JP2022553061A - ランサムウェア防止 - Google Patents

ランサムウェア防止 Download PDF

Info

Publication number
JP2022553061A
JP2022553061A JP2022523660A JP2022523660A JP2022553061A JP 2022553061 A JP2022553061 A JP 2022553061A JP 2022523660 A JP2022523660 A JP 2022523660A JP 2022523660 A JP2022523660 A JP 2022523660A JP 2022553061 A JP2022553061 A JP 2022553061A
Authority
JP
Japan
Prior art keywords
file
requesting process
requesting
trusted
seeded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2022523660A
Other languages
English (en)
Other versions
JP7667149B2 (ja
Inventor
マシュー・ホランド
Original Assignee
フィールド・エフェクト・ソフトウェア・インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by フィールド・エフェクト・ソフトウェア・インコーポレイテッド filed Critical フィールド・エフェクト・ソフトウェア・インコーポレイテッド
Publication of JP2022553061A publication Critical patent/JP2022553061A/ja
Application granted granted Critical
Publication of JP7667149B2 publication Critical patent/JP7667149B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/1734Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2123Dummy operation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Organic Low-Molecular-Weight Compounds And Preparation Thereof (AREA)
  • Polysaccharides And Polysaccharide Derivatives (AREA)
  • Amplifiers (AREA)

Abstract

ランサムウェア攻撃は、ファイルアクセス要求を監視することで防止され得る。プロセスがディレクトリリストを要求するとき、提供される結果は、プロセスが信頼されているかどうかに基づいて修正され得る。信頼されているプロセスの場合、提供される結果は実際のディレクトリリストであり、信頼されないプロセスに提供される結果は、シードされたファイルを含むように修正され得る。シードされたファイルへのアクセスは、プロセスがランサムウェア攻撃に関連付けられるかどうかを判定するために監視され得、試みられたランサムウェア攻撃を緩和するためのステップが講じられる。ランサムウェアはまた、信頼されている処理されたもののみが特定のファイルへのアクセスを許可されることを確実にすることによって防止され得る。改善されたユーザ体験を提供するために、プロセスは、システム構造およびそれらの信頼度を判定することから自動的に判定され得る。

Description

関連出願の相互参照
本出願は、2019年10月21日に出願された米国仮特許出願第62/923,941号および2020年7月30日に出願された米国仮特許出願第63/059,151号に対する優先権を主張し、それぞれの全体がすべての目的のために参照により本明細書に組み込まれる。
本開示は、コンピュータシステムのセキュリティ、特に、コンピュータシステムに対するランサムウェア攻撃を防止することに関する。
ランサムウェア攻撃は、コンピュータシステムに対する一種のセキュリティ脅威であり、攻撃者がコンピュータシステムのデータまたはコンピュータシステム自体へのアクセスを、身代金が攻撃者に支払われるまで、ユーザファイルを暗号化することによって拒否しようと試みる。「WannaCry」ランサムウェア攻撃と名付けられたサイバー攻撃は、Server Message Block(SMB)プロトコルのMicrosoft Windows(商標)オペレーティングシステム実装においてパッチ未適用の脆弱性利用型不正プログラムを利用して、何百万ものコンピュータシステムを潜在的に脆弱なままにした。
ランサムウェアは、ウイルスまたはその他のセキュリティ脅威として扱うことができ、ランサムウェアがコンピュータシステムにインストールされるか、またはコンピュータシステムにアクセスすることを防止するために努力が払われるが、最近のランサムウェア攻撃では、未知であるかまたはパッチ未適用のオペレーティングシステムのセキュリティ脆弱性が悪用されている。ランサムウェア攻撃の影響は、データの少なくとも一部分が復元されることを可能にすることができるコンピュータシステムの定期的なバックアップを使用することによってさらに緩和することができるが、最近のデータは回復可能であり得ず、かなりの時間および費用がかかることになる。
ランサムウェア攻撃を防止または緩和するための追加的な、代替的な、および/または改善されたシステムが望ましい。
本開示によれば、ランサムウェア攻撃を防止する方法が提供され、本方法は、ファイルシステムにおいて要求プロセスからの入力/出力(IO)要求を受信することと、要求プロセスが信頼されているプロセスであるかどうかに基づいて、要求プロセスの信頼性分類を判定することと、要求プロセスの信頼性分類に基づいて、IO要求の結果を修正することと、要求プロセスが信頼されていない信頼性分類を有すると判定されたときに、要求プロセスからの修正された結果のうちの1つ以上のIO要求を監視することと、を含む。
さらなる実施形態では、本方法は、信頼されていないプロセスのさらなるファイルアクセスを、プロセスが修正された結果のうちの1つ以上のファイルにアクセスしようと試みたときに制限することと、要求プロセスを隔離することと、のうちの1つ以上をさらに含む。
本方法のさらなる実施形態では、さらなるファイルアクセスを制限することは、信頼されていないプロセスがファイルを読み取ることを防止することと、信頼されていないプロセスがファイルを書き込むことを防止することと、信頼されていないプロセスがファイルを削除することを防止することと、信頼されていないプロセスがファイルを移動することを防止することと、のうちの1つ以上を含む。
本方法のさらなる実施形態では、結果を修正することは、要求プロセスが信頼されていない場合、要求プロセスに提供される結果にシードされたファイルを含めることと、要求プロセスが信頼されている場合、要求プロセスに提供される結果からシードされたファイルを除くことと、を含む。
本方法のさらなる実施形態では、シードされたファイルは、記憶媒体に記憶され、要求プロセスが信頼されるときに、要求プロセスに提示される結果から除去される。
本方法のさらなる実施形態では、シードされたファイルは、定義された名前付け規則と、シードされたファイル名のリストのうちの1つ以上を使用して識別される。
本方法のさらなる実施形態では、シードされたファイルは、要求プロセスが信頼されていない場合、要求プロセスに提示される結果に追加される。
本方法のさらなる実施形態では、シードされたファイルのみが、要求プロセスが信頼されていない場合、要求プロセスに結果として提示される。
本方法のさらなる実施形態では、ファイルシステムは、カーネルモードで動作し、要求プロセスは、ユーザモードまたはカーネルモードで動作する。
本方法のさらなる実施形態では、修正された結果のうちの1つ以上のIO要求を監視することは、修正された結果のうちの1つ以上に対する書き込みプロセスを検出することと、書き込みプロセスによって書き込まれているコンテンツが暗号化されている可能性が高いかどうかを判定することと、書き込まれているコンテンツが暗号化されている可能性が高いと判定されたときに書き込みプロセスをブロックすることと、を含む。
本開示によれば、ランサムウェア攻撃を防止するためのシステムがさらに提供され、本システムは、命令を実行するためのプロセッサと、命令を記憶するためのメモリとを備え、その命令が、プロセッサによって実行されると、ファイルシステムにおいて要求プロセスからの入力/出力(IO)要求を受信することと、要求プロセスが信頼されているプロセスであるかどうかに基づいて、要求プロセスの信頼性分類を判定することと、要求プロセスの信頼性分類に基づいて、IO要求の結果を修正することと、要求プロセスが信頼されていない信頼性分類を有すると判定されたときに、要求プロセスからの修正された結果のうちの1つ以上のIO要求を監視することと、を含む方法を実行するようにシステムを構成する。
