Advanced Encryption Standard:AES)、リベスト・シャミア・エーデルマン(Rivest-Shamir-Adleman:RSA)などを使用して)デジタルリポジトリ116にそれらを入れる前に疑わしいオブジェクトおよびデジタルアーティファクトを暗号化する場合がある。これにより、サードパーティアプリケーションが疑わしいオブジェクトまたはデジタルアーティファクトにアクセスして痕跡を破棄することを阻止する。オブジェクトおよびアーティファクトが公開鍵によって署名される例では、セキュリティ向上のためにコンピューティングデバイス102ではないデバイス上に秘密鍵が格納される場合がある。
一部の態様では、アンチフォレンジックデータ118はバックアップデータ106と共にバックアップサーバ104に格納される。例えば、バックアップデータ106が定期的にアップロードされる場合に、アンチフォレンジックデータ118も同様にバックアップされる。これにより、フォレンジック調査を行っているフォレンジックエンジニアが、コンピューティングデバイス102の状態を再作成して、(デジタルリポジトリ116で隔離される前に)それらのそれぞれの位置がコンピューティングデバイス102のメモリに入れられる疑わしいオブジェクトおよびデジタルアーティファクトの影響を分析することを可能にする。コンピューティングデバイス102の状態は、コンピューティングデバイス102のボリュームの完全にリストアされた画像、および、イベントの時間、悪意ある行為のソース、破損または感染したデータの再現を含む、コンピュータ犯罪またはウイルス攻撃についてのメタデータを表す場合がある。
図2は、本開示の態様に従って、疑わしいオブジェクトによる活動を監視する方法200を示すブロック図である。マルウェアソース202は、疑わしい.exeファイル204の出所であってもよい。オブジェクト識別部112が、疑わしい.exeファイル204を疑わしいオブジェクトとして既に識別したと仮定する。疑わしい.exeファイル204は、複数のアーティファクト(例えば、アーティファクト1、2..N)を作成および/または改変する場合がある。活動分析部114は、アーティファクトまたは疑わしい.exeファイル204のいずれかを作成/改変し、その後にそれらを削除する試みをインターセプトする場合がある。
活動分析部114は、2つのファイル、すなわち、ファイルシステムフィルタ206およびレジストリフィルタ208を内蔵している場合がある。一部の態様では、ファイルシステムフィルタ206は、コンピューティングデバイス102のメモリ内の新しいアーティファクトをスキャンして、メモリからのアーティファクトの破棄を検出する。例えば、新テクノロジーファイルシステム(New Technology File System:NTFS)を使用してファイルが作成される場合に、そのファイルについての記録が、マスタファイルテーブル(Master File Table:MFT)に追加される。MFTは、NTFSボリュームのすべてのファイルおよびディレクトリについての情報が格納されるデータベースである。ファイルシステムフィルタ206は、デジタルアーティファクトの追加および破棄を検出するために、MFT内の変化を監視する場合がある。
レジストリフィルタ208は、コンピューティングデバイス102のレジストリの変化を監視するように構成される場合がある。アプリケーションがデータをシステムのレジストリに追加できるためには、そのアプリケーションは、鍵を作成または開く必要がある。Windowsオペレーティングシステムでは、アプリケーションは、RegOpenKeyExまたはRegCreateKeyExなどの関数を使用して、このタスクを行う場合がある。レジストリフィルタ208は、疑わしいオブジェクトによって実行されるこれらの関数に関するコマンドラインを監視する場合がある。疑わしいオブジェクトは、関数RegSetValueExを使用して、開いた/作成した鍵に値とそのデータを関連付ける可能性がある。コマンドをインターセプトする場合に、活動分析部114は、関数のこの組み合わせを(レジストリフィルタ208を介して)監視する場合がある。図2に示すように、各アーティファクトは、活動分析部114が追跡する場合があるファイルおよびレジストリ値を有する。ファイルの作成/改変をデジタルアーティファクトとして識別した後に、活動分析部114は、そのファイルまたは疑わしい.exeファイル204を削除する試みを監視する。例えば、レジストリフィルタ208は、関数RegDeleteKeyまたはRegDeleteValueの実行の試みを監視する場合がある。これらの関数の第1のものは、鍵をレジストリから削除するために使用され、またこれらの関数の第2のものは、鍵から値を削除するように使用される。その行為の痕跡を隠す試みを阻止するために、活動分析部114は、関数の実行を阻止する場合がある。
活動分析部114は、さらに、疑わしい.exeファイル204およびアーティファクト1、2...Nをデジタルリポジトリ116内で隔離する場合がある。デジタルリポジトリ116は、ボリューム状態(すなわち、ボリュームマップ)を含む収集したオブジェクトおよびアーティファクトを効率的に格納して、オブジェクトおよびアーティファクトが初めに位置していた場所(例えば、コンピューティングデバイス102のボリュームの物理アドレス)を理解することを目的としているストレージフィルタ210を備える場合がある。