システムのさらなる実施形態では、命令によって構成される方法は、信頼されていないプロセスのさらなるファイルアクセスを、そのプロセスが修正された結果のうちの1つ以上のファイルにアクセスしようと試みたときに制限することと、要求プロセスを隔離することと、のうちの1つ以上をさらに含む。
システムのさらなる実施形態では、さらなるファイルアクセスを制限することは、信頼されていないプロセスがファイルを読み取ることを防止することと、信頼されていないプロセスがファイルを書き込むことを防止することと、信頼されていないプロセスがファイルを削除することを防止することと、信頼されていないプロセスがファイルを移動することを防止することと、のうちの1つ以上を含む。
システムのさらなる実施形態では、結果を修正することは、要求プロセスが信頼されていない場合、要求プロセスに提供される結果にシードされたファイルを含めることと、要求プロセスが信頼されている場合、要求プロセスに提供される結果からシードされたファイルを除くことと、を含む。
システムのさらなる実施形態では、シードされたファイルは、記憶媒体に記憶され、要求プロセスが信頼されている場合、要求プロセスに提示される結果から除去される。
システムのさらなる実施形態では、シードされたファイルは、定義された名前付け規則と、シードされたファイル名のリストと、のうちの1つ以上を使用して識別される。
システムのさらなる実施形態では、シードされたファイルは、要求プロセスが信頼されていない場合、要求プロセスに提示される結果に追加される。
システムのさらなる実施形態では、シードされたファイルのみが、要求プロセスが信頼されていない場合、要求プロセスに結果として提示される。
システムのさらなる実施形態では、ファイルシステムは、カーネルモードで動作し、要求プロセスは、ユーザモードまたはカーネルモードで動作する。
システムのさらなる実施形態では、修正された結果のうちの1つ以上のIO要求を監視することは、修正された結果のうちの1つ以上に対する書き込みプロセスを検出することと、書き込みプロセスによって書き込まれているコンテンツが暗号化されている可能性が高いかどうかを判定することと、書き込まれているコンテンツが暗号化されている可能性が高いと判定されたときに書き込みプロセスをブロックすることと、を含む。
本開示によれば、命令を中に記憶した非一時的コンピュータ可読媒体がさらに提供され、その命令は、コンピュータシステムのプロセッサによって実行されると、ファイルシステムにおいて要求プロセスからの入力/出力(IO)要求を受信することと、要求プロセスが信頼されているプロセスであるかどうかに基づいて、要求プロセスの信頼性分類を判定することと、要求プロセスの信頼性分類に基づいて、IO要求の結果を修正することと、要求プロセスが信頼されていない信頼性分類を有すると判定されたときに、要求プロセスからの修正された結果のうちの1つ以上のIO要求を監視することと、を含む方法を実行するようにコンピュータシステムを構成する。
非一時的コンピュータ可読媒体のさらなる実施形態では、命令によって構成される方法は、信頼されていないプロセスのさらなるファイルアクセスを、そのプロセスが修正された結果のうちの1つ以上のファイルにアクセスしようと試みたときに制限することと、要求プロセスを隔離することと、のうちの1つ以上をさらに含む。
非一時的コンピュータ可読媒体のさらなる実施形態では、さらなるファイルアクセスを制限することは、信頼されていないプロセスがファイルを読み取ることを防止することと、信頼されていないプロセスがファイルを書き込むことを防止することと、信頼されていないプロセスがファイルを削除することを防止することと、信頼されていないプロセスがファイルを移動することを防止することと、のうちの1つ以上を含む。
非一時的コンピュータ可読媒体のさらなる実施形態では、結果を修正することは、要求プロセスが信頼されていない場合、要求プロセスに提供される結果にシードされたファイルを含めることと、要求プロセスが信頼されている場合、要求プロセスに提供される結果からシードされたファイルを除くことと、を含む。
非一時的コンピュータ可読媒体のさらなる実施形態では、シードされたファイルは、記憶媒体に記憶され、要求プロセスが信頼されている場合、要求プロセスに提示される結果から除去される。
非一時的コンピュータ可読媒体のさらなる実施形態では、シードされたファイルは、定義された名前付け規則と、シードされたファイル名のリストと、のうちの1つ以上を使用して識別される。
非一時的コンピュータ可読媒体のさらなる実施形態では、シードされたファイルは、要求プロセスが信頼されていない場合、要求プロセスに提示される結果に追加される。
非一時的コンピュータ可読媒体のさらなる実施形態では、シードされたファイルのみが、要求プロセスが信頼されていない場合、要求プロセスに結果として提示される。
非一時的コンピュータ可読媒体のさらなる実施形態では、ファイルシステムは、カーネルモードで動作し、要求プロセスは、ユーザモードまたはカーネルモードで動作する。
非一時的コンピュータ可読媒体のさらなる実施形態では、修正された結果のうちの1つ以上のIO要求を監視することは、修正された結果のうちの1つ以上に対する書き込みプロセスを検出することと、書き込みプロセスによって書き込まれているコンテンツが暗号化されている可能性が高いかどうかを判定することと、書き込まれているコンテンツが暗号化されている可能性が高いと判定されたときに書き込みプロセスをブロックすることと、を含む。
本開示によれば、ランサムウェア攻撃を防止する方法がさらに提供され、本方法は、システム構造を処理して、複数のファイルタイプと複数のファイルタイプのそれぞれにアクセスする際に使用されるプロセスとの間におけるファイルタイプのプロセスマッピングを自動的に判定することと、プロセスマッピングするためのファイルタイプにおけるプロセスの各々について、そのプロセスの信頼度を評価することと、ファイルシステムにおいて要求プロセスからの入力/出力(IO)要求を受信することと、要求プロセスが信頼されているプロセスであるかどうかを判定することと、要求プロセスが信頼されているかどうかの判定に基づいて、IO要求を許可またはブロックすることと、を含む。
さらなる実施形態では、本方法は、プロセスマッピングするためのファイルタイプにおけるプロセスの各々について、信頼性について評価されたプロセスのフィンガープリントを生成することと、要求プロセスが信頼されているかどうかを判定するとき、要求プロセスの要求プロセスフィンガープリントを判定することと、要求プロセスフィンガープリントを、信頼性について評価されたプロセスの前回判定されたフィンガープリントと比較することと、をさらに含み、IO要求を許可またはブロックすることは、要求プロセスフィンガープリントと前回判定されたフィンガープリントの比較にさらに基づいている。
本方法のさらなる実施形態では、要求プロセスフィンガープリントと前回判定されたフィンガープリントが一致しない場合、要求プロセスの信頼度を再評価する。
本方法のさらなる実施形態では、システム構造は、Windowsレジストリを含む。
本方法のさらなる実施形態では、Windowsレジストリを処理して、プロセスマッピングするためのファイルタイプを自動的に判定することは、登録されたアプリケーションをレジストリ内の第1の既知の場所から判定することであって、第1の既知の場所内の各登録されたアプリケーションがレジストリ内のそれぞれの第2の場所を示す、判定することと、判定された登録されたアプリケーションの各々について、それぞれの第2の場所から、それぞれの登録されたアプリケーションに関連付けられたファイルタイプを判定することであって、ファイルタイプの各々はレジストリ内の第3の場所を示す、判定することと、ファイルタイプの各々について、それぞれの第3の場所から、ファイルシステム上に実行可能に位置するそれぞれのプロセスに関連付けられた1つ以上のファイルアクセスコマンドを判定することと、を含む。
本方法のさらなる実施形態では、システム構造は、macOSシステム構造を含む。
本方法のさらなる実施形態では、macOSシステム構造を処理して、プロセスマッピングするためのファイルタイプを自動的に判定することは、APIを使用して所与のホスト上の複数のUTIを識別し、UTIマッピングを、それらをサポートする登録されたアプリケーションまたはバンドルに相関させること、を含む。
本開示によれば、ランサムウェア攻撃を防止するためのシステムがさらに提供され、本システムは、命令を実行するためのプロセッサと、命令を記憶するためのメモリと、を備え、その命令は、プロセッサによって実行されると、システム構造を処理して、複数のファイルタイプと、複数のファイルタイプのそれぞれにアクセスする際に使用されるプロセスとの間でプロセスマッピングするためのファイルタイプを自動的に判定することと、プロセスマッピングするためのファイルタイプにおける各プロセスについて、そのプロセスの信頼度を評価することと、ファイルシステムにおいて要求プロセスからの入力/出力(IO)要求を受信することと、要求プロセスが信頼されているプロセスであるかどうかを判定することと、要求プロセスが信頼されているかどうかの判定に基づいて、IO要求を許可またはブロックすることと、を含む方法を実行するようにシステムを構成する。
システムのさらなる実施形態では、命令を実行することによって構成される方法は、プロセスマッピングするためのファイルタイプにおける各プロセスについて、信頼性について評価されたプロセスのフィンガープリントを生成することと、要求プロセスが信頼されているかどうかを判定するとき、要求プロセスの要求プロセスフィンガープリントを判定することと、要求プロセスフィンガープリントを、信頼性について評価されたプロセスの前回判定されたフィンガープリントと比較することと、をさらに含み、IO要求を許可またはブロックすることは、要求プロセスフィンガープリントと前回判定されたフィンガープリントとの比較にさらに基づいている。
システムのさらなる実施形態では、要求プロセスフィンガープリントおよび前回判定されたフィンガープリントが一致しない場合、要求プロセスの信頼度を再評価する。
システムのさらなる実施形態では、システム構造は、Windowsレジストリを含む。
システムのさらなる実施形態では、Windowsレジストリを処理して、プロセスマッピングするためのファイルタイプを自動的に判定することは、登録されたアプリケーションをレジストリ内の第1の既知の場所から判定することであって、第1の既知の場所内の各登録されたアプリケーションがレジストリ内のそれぞれの第2の場所を示す、判定することと、判定された登録されたアプリケーションの各々について、それぞれの第2の場所から、それぞれの登録されたアプリケーションに関連付けられたファイルタイプを判定することであって、ファイルタイプの各々はレジストリ内の第3の場所を示す、判定することと、ファイルタイプの各々について、それぞれの第3の場所から、ファイルシステム上に実行可能に位置するそれぞれのプロセスに関連付けられた1つ以上のファイルアクセスコマンドを判定することと、を含む。
システムのさらなる実施形態では、システム構造は、macOSシステム構造を含む。
システムのさらなる実施形態では、macOSシステム構造を処理して、プロセスマッピングするためのファイルタイプを自動的に判定することは、APIを使用して所与のホスト上の複数のUTIを識別し、UTIマッピングを、それらをサポートする登録されたアプリケーションまたはバンドルに相関させること、を含む。
本開示によれば、命令を中に記憶した非一時的コンピュータ可読媒体がさらに提供され、その命令は、コンピュータシステムのプロセッサによって実行されると、システム構造を処理して、複数のファイルタイプと、複数のファイルタイプのそれぞれにアクセスする際に使用されるプロセスとの間でプロセスマッピングするためのファイルタイプを自動的に判定することと、プロセスマッピングするためのファイルタイプにおけるプロセスの各々について、プロセスの信頼度を評価することと、ファイルシステムにおいて要求プロセスからの入力/出力(IO)要求を受信することと、要求プロセスが信頼されているプロセスであるかどうかを判定することと、要求プロセスが信頼されているかどうかの判定に基づいて、IO要求を許可またはブロックすることと、を含む方法を実行するようにコンピュータシステムを構成する。
非一時的コンピュータ可読媒体のさらなる実施形態では、命令によって構成される方法は、プロセスマッピングするためのファイルタイプにおけるプロセスの各々について、信頼性について評価されたプロセスのフィンガープリントを生成することと、要求プロセスが信頼されているかどうかを判定するとき、要求プロセスの要求プロセスフィンガープリントを判定することと、要求プロセスフィンガープリントを、信頼性について評価されたプロセスの前回判定されたフィンガープリントと比較することと、をさらに含み、IO要求を許可またはブロックすることは、要求プロセスフィンガープリントと前回判定されたフィンガープリントとの比較にさらに基づいている。
非一時的コンピュータ可読媒体のさらなる実施形態では、要求プロセスフィンガープリントおよび前回判定されたフィンガープリントが一致しない場合、要求プロセスの信頼度を再評価する。
非一時的コンピュータ可読媒体のさらなる実施形態では、システム構造は、Windowsレジストリを含む。
非一時的コンピュータ可読媒体のさらなる実施形態では、Windowsレジストリを処理して、プロセスマッピングするためのファイルタイプを自動的に判定することは、登録されたアプリケーションをレジストリ内の第1の既知の場所から判定することであって、第1の既知の場所内の各登録されたアプリケーションがレジストリ内のそれぞれの第2の場所を示す、判定することと、判定された登録されたアプリケーションの各々について、それぞれの第2の場所から、それぞれの登録されたアプリケーションに関連付けられたファイルタイプを判定することであって、ファイルタイプの各々はレジストリ内の第3の場所を示す、判定することと、ファイルタイプの各々について、それぞれの第3の場所から、ファイルシステム上に実行可能に位置するそれぞれのプロセスに関連付けられた1つ以上のファイルアクセスコマンドを判定することと、を含む。
非一時的コンピュータ可読媒体のさらなる実施形態では、システム構造は、macOSシステム構造を含む。
非一時的コンピュータ可読媒体のさらなる実施形態では、macOSシステム構造を処理して、プロセスマッピングするためのファイルタイプを自動的に判定することは、APIを使用して所与のホスト上の複数のUTIを識別し、UTIマッピングを、それらをサポートする登録されたアプリケーションまたはバンドルに相関させること、を含む。
本開示のさらなる特徴および利点は、添付の図面と組み合わせて、以下の詳細な記載から明らかになるであろう。
ランサムウェア攻撃を防止または緩和するためのコンピュータシステムを示す。 ランサムウェア攻撃を緩和する方法を示す。 ランサムウェア攻撃を緩和する際に使用するためのそれぞれの方法を示す。 ランサムウェア攻撃を緩和する際に使用するためのそれぞれの方法を示す。 ランサムウェア攻撃を緩和する際に使用するためのそれぞれの方法を示す。 ランサムウェア攻撃を緩和する際に使用するためのそれぞれの方法を示す。 ランサムウェア攻撃を緩和する際に使用するためのそれぞれの方法を示す。 ランサムウェア攻撃プロセスおよび攻撃の緩和を示す。 ランサムウェア緩和機能を実装するコンピュータシステム上のファイルにアクセスする信頼されているプロセスを示す。 ランサムウェア緩和機能を実装するコンピュータシステム上のファイルにアクセスする信頼されていないプロセスを示す。 ランサムウェア攻撃プロセスおよび攻撃のさらなる緩和を示す。 プロセスベースの攻撃緩和方法を示す。 さらなるプロセスベースの攻撃緩和方法を示す。 ファイルタイプに関連付けられたプロセスの信頼性を判定する方法を示す。 ファイルタイプに関連付けられたプロセスを判定する際に使用されるシステム構造を示す。
ランサムウェア攻撃は、プロセスが暗号化されたコンテンツでファイルを上書きすることを防ぐか、またはリモートの場所にコピーされたファイルが直接またはファイルリネームセマンティクスを利用することによって削除されることを防止することによって、防止または緩和することができる。ほとんどのプロセスは、適切な権限でファイルの内容を上書きすることができる信頼されているプロセスであるが、いくつかのプロセスは信頼度が不明であり得、ランサムウェア攻撃ではない可能性が高い場合にのみデータを上書きすることを許可されるべきである。本明細書でさらに記載のように、可能性の高いランサムウェアプロセスは、例えば、ディレクトリリストが要求されたときに信頼されていないプロセスに提示されるファイルをシードすることを含む、様々な方法で識別することができる。次いで、シードされたファイルへのアクセスを監視し得、信頼されていないプロセスがシードされたファイルにアクセスしている場合、それ以上のアクセスをブロックすることができ、信頼されていないプロセスを中断または隔離するなどの他の緩和アクションを講じることができる。ランサムウェア防止機能は、システムのすべての入力/出力(IO)要求を処理することができるファイルシステムフィルタまたはミニフィルタとして実装され得る。ファイルをシードすることはランサムウェアプロセスを検出するのに役立つことができるが、どのプロセスが信頼されることにならないかを判定しようと試みるのではなく、どのプロセスが信頼されるかを判定することが可能である。異なるファイルタイプにアクセスするためにどのプロセスが信頼されるかを判定することは、様々なファイルタイプにアクセスおよび/または編集するために使用され得るアプリケーションを識別するために個人が構成することを必要とせずに行うことが困難であり得る。ファイルをシードすることによって可能性のあるランサムウェア攻撃を識別することの代替として、またはそれに追加して、以下でさらに記載のように、異なるファイルタイプにアクセスするために使用されるプロセスを自動的に判定し、プロセスが信頼されるかどうかを判定することが可能である。