図3は、本開示の態様に従って、疑わしいオブジェクトおよび/またはそのアーティファクトを削除する試みをブロックする方法300のフロー図を示す。302で、オブジェクト識別部112は、コンピューティングデバイス102内の複数のオブジェクトから疑わしいオブジェクトを識別する。例えば、複数のオブジェクトのそれぞれのオブジェクトごとに、オブジェクト識別部112は、それぞれのオブジェクトのデジタル署名を抽出する場合があり、かつそれぞれのオブジェクトのデジタル署名が、デジタル署名のホワイトリスト内のいずれかの信頼のできるデジタル署名と一致するかどうかを判断する場合がある。一致しないという判断に応じて、オブジェクト識別部112は、それぞれのオブジェクトを疑わしいオブジェクトとして識別する場合がある。
304で、活動分析部114は、(例えば、ファイルシステムフィルタ206およびレジストリフィルタ208を使用して)疑わしいオブジェクトによって行われる行為を監視する。306で、活動分析部114は、コンピューティングデバイス102上にデジタルアーティファクトを作成および/または改変する疑わしいオブジェクトによる第1コマンドをインターセプトする。
308で、活動分析部114は、疑わしいオブジェクトによる第2コマンドをインターセプトする。310で、活動分析部114は、第2コマンドが、作成/改変されたデジタルアーティファクトを削除するものであるかどうかを判断する。第2コマンドが、作成/改変されたデジタルアーティファクトを削除するものではないという判断に応じて、方法300は、312に進み、ここで、活動分析部114は、第2コマンドが、疑わしいオブジェクトそれ自体を削除するものであるかどうかを判断する。
第2コマンドが、疑わしいオブジェクトを削除するものではないという判断に応じて、方法300は304に戻り、ここで、活動分析部114は、疑わしいオブジェクトによって行われる行為の監視を続ける。しかし、活動分析部114が、310で、第2コマンドが作成/改変されたデジタルアーティファクトを削除するものであると判断するか、または312で、第2コマンドが疑わしいオブジェクトを削除するものであると判断する場合、方法300は314に進む。ここで、アンチフォレンジック阻止モジュール110は、第2コマンドをブロックする。316で、アンチフォレンジック阻止モジュール110は、疑わしいオブジェクトおよびデジタルアーティファクトをデジタルリポジトリ116に格納する。
図4は、例示的態様に従って、アンチフォレンジックを阻止するシステムおよび方法の態様が実装される場合があるコンピュータシステム20を示すブロック図である。コンピュータシステム20は、コンピューティングデバイス102および/またはバックアップサーバ104を指す場合があり、かつ例えば、デスクトップコンピュータ、ノートブックコンピュータ、ラップトップコンピュータ、モバイルコンピューティングデバイス、スマートフォン、タブレットコンピュータ、サーバ、メインフレーム、埋め込み型デバイスなど複数のコンピューティングデバイスの形態、または、単一のコンピューティングデバイスの形態、およびコンピューティングデバイスの他の形態であってもよい。
示されるように、コンピュータシステム20は、中央演算処理装置(CPU)21、システムメモリ22、および、中央演算処理装置21に関連するメモリを含む種々のシステムコンポーネントを接続しているシステムバス23を含む。システムバス23は、バスメモリまたはバスメモリコントローラ、周辺バス、および任意の他のバスアーキテクチャと相互作用することが可能なローカルバスを含んでもよい。バスの例としては、PCI、ISA、PCI−Express、HyperTransport(商標)、InfiniBand(商標)、シリアルATA、IC、およびその他の好適なインターコネクトなどを挙げてよい。中央演算処理装置21(プロセッサとも称される)は、単一のまたは複数のコアを有する単一のまたは複数のプロセッサのセットを含む場合がある。プロセッサ21は、本開示の技術を実装する1つまたは複数のコンピュータ実行可能コードを実行してもよい。例えば、アンチフォレンジック阻止モジュール110によって(例えば、オブジェクト識別器112などのそのコンポーネントを介して)実施される方法200から300のいずれかは、プロセッサ21によって実行されてもよい。システムメモリ22は、本明細書で使用するデータおよび/またはプロセッサ21によって実行可能なコンピュータプログラムを記憶する任意のメモリであってよい。システムメモリ22は、ランダムアクセスメモリ(RAM)25などの揮発性メモリ、および読み取り専用メモリ(Read-Only Memory:ROM)24、フラッシュメモリなどの不揮発性メモリ、またはこれらの任意の組み合わせを含んでもよい。基本入出力システム(Basic Input/Output System:BIOS)26は、コンピュータシステム20の各要素間の情報の伝送(例えば、ROM24を使用してオペレーティングシステムをロードする時など)の、基本手順を記憶していてもよい。