図1は、ランサムウェア攻撃を防止または緩和するためのコンピュータシステムを示している。コンピュータシステムは、例えば、デスクトップコンピュータ、ラップトップ、サーバ、またはWindows(商標)、macOS(商標)、Linux(商標)、Chrome(商標)、Android(商標)、iOS(商標)、iPadOS(商標)などのオペレーティングシステムを実行する他のコンピューティングデバイスであり得る。記載のプロセスは、Windows(商標)オペレーティングシステムに適用可能であるが、ランサムウェア攻撃に対して脆弱なオペレーティングシステムにも適用可能であり得る。コンピュータシステム100は、スタンドアロンコンピュータであり得るか、または企業ネットワークなどのネットワーク環境に位置し得るか、またはパーソナルコンピュータであり得る。コンピュータの製造または形状に関係なく、コンピュータシステム100は、様々な機能を提供するようにコンピュータシステム100を構成するために命令を実行するための中央処理装置(CPU)102を備え得る。コンピュータシステム100は、CPU102に動作可能に結合され、CPU102によって実行するための命令106を記憶するメモリ104を備える。コンピュータ100は、ハードディスクドライブ108として示される不揮発性ストレージをさらに含み得るが、他のデバイスは、例えば、ソリッドステートドライブ、フラッシュメモリ、光ストレージ、ネットワーク接続ストレージ、ネットワーク共有などを含む不揮発性ストレージが可能であり得る。さらに、ハードディスクドライブ108は、コンピュータ100の内部にあるように示されているが、ハードドライブまたは他の不揮発性ストレージがコンピュータ100の外部にあり得ることが可能である。不揮発性ストレージデバイスは、様々なファイル110を1つ以上のディレクトリに記憶し得る。
ファイル110は、1つ以上のディレクトリに記憶され得、ディレクトリは、個人、法人、または他のエンティティのいずれかにとって価値があるかまたは機密であり得るファイルを含み得る。例えば、ファイルには、ユーザドキュメント、マルチメディアファイル、財務ディレクトリに記憶された企業の財務情報が含まれ得、そのため、ファイルへのアクセスが、例えば、外部の関係者がファイルを暗号化することによって拒否された場合、ユーザまたは企業は影響を受け得る。価値のあるファイルまたは機密ファイルを有するディレクトリは、ランサムウェア攻撃に対して脆弱であり得る。他のファイルは、機密ではないか、またはそれらへのアクセスがブロックされた場合に容易に復元され得る。例えば、システムファイルは、アプリケーションまたはオペレーティングシステムを再インストールすることによって復元され得る。
記憶された命令は、実行されると、コンピュータの基本機能をサポートするオペレーティングシステム(OS)を提供するようにコンピュータ100を構成し得る。OS112は、ユーザモード114およびカーネルモード116を提供し得る。アプリケーションは、一般に、ユーザモード114で動作し、OSのコア機能はカーネルモード116で動作する。アプリケーションは、ユーザモードにおいて1つ以上のプロセス118として、または1つ以上のプロセスに常駐する1つ以上のダイナミックライブラリとして実行される。プロセスは、アプリケーションプログラミングインターフェース(API)またはユーザモードドライバなどの定義されたインターフェースを通じて、カーネルモード内の機能にアクセスすることができる。例えば、ファイルエディタアプリケーションは、ディレクトリ内のファイルをリストするためのAPIを使用してディレクトリ情報を要求し得る。OSは、入力/出力(IO)マネージャ120、またはファイルI/Oを管理する他のオペレーティングシステムコンポーネント、アプリケーション間の通信またはアプリケーションのプロセスを管理する他のオペレーティングシステムコンポーネント、および複数のデバイスドライバによって提供されるインターフェースを含み得る。オペレーティングシステムとデバイスドライバとの間の通信は、オペレーティングシステムコンポーネントとドライバとの間で送信されるI/O要求パケット(IRP)を使用して行われ得る。ドライバは、層状モデルを使用し得る。例えば、ドライバのスタックは、ハードドライブ上に記憶されたファイルにアクセスするプロセスに関連付けられ得る。
OS112は、プロセスが1つ以上のストレージデバイス上でファイルを作成し、読み取り、リストし、更新し、および削除することを可能にするファイルシステム122を提供し得る。IOマネージャ120において受信されたファイル要求は、ファイルシステムに転送され得る。ファイルシステム122は、フィルタがファイルシステム要求に適用されることを可能にし得る。例えば、要求プロセスが要求されたファイルへのアクセスを認証されているかどうかを判定するフィルタが適用され得る。フィルタは、1つ以上のファイルフィルタとして提供され得るか、またはフィルタマネージャ124に登録された1つ以上のミニフィルタとして提供され得る。フィルタマネージャ124は、要求を傍受し、IRPをフィルタおよび登録されたミニフィルタに指定された順序で渡す。図示のように、複数のミニフィルタ126、128は、同じフィルタマネージャ124に登録され得る。ランサムウェア防止機能は、フィルタマネージャ124に登録されたミニフィルタ128として、またはレガシーファイルフィルタ130として提供され得る。フィルタおよびミニフィルタは、要求および/または結果を修正し得る。ファイルシステムドライバ132は、修正された要求を受信し、それを適切なストレージドライバスタック134に転送する。ストレージドライバスタック134は、ハードウェアに対する要求を準備し、結果を返す。結果は、結果を修正するために、フィルタおよびミニフィルタに戻され得る。図1には示されていないが、ランサムウェア防止機能は、File System Filterドライバとして提供され得る。
ランサムウェア防止機能は、悪意のあるプロセスが実際のファイルを識別することを困難にするためにファイルリストを改変することによってランサムウェア攻撃を防止し得る。さらに、改変されたファイルリストは、悪意のあるプロセスを識別するために使用され得る。追加的に、または代替的に、ランサムウェア防止機能は、プロセスが信頼されるかどうかに基づいて、ファイルアクセスを防止し得る。プロセス判定機能136は、異なるファイルタイプにアクセスするためにコンピュータによってどのプロセスが使用されるかを判定するために使用され得る。次いで、信頼性判定機能138は、プロセスまたはプロセスの実行可能ファイルを、それが信頼されるかどうかを判定するために評価し得る。プロセスが信頼されることになるかどうかは、コンピューティングデバイス、ユーザ、エンティティなどに応じて異なり得る。例えば、ホームユーザは、既知の開発者または他の既知のソースからのアプリケーションまたはアプリケーションのプロセスを信頼し得るが、企業環境では、使用され得る、または信頼されるアプリケーションの制限されたリストが存在し得る。
以下でさらに詳細に記載するように、ランサムウェアミニフィルタ128、または可能性のあるランサムウェア(または悪意のあるソフトウェア)フィルタ機能は、プロセスからディレクトリ要求または要求の結果を受信し得る。プロセスに提供されることになる結果は、要求プロセスが信頼されているプロセスまたは既知のプロセスと見なされるかどうかに基づいて修正することができる。信頼されているプロセスには、ディレクトリに記憶された実際のファイルを識別する結果が提示されるが、信頼されないまたは信頼されていないプロセスに表示される結果は、実際のファイルの前にアクセスされる可能性がより高いディレクトリリスト内の追加のシードファイルとともにシードされる。プロセスが信頼されるかどうかは、様々な方法で判定され得る。例えば、信頼されているプロセスに対してホワイトリストが提供され、ホワイトリスト上にないプロセスは信頼されていないと見なされ得る。さらに、プロセスの信頼性分類は、プロセスの特性に基づいて定期的に判定され得る。例えば、信頼性分類エンジンは、アプリケーションがインストールされた場所、名前、プロセスが実行された時間、プロセスのネットワークアクティビティ、プロセスのファイルシステムアクティビティ、アドレス空間内にロードされた署名付き/署名なし動的モジュール、アドレス空間を有する非帰属可能実行可能コードなどを含む様々な要因に基づいて、プロセスが信頼されるか信頼されていないかを判定し得る。信頼されていないプロセスは、信頼されることがあり得ない正当なプロセスと、明示的に信頼されない不当なプロセスの両方を含み得る。ランサムウェアミニフィルタ128機能は、プロセスがシードされたファイルのいずれかにアクセスしようと試みているかどうかを判定するために、信頼されないプロセスからのファイルアクセス要求を監視し得る。プロセスがシードされたファイルにアクセスしようと試みる場合、ランサムウェアミニフィルタ機能は、プロセスのさらなるファイルアクセスを制限し得る。シードされたファイルは、プロセスに返される結果の先頭に配置するように名前付けされ得る。例えば、シードファイルは実際のファイルの前にアルファベット順に挿入され得る。シードファイルは、これらに限定されないが、.DOC、.DOCX、.XLA、.XLSX、.PPT、.PPTX、.ODT、.RTF、.TXT、.PDF、.JPG、.MPG、.MP4などの一般的なファイル拡張子タイプに関連付けられる。プロセスがランサムウェアプロセスである場合、またはプロセスがインジェクトされたランサムウェアを組み込んでいる場合、プロセスはディレクトリリスト内の最初から始まるファイルを暗号化しようと試み得るが、ランサムウェア機能は、ディレクトリリストの先頭にシードされたファイルについて試みられた暗号化を検出することができる。ランサムウェアミニフィルタ128を使用することにより、信頼されているプロセスのためのファイルシステムのパフォーマンスに悪影響を与えることなく、ランサムウェア攻撃からコンピュータシステムが保護され得る。
図2は、ランサムウェア攻撃を緩和する方法を示している。方法200は、オペレーティングシステムのファイルシステム内に実装され得、カーネルモードで動作する。例えば、ランサムウェア防止方法200は、ファイルシステムのフィルタマネージャに登録するミニフィルタとして実装され得る。方法200は、ディレクトリリストを取り出すためのIO要求(202)を受信する。IO要求は、結果が取り出される前に受信され得るか、または結果とともに受信され得る。IO要求は、要求プロセスに関連付けられており、ファイルシステムのフィルタ、ミニフィルタ、ドライバを含むファイルシステムコンポーネント間で送信することができるIO要求パケット(IRP)で提供され得る。コンポーネントの各々は、リクエストおよび/または結果を処理するときにIRPを修正することができる。IO要求を受信した後に、要求プロセスの信頼性分類が判定される(204)。信頼性分類は、プロセスが信頼されるか信頼されないかを識別し得る。信頼されないプロセスは、信頼度が不明であり得る。すなわち、信頼されていないプロセスは、それでも、ファイルシステムにアクセスすることができるはずの有効なプロセスであり得る。すなわち、信頼されていないすべてのプロセスが安全でないと見なされるわけではない。要求プロセスの信頼性分類が判定されると、それを使用して、判定された信頼性分類に基づいて、IO要求の結果を修正する(206)。信頼されると判定された要求プロセスには、ディレクトリリストのIOリクエストに対する結果がランサムウェア防止機能が存在しないかのように提示される。対照的に、信頼されていないプロセスには、1つ以上のシードされたファイルを含むIO要求に対する結果が表示される。以下でさらに詳細に記載のように、シードされたファイルは、ハードドライブに記憶され、信頼されているプロセスに提示される結果から除去されるか、またはシードされたファイルが信頼されていないプロセスに提示される結果に追加され得る。信頼されないプロセスに提示されるシードされたファイルは、結果リストの一番上にシードされたファイルの位置を定めるように名前付けされ得、またはファイルは、結果リスト全体にシードされ得る。ランサムウェアプロセスは、一般に、結果リストの一番上でファイルの暗号化を開始し得、そのため、ディレクトリ内の実際のファイルを暗号化する前に、シードされたファイルのうちの1つを暗号化しようと試みることになる。信頼されていない要求プロセスのさらなるIO要求は、修正された結果の要求について監視される(208)。IO要求を監視して、信頼されないプロセスによるシードファイルへのファイルアクセスを検出し得る。シードされたファイルはランサムウェア攻撃を検出するために作成されるため、正常なプロセスは、信頼されていない場合でも、典型的にはシードされたファイルにアクセスしない。以下でさらに詳細に記載するように、ファイルアクセスは、シードファイルを読み取ること、シードファイルに書き込むこと、ならびに場合によっては、講じられるべき適切なアクションを判定するのを助けるために、シードされたファイルに書き込まれているコンテンツを比較することについて監視され得る。例えば、信頼されないプロセスは、アクションを講ずることなくシードされたファイルを読み取ることが可能であり得る一方で、シードされたファイルに書き込むことまたはシードされたファイルを削除しようと試みることが、緩和アクションをトリガし得る。IO要求を監視した後、信頼されていないプロセスからのさらなるファイルアクセスは制限され得る(210)。例えば、プロセスがシードされたファイルに書き込もうと試みる場合、プロセスはさらなるファイルアクセスからブロックされ得る。さらに、プロセスは隔離され(212)、強制終了され、または中断され、または不当なプロセスとしてマーク付けされ得る。
図3Aおよび図3Bはそれぞれ、ランサムウェア攻撃を緩和する際に使用するためのそれぞれの方法を示している。図3Aは、シードされたファイルがハードドライブまたは他の不揮発性記憶媒体に保存される方法を示している。方法300aは、ファイルを記憶媒体にシードする(302)。ファイルは、すべてのディレクトリに、または選択したディレクトリにのみシードされ得る。ファイルをシードすることは、シードされたファイルのタイプが、一般に、ディレクトリ内の実際のファイルのタイプと一致するように実行され得る。例えば、ディレクトリが半分がワード文書であり半分が画像であるファイルを有する場合、シードされたファイルは、一般に、組成が一致し得るため、シードされたファイルの半分はワード文書であり、残りの半分は画像である。結果リスト内の様々な場所にシードされたファイルの位置を定めるために、シードされたファイルの名前が使用され得る。ディレクトリリストの結果は、典型的には、アルファベット順に提示され、そのため、「1111seedfile.doc」という名前のシードファイルが結果の最初に現れることになる。ランサムウェアは結果の一番上でファイルの暗号化を開始する可能性が高いため、結果リストの一番上にシードされたファイルの位置を定めることは特に有用であると考えられるが、結果全体にわたって異なる場所にシードされたファイルの位置を定めることも可能である。さらに、わずか単一のファイルを含む限られた数のファイルのみをシードすることが可能であるが、ディレクトリ内の実際のファイルごとにファイルをシードすることも可能である。ファイルをシードすることは、最初に1回行われるように示されているが、シードされたファイルを継続的に更新または修正することが可能である。ファイルがシードされた後、ディレクトリリストに対するIO要求の結果が受信される(304)。その結果は、実ファイルおよびシードされたファイルの両方を含むことになる。要求プロセスの信頼性分類が判定され(306a)、要求プロセスが信頼される場合(306aで「はい」)、シードされたファイルが結果から除去される(308a)。結果内のシードされたファイルは、様々な方法で識別され得る。例えば、シードされたファイルの名前のリストが維持され、結果内のファイルのいずれかが存在するかどうかを判定するために検査され得る。追加的または代替的に、結果のファイルの特性を使用して、シードされたファイルを識別し得る。例えば、ファイルの名前は、特定の名前付け規則と比較することなどによって、シードされたファイルを識別するために使用され得る。ファイルサイズおよび/または作成日などの追加の特性を使用して、シードされたファイルを識別し得る。シードされたファイルが結果から除去されると、結果を要求プロセスに返すことができる(310)。信頼されているプロセスに提示されたシードファイルを削除することによって、実際のファイルのみが提示されることになる。要求プロセスが信頼されると判定されない場合(306aでは「いいえ」)、シードされたファイルを含む結果が要求プロセスに返される(310)。したがって、信頼されないプロセスは、実際のファイルとシードされたファイルの両方を受信する。
図3Bは、シードされたファイルがハードドライブまたは他の不揮発性記憶媒体に保存されず、逆に結果に挿入される方法を示している。図3Aを参照して上に記載のように、シードされたファイルはハードドライブに記憶され、次いで、信頼されているプロセスに提示される結果から除去された。対照的に、方法300bは、一切のシードされたファイルをハードドライブまたは他の不揮発性記憶媒体に記憶せず、逆に、信頼されないプロセスに提示される結果にファイルをシードする。方法300aと同様に、方法300bは、ディレクトリリストに対するIO要求の結果を受信する(304)。プロセスの信頼性分類が判定され(306b)、プロセスが信頼されない場合(306bで「いいえ」)、結果にファイルがシードされる(308b)。結果にファイルをシードすることは、上記のハードドライブにファイルをシードすることと類似の方法で実行され得る。例えば、ファイルの名前を使用して、シードされたファイルを結果内に位置決めし得る。シードされたファイルのタイプはまた、ディレクトリのファイルタイプ組成と一致するように選択され得る。結果がシードされたファイルで修正されると、結果が返される(310)。プロセスが信頼されているプロセスであると判定された場合(306bで「はい」)、結果がシードされたファイルを伴わずに返される(310)。