コンピュータシステム20は、1つまたは複数の取り外し可能記憶デバイス27、1つまたは複数の非取り外し可能記憶デバイス28、またはこれらの組み合わせなどの1つまたは複数の記憶デバイスを含んでもよい。1つまたは複数の取り外し可能記憶デバイス27、および非取り外し可能記憶デバイス28は、記憶インターフェース32を介してシステムバス23に接続される。一態様では、記憶デバイスおよび対応するコンピュータ可読記憶媒体は、コンピュータシステム20のコンピュータ命令、データ構造、プログラムモジュール、および他のデータの記憶装置向けの電力独立型モジュールである。システムメモリ22、取り外し可能記憶デバイス27、および非取り外し可能記憶デバイス28は、種々のコンピュータ可読記憶媒体を使用してもよい。コンピュータ可読記憶媒体の例としては、例えば、キャッシュ、SRAM、DRAM、ゼロ・コンデンサRAM、ツイントランジスタRAM、eDRAM、EDO RAM、DDR RAM、EEPROM、NRAM、RRAM(登録商標)、SONOS、PRAMなどのマシンメモリ、ソリッドステートドライブ(SSD)またはフラッシュドライブのようなフラッシュメモリまたはその他のメモリ技術、ハードディスクドライブまたはフロッピーディスクのような磁気カセット、磁気テープ、および磁気ディスク記憶装置、コンパクトディスク(Compact Disks Read Only Memory:CD−ROM)またはデジタル多用途ディスク(Digital Versatile Disks:DVD)のような光記憶装置、および所望のデータを記憶するために使用することができ、かつコンピュータシステム20によってアクセス可能な任意の他の媒体が挙げられる。
コンピュータシステム20のシステムメモリ22、取り外し可能記憶デバイス27、および非取り外し可能記憶デバイス28は、オペレーティングシステム35、追加のプログラムアプリケーション37、他のプログラムモジュール38およびプログラムデータ39を記憶するために使用されてもよい。コンピュータシステム20は、例えば、キーボード、マウス、スタイラス、ゲームコントローラ、音声入力デバイス、タッチ入力デバイスなどの、入力デバイス40からのデータを通信するための周辺インターフェース46、または、例えばシリアルポート、パラレルポート、ユニバーサルシリアルバス(Universal Serial Bus:USB)または他の周辺インターフェースなどの1つまたは複数のI/Oポートを介した、プリンタまたはスキャナなどの他の周辺デバイスを含んでもよい。例えば1つまたは複数のモニタ、プロジェクタまたは統合ディスプレイなどのディスプレイデバイス47は、例えばビデオアダプタなどの出力インターフェース48を通してシステムバス23に接続されてもよい。ディスプレイデバイス47に加えて、コンピュータシステム20は、例えばスピーカおよび他の音響映像デバイスなどの他の周辺出力デバイス(図示せず)を搭載してもよい。
コンピュータシステム20は、1つまたは複数のリモートコンピュータ49へのネットワーク接続を使用して、ネットワーク環境で動作してもよい。リモートコンピュータ(1つまたは複数)49は、コンピュータシステム20の性質について記載されている上述の各要素のほとんどまたはすべてを含む、ローカルコンピュータ・ワークステーションまたはサーバであってもよい。例えば、ルータ、ネットワーク局、ピアデバイスまたは他のネットワークノードなどのその他のデバイスが、コンピュータネットワーク内に存在する場合があるが、これらに限定されない。コンピュータシステム20は、ローカルエリアコンピュータネットワーク(LAN)50、広域コンピュータネットワーク(Wide-Area computer Network:WAN)、イントラネットおよびインターネットなどの1つまたは複数のネットワークを介して、リモートコンピュータ49と通信するための1つまたは複数のネットワークインターフェース51またはネットワークアダプタを含んでもよい。ネットワークインターフェース51の例としては、イーサネットインターフェース、フレームリレーインターフェース、SONETインターフェースおよび無線インターフェースを挙げてもよい。
本開示の態様は、システム、方法、および/またはコンピュータプログラム製品であってもよい。コンピュータプログラム製品は、プロセッサに本開示の態様を実行させるコンピュータ可読プログラム命令を有する、コンピュータ可読記憶媒体(またはメディア)を含んでもよい。
コンピュータ可読記憶媒体は、命令またはデータ構造の形態でプログラムコードを保持し、記憶することができる有形デバイスであってもよく、コンピューティングシステム20などのコンピューティングデバイスのプロセッサによってアクセス可能なものである。コンピュータ可読記憶媒体は、電子記憶デバイス、磁気記憶デバイス、光記憶デバイス、電磁記憶デバイス、半導体記憶デバイス、またはこれらの任意の好適な組み合わせであってもよい。例として、このようなコンピュータ可読記憶媒体は、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、EEPROM、ポータブルコンパクトディスク読み取り専用メモリ(CD−ROM)、デジタル多用途ディスク(DVD)、フラッシュメモリ、ハードディスク、ポータブルコンピュータ・ディスケット、メモリースティック、フロッピーディスク、あるいは、命令が記録された、パンチカードまたは溝内の隆起構造などの、機械的に符号化されたデバイスが挙げられる。本明細書で使用する場合、コンピュータ可読記憶媒体は、それ自体が、電波その他の自由伝搬電磁波、導波管または伝送媒体を伝搬する電磁波、あるいは電線によって伝送される電気信号などの、一時的信号であると、解釈されるものではない。