上記のように、シードファイルは信頼されないと判定されたプロセスに提示され得る。ファイルは様々な方法でシードされ得る。例えば、ディレクトリは、結果リストの一番上に位置するように名前付けされた単一のファイルでシードされ得、またはシードされたファイルは、実際のファイルの中の1つ以上の場所に位置するように名前付けされ得る。ディレクトリにシードされるファイルは、ファイルがシードされているディレクトリに基づいて変化し得る。例えば、ディレクトリは、ファイルの名前とともにどのタイプのファイルが存在するかを判定するためにプロファイルされ得る。ファイルは、シードされたファイルのプロファイルがディレクトリのプロファイルと一致するように、ディレクトリのプロファイルに基づいてシードされ得る。シードされたファイルの名前は、シードされたファイルを所望の場所に配置するように生成され得る。単一のファイルがディレクトリにシードされ得るか、または複数のファイルがシードされ得る。ディレクトリ内の実際のコンテンツファイルごとにファイルをシードすることが可能であり、シードされたファイルは、実際のファイル名と比較してアルファベット順が低くなるように名前付けされ、シードされたファイルが実際のファイルの前にリストされることを確実にする。追加的または代替的に、ディレクトリは、新しい実コンテンツファイルが作成され、および/または既存のコンテンツファイルが除去されたときにシードされたファイルを更新するために、監視され得る。シードされたファイルを動的に更新することは、ランサムウェア攻撃を防止する際により効果的であり得るが、必要とされる処理は、コンピュータシステムの処理能力に応じて、コンピュータシステムに許容できない処理負荷をかけ得る。信頼されないプロセスに提示されるディレクトリ結果にファイルをシードすることに加えて、ランサムウェア防止機能はまた、プロセスがシードされたファイルにアクセスしようと試みているときを検出して適切なアクションを講じるために、信頼されないプロセスからのIO要求を監視する。
上記のように、プロセスに結果を提供するとき、要求プロセスの信頼特性が判定され得る。プロセスの信頼性特性の判定は、アプリケーションまたはプロセスがどこからインストールされたか、プロセスまたはアプリケーションがいつインストールされたか、正当にロードされたダイナミックライブラリ、インジェクトされたダイナミックライブラリ(存在する場合)、プロセスまたはアプリケーションが実行される頻度、アプリケーションまたはプロセスによって正常にアクセスされるファイルとディレクトリを含む、多数の要因に基づき得る。特定のプロセスは信頼され得るが、信頼されないすべてのプロセスが等しく信頼され得ないわけではない。信頼されないプロセスがシードされたファイルにアクセスするかまたはアクセスしようと試みるときに講じるべき適切なアクションは、例えば、アクセスされているファイルが存在する特定のディレクトリ、要求プロセスの信頼度などを含む、いくつかの要因に依存し得る。
図4A、図4B、および図4Cは各々、ランサムウェア攻撃を防止する際に使用するためのそれぞれの方法を示している。図4Aに示されるように、方法400は、信頼されないプロセスからのシードされたファイルに対するファイル読み取りIO要求を検出し得る(402)。シードされたファイルのファイル読み取りを検出すると、プロセスによる一切のさらなるファイルシステムアクセスがブロックされ得る(404)。したがって、プロセスがシードされたファイルを読み取ろうと試みる場合、一切の他のファイルシステムアクションを実行することを防止し得、そのため、プロセスがランサムウェアプロセスである場合、一切のファイルを暗号化することができなくなる。プロセスがさらなるファイルシステムアクセスができないようにブロックした後、プロセスがブロックされるべきであることを確認するようにローカルユーザまたは管理者に促すことが可能である(406)。その促しは、ローカルコンピュータ上であり得るか、ネットワーク管理者またはセキュリティ担当者に適切なアクションを講じるためのリモート通知であり得る。促しまたは通知がローカルまたはリモートで提供されるかどうかにかかわらず、促しは、ブロックを確認すること、サイレントブロックに関する通知を提供すること、および/または講じられたアクションについて管理者に通知することであり得る。ファイルシステムアクセスをブロックした後に発生するように示されているが、実際にプロセスをブロックする前に、プロセスをブロックすべきであることを確認するようにユーザまたは管理者に促すことが可能である。さらに、ユーザまたは管理者に促すことは、例えば、確認ボックスをユーザに表示すること、ブロックされたプロセスのリストをユーザに表示することなどを含む、様々な方法で行われ得る。
図4Bは、方法410を示しているが、方法410は、上記のようにシードファイルに対する読み取りを検出するのではなく、シードファイルに対する書き込みIO要求を検出することを除いて、方法400と類似している(412)。シードファイルに書き込もうと試みると、プロセスによるさらなるファイルシステムアクセスがブロックされ得る(414)。上記のように、プロセスによってファイルシステムアクセスをブロックした後、ユーザまたは管理者は、図4Aに関して上記のように、プロセスがブロックされるべきであることを確認するように促され得る。
図4Cは、信頼されないプロセスに対してファイルアクセスを制限するさらなる方法420を示している。方法420は、信頼されないプロセスからの、シードされたファイルを読み取るIO要求を検出する(422)。読み取りアクセスを検出すると、シードファイルの内容が記憶される(424)。シードファイルが標準のフォーマットおよびコンテンツを使用している場合、シードファイルはすでに記憶されている場合があることに留意されたい。シードファイルへの書き込みを検出すると(426)、ファイルに書き込まれているコンテンツが元のコンテンツと比較され(428)、書き込まれているファイルが暗号化されている可能性が高いかどうかを判定する(430)。ファイルの先頭にあるコンテンツ、または典型的にはあまり変化しないファイルの場所を比較することによって、ファイルが暗号化されているかどうかを判定することが可能であり得る。例えば、ファイルは、ファイルの内容が変更されても実質的に変化しない場合があるヘッダセクションを有し得る。プロセスがファイルを暗号化しようと試みるとき、ヘッダも暗号化され得、そのため、元のファイルのヘッダと比較して実質的に変化することになる。書き込みがファイルを暗号化していない可能性が高いと判定された場合(430で「いいえ」)、プロセスによるさらなるファイルシステムアクセスが許可され得る(432)。ただし、ファイル書き込みがコンテンツを暗号化している可能性が高いと判定された場合(430で「はい」)、プロセスによるさらなるファイルシステムアクセスがブロックされ得る(434)。ユーザまたは管理者は、図4Aに関して上記のように、プロセスによるファイルシステムアクセスをブロックすることを確認するように促され得る(436)。
図4A~図4Cを参照して上記したように、様々な方法でプロセスに対してファイルシステムアクセスを制限することが可能である。方法400、410、または420のうちのいずれが使用されるかは、コンピュータシステム上のデータの機密性の高さ、信頼されないコンピュータ上で動作するプロセスの数、および/または他の可能な要因に基づき得ることが理解されよう。
図5は、ランサムウェア攻撃プロセスおよび攻撃の可能な防止を示している。最初にランサムウェアのプロセスについて記載し、次いで上記のランサムウェア防止機能がどのようにかかるランサムウェア攻撃を防止することができるかについて記載する。プロセス500は、ランサムウェアプロセスがディレクトリリストを要求することから始まる(502)。ランサムウェアプロセスは、ディレクトリリスト結果を受信し、それが価値のあるディレクトリであるかどうかを判定し得る(504)。ランサムウェアがディレクトリを脆弱であると見なすかどうかは、例えば、ディレクトリに存在するファイルのタイプ、ディレクトリの名前、ファイルの数などに基づき得る。ディレクトリがユーザにとって価値のあるデータまたは機密データを含有するために脆弱であると見なされない場合(504で「いいえ」)、ランサムウェアプロセスは次のディレクトリに進み得る(508)。ディレクトリが脆弱であると見なされる場合(504で「はい」)、ファイルが暗号化され得る(506)。暗号化は、典型的には、結果リストの最初のファイルから始まり、ファイルの各々について(510)、プロセスは、ファイルのコンテンツを読み取り(512)、ファイルを暗号化し(514)、暗号化されたファイルを書き込み(516)、次いで、結果リスト内の次のファイルに進む(518)。上記のように、マルウェア防止機能がないと、マルウェアプロセスは価値のあるファイルを暗号化し、身代金を手中にしてファイルを復号化し得る。
上記のマルウェア防止機能を使用して、図5に記載されるようなマルウェアプロセスが一切のファイルを暗号化することを防止し得る。図5に示されるように、ランサムウェアプロセスがディレクトリリストを要求すると、マルウェア防止機能は、返されるディレクトリリストにシードされたファイルを挿入する(520)。上記のように、シードされたファイルは、ディレクトリリストの一番上に位置するように名前付けされ得る。ランサムウェアプロセスがファイルの暗号化を開始すると、最初にファイル読み取りはシードされたファイルであることになり、ランサムウェア防止機能がアクセスを監視し、ファイルシステムへのさらなるアクセスを防止することができる(522)。したがって、ランサムウェアプロセスは、ストレージから、またはストレージへ、さらに一切の読み取りまたは書き込みを行うことができなくなる。ランサムウェア防止が、プロセスがファイルを読み取ることを可能にする場合、ランサムウェアプロセスはファイルを暗号化し、次いで暗号化されたコンテンツをファイルに書き込もうと試み得る。ランサムウェア防止プロセスは、シードされたファイルへの試みられた書き込みを検出し、さらなるファイルシステムアクセスをブロックし(524)、したがって、一切の実際のファイルが暗号化されることを防止し得る。代替的に、ランサムウェア防止機能は、書き込まれているコンテンツをシードされたファイルの元のコンテンツと比較して、ファイルが暗号化されているかどうかを判定し得、暗号化される可能性が高い場合、プロセスはさらなるファイルシステムアクセスを行うことをブロックされ得る。
上記のように、ランサムウェア防止機能は、信頼度が不明なプロセスがファイルを暗号化することを防止する一方で、信頼されているプロセス、信頼度が不明な正当なプロセスさえもがファイルシステムにアクセスすることを依然として可能にする。
図6Aは、信頼されているプロセスが、ランサムウェア緩和機能を実装するコンピュータシステム上のファイルにアクセスすることを示している。図示のように、信頼されているプロセスがファイルにアクセスしようと試みると、最初にディレクトリリストを要求し(602)、ディレクトリリストは実際のファイルのリストを返すことになる(604)。信頼されているプロセスは、ファイルのうちの1つを読み取り得(606)、例えば、画像608を表示するように描写されるコンテンツを表示するか、または別様に使用し得る。次いで、信頼されているプロセスは、ファイルコンテンツ612を編集し、記憶し得る(610)。信頼されているプロセスの場合、シードされたファイルは提示されず、プロセスは、ディレクトリの実際の実ファイルコンテンツのみが提示される。
図6Bは、信頼されていないプロセスが、ランサムウェア緩和機能を実装するコンピュータシステム上のファイルにアクセスすることを示している。図示のように、信頼されていないプロセスは、ディレクトリリストを要求し(620)、実ファイルおよびシードされたファイルの両方のリスト622を受信し得る。信頼されていないプロセスがランサムウェアプロセスである場合、プロセスはリストの一番上から始めてファイルの暗号化を開始する可能性が高く、そのため、シードされたファイルであることになるリストの最初のファイルを読み取ろうと試みることになる(624)。シードされたファイルは、チェッカーボードパターン626として示されるダミーコンテンツを有し得、または他の実際のファイルからコピーされたコンテンツを有し得る。ランサムウェアプロセスは、ファイル630を暗号化し、次いで暗号化されたファイルを書き込もうと試み得る(628)。ランサムウェア防止機能は、シードされたファイルに暗号化されたコンテンツを書き込む試み、またはそれに書き込む一切の試みを検出することができ、ランサムウェアプロセスがさらなるファイルシステムアクセスを行うことをブロックし得る(632)。したがって、上記のランサムウェア防止機能により、信頼されているプロセスが、正常であるものとして、すべてのファイルにアクセスすることを可能にする一方、悪意のある信頼されていないプロセスは、1つ以上のシードされたファイルが提示されることになり、次いで、このシードされたファイルを使用して、プロセスの悪意のあるアクティビティを識別し、プロセスがさらなるファイルシステムアクセスを行うことをブロックし得る。信頼されない正当なプロセスは、シードされたファイルとともに実際のファイルが提示され得る。ただし、正当なプロセスは、シードされたファイルに書き込もうと試みない可能性が高く、そのため、正当なものとして機能することになる。
ランサムウェア防止機能について、Windowsオペレーティングシステムで提供されるMiniFilterを使用する実装を特に参照して記載した。他のオペレーティングシステムはMiniFilterまたはファイルフィルタを使用しない場合があるが、ファイルシステムアクセスを監視および制御するための類似の機能を提供するコンポーネントを含むことが理解されよう。ランサムウェア防止機能は、異なるオペレーティングシステムにおいてファイルシステムアクセスを管理する他のファイルシステムコンポーネントで提供され得る。
上記のランサムウェア付着防止は、可能性のあるランサムウェアプロセスをシードされたファイルとともに提示することによって、またはそうでなければ実際のファイルを隠すことによって、ランサムウェア攻撃を防止しようと試みる。ただし、以下でさらに記載されるように、信頼されているプロセスのみがファイルにアクセスすることを許可されることを確実にすることによって、ランサムウェア攻撃を防止することも可能である。信頼されているプロセスのみがファイルにアクセスすることを許可することは、上記のファイルシードの代替として、またはそれに加えて使用され得る。ファイルアクセスを信頼されているプロセスに対して制限することは可能であるが、信頼されるべきすべてのプロセスを識別することは困難であり得る。以下でさらに記載されるように、信頼されているプロセスを自動的に識別することが可能である。
図7は、図5のランサムウェア攻撃プロセス、およびプロセスの信頼性に基づく攻撃の可能な防止を示している。上記のように、プロセス500は、ランサムウェアプロセスがディレクトリリストを要求することから始まる(502)。ランサムウェアプロセスは、ディレクトリリスト結果を受信し、それが価値のあるディレクトリであるかどうかを判定し得る(504)。ランサムウェアがディレクトリを脆弱であると見なすかどうかは、例えば、ディレクトリに存在するファイルのタイプ、ディレクトリの名前、ファイルの数などに基づき得る。ディレクトリがユーザにとって価値のあるデータまたは機密データを含有するために脆弱であると見なされない場合(504で「いいえ」)、ランサムウェアプロセスは次のディレクトリに進み得る(508)。ディレクトリが脆弱であると見なされる場合(504で「はい」)、ファイルが暗号化され得る(506)。暗号化は、典型的には、結果リストの最初のファイルから始まり、ファイルの各々について(510)、プロセスは、ファイルのコンテンツを読み取り(512)、ファイルを暗号化し(514)、暗号化されたファイルを書き込み(516)、次いで、結果リスト内の次のファイルに進む(518)。上記のように、マルウェア防止機能がないと、マルウェアプロセスは価値のあるファイルを暗号化し、身代金を手中にしてファイルを復号化し得る。ランサムウェアプロセスがディレクトリリストを要求すると、マルウェア防止機能は、返されるディレクトリリストにシードされたファイルを挿入する(520)。上記のように、シードされたファイルは、ランサムウェアプロセスが正当なファイルにアクセスすることを防止するために使用され得る。ただし、ランサムウェアプロセスが正当なファイルを何らかの方法で識別することができる場合、ランサムウェア攻撃は、ファイルへのアクセスに使用されるプロセスに基づいてファイルアクセスを監視または緩和することによって防止することができる。ファイルアクセス監視/緩和(722)は、プロセスが実ファイルのコンテンツを読み取ろうと試みるときに実行され得る。追加的または代替的に、ファイルアクセス監視/緩和(724)は、プロセスが実ファイルのコンテンツを書き込もうと試みるときに実行され得る。