本明細書に記載されるコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体から、対応するコンピューティングデバイスに、もしくは、例えば、インターネット、ローカルエリアネットワーク、広域ネットワークおよび/または無線ネットワークなどのネットワークを介して、外部コンピュータまたは外部記憶デバイスにダウンロードされ得る。ネットワークは、銅製の伝送ケーブル、光伝送ファイバ、ワイヤレス伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイコンピュータおよび/またはエッジサーバを含んでもよい。各コンピューティングデバイスのネットワークインターフェースは、ネットワークからコンピュータ可読プログラム命令を受信して、対応するコンピューティングデバイス内部のコンピュータ可読記憶媒体の記憶領域に、コンピュータ可読プログラム命令を転送する。
本開示の動作を実行するためのコンピュータ可読プログラム命令は、オブジェクト指向プログラミング言語、および従来の手続き型プログラミング言語を含む、1つまたは複数のプログラミング言語の任意の組み合わせで書き込まれる組み立て命令、命令セットアーキテクチャ(Instruction-Set-Architecture:ISA)命令、機械命令、機械依存命令、マイクロコード、ファームウェア命令、ステート設定データ、あるいはソースコードまたはオブジェクトコードであってもよい。コンピュータ可読プログラム命令は、全面的にユーザのコンピュータで、部分的にユーザのコンピュータで、スタンドアロンソフトウェアパッケージとして、部分的にユーザコンピュータと部分的にリモートコンピュータとで、もしくは全面的にリモートコンピュータまたはサーバで、実行されてもよい。後半のシナリオでは、リモートコンピュータは、LANまたはWANを含む任意のタイプのネットワークを通してユーザのコンピュータに接続されているか、または、接続は、外部コンピュータに向けて(例えば、インターネットを通して)構築されてもよい。いくつかの実施形態では、例えば、プログラマブル論理回路、フィールドプログラマブルゲートアレイ(Field-Programmable Gate Arrays:FPGA)またはプログラマブル・ロジックアレイ(Programmable Logic Arrays:PLA)を含む電子回路は、本開示の態様を実施するために、コンピュータ可読プログラム命令の状態情報を利用して、コンピュータ可読プログラム命令を実行し、電子回路をパーソナライズしてもよい。
種々の態様では、本開示に記載されるシステムおよび方法は、モジュールの意味で扱われる場合がある。本発明で使用する場合、用語「モジュール」は、例えば、特定用途向け集積回路(Application Specific Integrated Circuit:ASIC)またはFPGAなどのハードウェアを使用して、または、例えば、マイクロプロセッサシステム、および(実行中に)マイクロプロセッサシステムを、特殊目的デバイスに変換するモジュールの機能性を実装するための命令のセットなどのハードウェアとソフトウェアとの組み合わせとして、実装される実世界デバイス、コンポーネント、またはコンポーネントの機構を意味する。モジュールはまた、単独でハードウェアによって促進される特定の機能と、ハードウェアとソフトウェアとの組み合わせによって促進される他の機能との、2つの組み合わせとして実装されてもよい。特定の実装形態では、少なくとも一部、および場合によっては、すべてのモジュールは、コンピュータシステムのプロセッサで実行されてもよい。したがって、各モジュールは、様々な好適な構成で実現される可能性があり、本明細書に例示されるいずれの特定の実装にも限定されるべきではない。
明確性のために、態様のすべての決まりきった特徴を、本明細書に開示しているわけではない。本開示の実際の実装形態の開発時に、開発者の特定の目的を達成するために、非常に多くの実装形態固有の決定が行われる必要があり、これらの特定の目的は、異なる実装形態および異なる開発者によって相違することが理解されるであろう。このような開発作業は、複雑であり、かつ時間がかかる可能性があるが、それでも本開示の効果を用いる当業者にとって、日常的技術的業務であるものと理解される。
さらに、本明細書で用いる表現や用語は説明上のものであって、限定のためではなく、本明細書の用語や表現は、当業者の知見と組み合わされて、本明細書で提示する教示および指導に照らして当業者によって解釈されるものと理解すべきである。加えて、明示的記載がない限り、本明細書または特許請求の範囲におけるいかなる用語も、一般的でない、あるいは特別な意味を持つものと見なされることを意図されない。
本明細書に開示された様々な態様は、本明細書で例示により言及された公知のモジュールと均等な現在および将来の公知の均等物を含む。さらに、態様および応用例を示し、かつ説明したが、本明細書に開示された発明の概念から逸脱することなく、上記よりも多くの変更が可能であることは、本開示の利益を用いる当業者には明らかであろう。

Claims (20)

  1. アンチフォレンジック行為を阻止する方法であって、
    コンピューティングデバイス上の複数のオブジェクトから疑わしいオブジェクトを識別することと、
    前記疑わしいオブジェクトによって行われる行為を監視し、前記行為は、前記疑わしいオブジェクトから発信されるコマンドおよび要求を含むことと、
    前記コンピューティングデバイス上にデジタルアーティファクトを作成および/または改変する前記疑わしいオブジェクトによる第1コマンドをインターセプトすることと、
    前記第1コマンドをインターセプトした後に、前記疑わしいオブジェクトおよび前記デジタルアーティファクトのうち少なくとも1つを削除する前記疑わしいオブジェクトによる第2コマンドをインターセプトすることと、
    前記デジタルアーティファクトを作成および/または改変する前記第1コマンドと、前記疑わしいオブジェクトおよび前記デジタルアーティファクトのうち少なくとも1つを削除する前記第2コマンドとの両方をインターセプトすることに応じて、
    前記第2コマンドをブロックすることと、
    前記疑わしいオブジェクトおよび前記デジタルアーティファクトをデジタルリポジトリに格納することと、
    を含む方法。
  2. 前記コンピューティングデバイス上のシステムおよびユーザデータのバックアップと共に前記デジタルリポジトリのコンテンツを格納することをさらに含む、請求項1に記載の方法。
  3. 前記疑わしいオブジェクトおよび前記デジタルアーティファクトのそれぞれの位置を前記デジタルリポジトリに格納することをさらに含む、請求項1に記載の方法。
  4. 前記疑わしいオブジェクトのすべての監視された行為の記録を前記デジタルリポジトリに格納することをさらに含む、請求項1に記載の方法。
  5. 前記コンピューティングデバイス上の前記複数のオブジェクトから前記疑わしいオブジェクトを識別することは、
    前記複数のオブジェクトのそれぞれのオブジェクトごとに、
    前記それぞれのオブジェクトのデジタル署名を抽出することと、
    前記それぞれのオブジェクトの前記デジタル署名が、デジタル署名のホワイトリスト内のいずれかの信頼のできるデジタル署名と一致するかどうかを判断することと、
    一致しないという判断に応じて、前記それぞれのオブジェクトを前記疑わしいオブジェクトとして識別することと、
    を含む、請求項1に記載の方法。
  6. 複数の疑わしいオブジェクトが識別され、
    閾値期間に前記複数の疑わしいオブジェクトを監視し、前記複数の疑わしいオブジェクトは、前記疑わしいオブジェクトを含むことと、
    前記コンピューティングデバイスの性能を低下させるか、または前記コンピューティングデバイス上のユーザ機密を損なう行為を前記閾値期間にわたって行わなかった前記疑わしいオブジェクトのサブセットを識別することと、
    前記疑わしいオブジェクトの前記サブセットが疑わしくないと判断することと、
    前記サブセットの監視を中止することと、をさらに含む、請求項1に記載の方法。
  7. 前記デジタルアーティファクトが前記コンピューティングデバイス上に別のデジタルアーティファクトを作成および/または改変したことを検出することと、
    前記デジタルアーティファクトおよび前記疑わしいオブジェクトを削除する前記別のデジタルアーティファクトのうち1つによる第3コマンドをインターセプトすることに応じて、
    前記第3コマンドをブロックすることと、
    前記疑わしいオブジェクト、前記デジタルアーティファクト、および前記別のデジタルアーティファクトを前記デジタルリポジトリに格納することと、をさらに含む、請求項1に記載の方法。
  8. アンチフォレンジック行為を阻止するシステムであって、
    コンピューティングデバイス上の複数のオブジェクトから疑わしいオブジェクトを識別し、
    前記疑わしいオブジェクトによって行われる行為を監視し、前記行為は、前記疑わしいオブジェクトから発信されるコマンドおよび要求を含み、
    前記コンピューティングデバイス上にデジタルアーティファクトを作成および/または改変する前記疑わしいオブジェクトによる第1コマンドをインターセプトし、
    前記第1コマンドをインターセプトした後に、前記疑わしいオブジェクトおよび前記デジタルアーティファクトのうち少なくとも1つを削除する前記疑わしいオブジェクトによる第2コマンドをインターセプトし、
    前記デジタルアーティファクトを作成および/または改変する前記第1コマンドと、前記疑わしいオブジェクトおよび前記デジタルアーティファクトのうち少なくとも1つを削除する前記第2コマンドとの両方をインターセプトすることに応じて、
    前記第2コマンドをブロックし、
    前記疑わしいオブジェクトおよび前記デジタルアーティファクトをデジタルリポジトリに格納する、
    ように構成されたハードウェアプロセッサ、を備えるシステム。
  9. 前記ハードウェアプロセッサは、前記コンピューティングデバイス上のシステムおよびユーザデータのバックアップと共に前記デジタルリポジトリのコンテンツを格納するようにさらに構成される、請求項8に記載のシステム。
  10. 前記ハードウェアプロセッサは、前記疑わしいオブジェクトおよび前記デジタルアーティファクトのそれぞれの位置を前記デジタルリポジトリに格納するようにさらに構成される、請求項8に記載のシステム。
  11. 前記ハードウェアプロセッサは、前記疑わしいオブジェクトのすべての監視された行為の記録を前記デジタルリポジトリに格納するようにさらに構成される、請求項8に記載のシステム。
  12. 前記ハードウェアプロセッサは、
    前記複数のオブジェクトのそれぞれのオブジェクトごとに、
    前記それぞれのオブジェクトのデジタル署名を抽出することと、
    前記それぞれのオブジェクトの前記デジタル署名が、デジタル署名のホワイトリスト内のいずれかの信頼のできるデジタル署名と一致するかどうかを判断することと、
    一致しないという判断に応じて、前記それぞれのオブジェクトを前記疑わしいオブジェクトとして識別することと、
    によって、前記コンピューティングデバイス上の前記複数のオブジェクトから前記疑わしいオブジェクトを識別するようにさらに構成される、請求項8に記載のシステム。
  13. 複数の疑わしいオブジェクトが識別され、前記ハードウェアプロセッサは、
    閾値期間に前記複数の疑わしいオブジェクトを監視し、前記複数の疑わしいオブジェクトは、前記疑わしいオブジェクトを含み、
    前記コンピューティングデバイスの性能を低下させるか、または前記コンピューティングデバイス上のユーザ機密を損なう行為を前記閾値期間にわたって行わなかった前記疑わしいオブジェクトのサブセットを識別し、
    前記疑わしいオブジェクトの前記サブセットが疑わしいものではないと判断し、
    前記サブセットの監視を中止する、
    ようにさらに構成される、請求項8に記載のシステム。
  14. 前記ハードウェアプロセッサは、
    前記デジタルアーティファクトが前記コンピューティングデバイス上に別のデジタルアーティファクトを作成および/または改変したことを検出し、
    前記デジタルアーティファクトおよび前記疑わしいオブジェクトを削除する前記別のデジタルアーティファクトのうち1つによる第3コマンドをインターセプトすることに応じて、
    前記第3コマンドをブロックし、
    前記疑わしいオブジェクト、前記デジタルアーティファクト、および前記別のデジタルアーティファクトを前記デジタルリポジトリに格納する、
    ようにさらに構成される、請求項8に記載のシステム。
  15. アンチフォレンジック行為を阻止する実行可能命令を記憶している非一時的なコンピュータ可読媒体であって、
    コンピューティングデバイス上の複数のオブジェクトから疑わしいオブジェクトを識別することと、
    前記疑わしいオブジェクトによって行われる行為を監視し、前記行為は、前記疑わしいオブジェクトから発信されるコマンドおよび要求を含むことと、
    前記コンピューティングデバイス上にデジタルアーティファクトを作成および/または改変する前記疑わしいオブジェクトによる第1コマンドをインターセプトすることと、
    前記第1コマンドをインターセプトした後に、前記疑わしいオブジェクトおよび前記デジタルアーティファクトのうち少なくとも1つを削除する前記疑わしいオブジェクトによる第2コマンドをインターセプトすることと、
    前記デジタルアーティファクトを作成および/または改変する前記第1コマンドと、前記疑わしいオブジェクトおよび前記デジタルアーティファクトのうち少なくとも1つを削除する前記第2コマンドとの両方をインターセプトすることに応じて、
    前記第2コマンドをブロックすることと、
    前記疑わしいオブジェクトおよび前記デジタルアーティファクトをデジタルリポジトリに格納することと、
    を行う命令を含む、非一時的なコンピュータ可読媒体。
  16. 前記コンピューティングデバイス上のシステムおよびユーザデータのバックアップと共に前記デジタルリポジトリのコンテンツを格納することを行う命令をさらに含む、請求項15に記載の非一時的なコンピュータ可読媒体。
  17. 前記疑わしいオブジェクトおよび前記デジタルアーティファクトのそれぞれの位置を前記デジタルリポジトリに格納することを行う命令をさらに含む、請求項15に記載の非一時的なコンピュータ可読媒体。
  18. 前記疑わしいオブジェクトのすべての監視された行為の記録を前記デジタルリポジトリに格納することを行う命令をさらに含む、請求項15に記載の非一時的なコンピュータ可読媒体。
  19. 前記コンピューティングデバイス上の前記複数のオブジェクトから前記疑わしいオブジェクトを識別する前記命令は、
    前記複数のオブジェクトのそれぞれのオブジェクトごとに、
    前記それぞれのオブジェクトのデジタル署名を抽出することと、
    前記それぞれのオブジェクトの前記デジタル署名が、デジタル署名のホワイトリスト内のいずれかの信頼のできるデジタル署名と一致するかどうかを判断することと、
    一致しないという判断に応じて、前記それぞれのオブジェクトを前記疑わしいオブジェクトとして識別することと、
    を行う命令をさらに含む、請求項15に記載の非一時的なコンピュータ可読媒体。
  20. 複数の疑わしいオブジェクトが識別され、
    閾値期間に前記複数の疑わしいオブジェクトを監視し、前記複数の疑わしいオブジェクトは、前記疑わしいオブジェクトを含むことと、
    前記コンピューティングデバイスの性能を低下させるか、または前記コンピューティングデバイス上のユーザ機密を損なう行為を前記閾値期間にわたって行わなかった前記疑わしいオブジェクトのサブセットを識別することと、
    前記疑わしいオブジェクトの前記サブセットが疑わしいものではないと判断することと、
    前記サブセットの監視を中止することと、
    を行う命令をさらに含む、請求項15に記載の非一時的なコンピュータ可読媒体。
JP2020145978A 2019-10-01 2020-08-31 悪意あるソフトウェアによるデジタルフォレンジック情報の破棄を阻止するシステムおよび方法 Active JP7353251B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201962908742P 2019-10-01 2019-10-01
US62/908,742 2019-10-01
US17/005,478 US11636204B2 (en) 2019-10-01 2020-08-28 Systems and methods for countering removal of digital forensics information by malicious software
US17/005,478 2020-08-28

Publications (2)

Publication Number Publication Date
JP2021064358A true JP2021064358A (ja) 2021-04-22
JP7353251B2 JP7353251B2 (ja) 2023-09-29

Family

ID=72292453

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020145978A Active JP7353251B2 (ja) 2019-10-01 2020-08-31 悪意あるソフトウェアによるデジタルフォレンジック情報の破棄を阻止するシステムおよび方法

Country Status (5)

Country Link
US (1) US11636204B2 (ja)
EP (1) EP3800567B1 (ja)
JP (1) JP7353251B2 (ja)
CH (1) CH716699B1 (ja)
ES (1) ES2946359T3 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114095249A (zh) * 2021-11-18 2022-02-25 安天科技集团股份有限公司 一种恶意攻击的防御方法、装置、电子设备及存储介质

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011145945A (ja) 2010-01-15 2011-07-28 Panasonic Corp マルウェア検出装置及びマルウェア検出方法
US10574630B2 (en) 2011-02-15 2020-02-25 Webroot Inc. Methods and apparatus for malware threat research
US9043903B2 (en) 2012-06-08 2015-05-26 Crowdstrike, Inc. Kernel-level security agent
US9448859B2 (en) * 2013-09-17 2016-09-20 Qualcomm Incorporated Exploiting hot application programming interfaces (APIs) and action patterns for efficient storage of API logs on mobile devices for behavioral analysis
RU2606559C1 (ru) 2015-10-22 2017-01-10 Акционерное общество "Лаборатория Касперского" Система и способ оптимизации антивирусной проверки файлов
TWI656453B (zh) 2016-11-22 2019-04-11 財團法人資訊工業策進會 檢測系統及檢測方法
JP2019008503A (ja) 2017-06-23 2019-01-17 杉中 順子 情報処理監視装置、情報処理監視方法、プログラム、記録媒体及び情報処理装置
US10616411B1 (en) * 2017-08-21 2020-04-07 Wells Fargo Bank, N.A. System and method for intelligent call interception and fraud detecting audio assistant
US20210058412A1 (en) * 2018-02-13 2021-02-25 Craig Rowland Computer investigation method and system
US11113388B2 (en) * 2018-07-31 2021-09-07 National Technology & Engineering Solutions Of Sandia, Llc Cloud forensics and incident response platform

Also Published As

Publication number Publication date
CH716699B1 (it) 2024-03-15
US20210097182A1 (en) 2021-04-01
ES2946359T3 (es) 2023-07-17
EP3800567B1 (en) 2023-03-01
US11636204B2 (en) 2023-04-25
JP7353251B2 (ja) 2023-09-29
EP3800567A1 (en) 2021-04-07
CH716699A2 (it) 2021-04-15

Similar Documents

Publication Publication Date Title
US10503904B1 (en) Ransomware detection and mitigation
US11055411B2 (en) System and method for protection against ransomware attacks
US10339300B2 (en) Advanced persistent threat and targeted malware defense
US11586736B2 (en) Systems and methods for detecting malicious processes
US10645124B2 (en) System and method for collection of forensic and event data
US10742665B2 (en) Systems and methods for modifying file backups in response to detecting potential ransomware
US10193918B1 (en) Behavior-based ransomware detection using decoy files
US9141790B2 (en) Systems and methods for using event-correlation graphs to detect attacks on computing systems
US10769275B2 (en) Systems and methods for monitoring bait to protect users from security threats
US8955138B1 (en) Systems and methods for reevaluating apparently benign behavior on computing devices
RU2667052C2 (ru) Обнаружение вредоносного программного обеспечения с перекрестным обзором
US10262131B2 (en) Systems and methods for obtaining information about security threats on endpoint devices
US10735457B2 (en) Intrusion investigation
JP7353251B2 (ja) 悪意あるソフトウェアによるデジタルフォレンジック情報の破棄を阻止するシステムおよび方法
US11170103B2 (en) Method of detecting malicious files resisting analysis in an isolated environment
US10546125B1 (en) Systems and methods for detecting malware using static analysis
US10635811B2 (en) System and method for automation of malware unpacking and analysis
US20200382552A1 (en) Replayable hacktraps for intruder capture with reduced impact on false positives
Kührer et al. Cloudsylla: Detecting suspicious system calls in the cloud
US20210019409A1 (en) System and method for identifying system files to be checked for malware using a remote service
US10572663B1 (en) Systems and methods for identifying malicious file droppers
US10482244B1 (en) Systems and methods for efficiently matching files
San et al. Proposed ApplicableFramework for Extracting Rootkits Features and Clustering through Dynamic Analysis for Incident Handling Systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220817

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230829

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230831

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230919

R150 Certificate of patent or registration of utility model

Ref document number: 7353251

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150