図8は、プロセスベースの攻撃緩和方法を示している。方法800は、1つまたはコンピューティングデバイスによって実装され得る。信頼されているプロセスに基づいてファイルアクセスを許可するために、様々なファイルにアクセスするために使用され得るプロセスまたは実行可能ファイルを判定することが必要である。プロセスが判定されると、プロセスの信頼度が判定され得、ファイルにアクセスするプロセスが信頼される場合、アクセスは続行し得る。方法800は、コンピューティングシステム上の異なるファイルタイプに対して、プロセスマッピングするためのファイルタイプを生成する(802)。マッピングは、異なるファイルタイプにアクセスするためにどの実行可能ファイルまたはアプリケーションが使用され得るかを維持するシステム構造から自動的に生成され得る。例えば、Windows(商標)オペレーティングシステムでは、システム構造はレジストリによって提供され得る。システム構造は、異なるファイルタイプにアクセスするために使用され得る実行可能ファイルの場所を示し得る。例えば、システム構造を使用して、Microsoft(商標)Wordを使用してWord文書を編集するための実行可能ファイルが「C:\\Program Files(x86)\\Microsoft Office\\Office16\\WINWORD.EXE」に位置することを判定し得る。特定のインストール場所は、例えば、異なるバージョンおよび/またはユーザ設定に基づいて変化し得ることが理解されよう。プロセスマッピングするためのファイルタイプが判定されると、プロセスの各々の信頼度が判定される(804)。WINWORD.EXEなどのプロセスが信頼されるかどうかは、様々な方法で判定され得、その方法には、例えば、実行可能ファイルが信頼されているソースによって署名されているかどうか、実行可能ファイルがウイルススキャンに合格するかどうか、実行可能ファイルがファイルタイプにアクセスするための既知の実行可能ファイルであるかどうか、実行可能ファイルが悪意のあるものであることが既知であるかどうか、信頼されているユーザが実行可能ファイルが信頼されていることを示しているかどうかなどを判定することが含まれる。実行可能ファイルの信頼度が判定されると、信頼されている処理されたものがファイルにアクセスすることを許可され得る。
プロセスの信頼度を判定した後、既存のプロセスへの書き込みなどのファイルアクセスが検出され得る(806)。検出されたファイルの書き込みは、書き込みプロセスと称される特定のプロセスから行われ、書き込みプロセスまたは書き込みプロセスの実行可能ファイルが信頼されるかどうかが判定される(808)。書き込みプロセスが信頼される場合(808で「はい」)、ファイル書き込みまたはアクセスは続行することが許可される。書き込みプロセスが信頼されない場合(808で「いいえ」)、ファイル書き込みまたはアクセスはブロックされる。
システム構造を使用して、異なるファイルタイプにアクセスできる実行可能ファイルを判定することにより、可能な実行可能ファイルのリストが判定され、次いで、信頼度について評価されることを可能にする。プロセスの信頼度を自動的に判定した後、その情報は、ファイルアクセスを制御するために使用され得る。プロセスが、その信頼度が評価された後に改変された場合、以前に信頼されていたプロセスが悪意のあるプロセスに置き換えられ、ファイルにアクセスすることが許可される可能性がある。以下でさらに記載されるように、修正されたプロセスの信頼性が再評価され得る。
図9は、さらなるプロセスベースの攻撃緩和方法を示している。方法900は、図8を参照して上記で説明したように、ファイルタイプのプロセスマッピングを生成し(802)、次いで、マッピングにおけるプロセスの信頼性を判定する(804)ことから始まる。プロセスの信頼性が判定されると、プロセスのフィンガープリントが判定され、記憶される(906)。フィンガープリントは、プロセスへの修正を検出することを可能にする暗号ハッシュまたは他の類似のプロセスとして判定され得る。プロセスのフィンガープリントが判定され、書き込みプロセスが検出されると(908)、書き込みプロセスのフィンガープリントが判定され、次いで、フィンガープリントが前回判定されたフィンガープリントと一致するかどうかが判定される(910)。フィンガープリントが一致せず(910で「いいえ」)、したがって、ファイルにアクセスしようと試みるプロセスが信頼性が評価されたプロセスと異なる場合、プロセスの信頼性が再評価され、プロセスフィンガープリントが判定される(912)。フィンガープリントは、信頼されていないプロセスについての計算フィンガープリントを保存するために、信頼されると判定されたプロセスに対してのみ判定され得る。フィンガープリントが一致する場合(910で「はい」)、またはプロセスを再評価した後、書き込みプロセスが信頼されるかどうかが判定され(914)、書き込みプロセスが信頼される場合(914で「はい」)、書き込みが続行し得る(916)。プロセスが信頼されない場合(914で「いいえ」)、書き込みがブロックされ得る(918)。プロセスが信頼されるかどうかを判定する前にフィンガープリントが一致するかどうかを判定するように描写されているが、プロセスが信頼されるかどうかを最初に判定し、次いで、フィンガープリントが一致するかどうかを判定することが可能である。
上記のように、プロセスの信頼性は、信頼された後にプロセスが修正されないことを確実にするために、プロセスのフィンガープリントにリンクされ得る。プロセスは、実行可能ファイル(.exe、.osx、.out)、ダイナミックリンクライブラリ(.dll)、アプリケーション(.apk)、バイナリファイル(.bin)、コマンドファイル(.com)などであり得る。プロセスが評価されたものとは異なる場合、例えば、異なる.dllを使用した結果として、プロセスが再評価され得る。プロセスにフィンガープリントを付けることによって、プロセスのコンポーネントのすべてが、信頼性が評価されたときと同じであることを確実にすることが可能である。
異なるファイルタイプにアクセスする際に使用され得るプロセスを判定することは、コンピューティングデバイスのオペレーティングシステムのシステム構造を使用して行われ得る。システム構造(複数可)は、オペレーティングシステムごとに異なり得る。例えば、Windowsでは、システム構造はレジストリであり得る。macOSでは、システム構造は、Uniform Type Identifiers(UTI)およびProperty List(PLIST)ファイルを含み得る。以下でさらに記載されるように、システム構造またはファイルは、登録されたアプリケーション、登録されたアプリケーションに関連付けられたファイルタイプ、および開くこと、編集すること、保存すること、印刷することなどのファイルアクションの実行可能ファイルの場所を識別するために処理され得る。
図10は、ファイルタイプに関連付けられたプロセスの信頼性を判定する方法を示している。方法1000は、Windowsオペレーティングシステム環境におけるプロセスの信頼性を判定することに特に参照して記載されている。Windowsでは、ファイルにアクセスする際に使用され得るプロセスを自動的に識別するために処理され得るシステム構造が、Windowsレジストリである。本方法は、オペレーティングシステムに登録されているアプリケーションについてシステム構造を検索することから始まる(1002)。アプリケーションがインストールされると、オペレーティングシステムに登録され、アプリケーションに関する情報がレジストリに記憶され得、この情報には、アクセスに使用され得るファイルタイプ、ならびに異なるファイルアクションのための実行可能ファイルの場所などの、アプリケーションに関する情報が含まれる。登録されたアプリケーションがレジストリから判定されると、登録されたアプリケーションの各々を処理して(1004)、登録されたアプリケーションの関連ファイルタイプを判定し得る(1006)。ファイルタイプの各々について、実行可能ファイルを提供するシステム構造内の場所が、異なるファイルアクションに対して判定される(1008)。システム構造内の場所において、コンピュータのファイルシステム内の実行可能ファイルの場所が、異なるファイルタイプアクションに対して判定される(1010)。実行可能ファイルの場所が判定されると、それはプロセスリストに追加される(1012)。アプリケーションの異なるファイルタイプに対する実行可能ファイルの場所が判定され、プロセスリストに追加されると、次に登録されたアプリケーション(1014)が処理され得る。次いで、プロセスリスト上の実行可能ファイルを評価して、プロセスが信頼されるかどうかを判定し(1016)、場合によってはプロセスのフィンガープリントを判定し得る。
図11は、ファイルタイプに関連付けられたプロセスを判定する際に使用されるシステム構造を示している。システム構造1100は、例えば、Windowsレジストリであり得る。図示のように、第1の場所1102は、登録されたアプリケーションに関する情報を提供し得る。図1には単一の登録されたアプリケーションのみが示されているが、複数のアプリケーションが登録され得ることが理解されよう。各登録されたアプリケーションは、システム構造1106内の第2の場所を指定するkey:value 1104の対を有し得る。第2の場所は、アプリケーションに関連付けられたファイルタイプに関する情報を提供し得る。各関連付けられたファイルタイプは、システム構造1110内の第3の場所を指定するkey:value 1108の対を含み得る。システム構造内の第3の場所は、ファイルタイプに対して1つ以上のアクションコマンドを指定し得、各アクションコマンドについて、ファイルアクションに対する実行可能ファイルのファイルシステムの場所を指定するkey:valueの対1112が存在し得る。
例として、登録されたアプリケーションを指定するWindowsレジストリ内の第1の場所は、「\HKEY_LOCAL_MACHINE\SOFTWARE\RegisteredApplications」であり得、これは、レジストリの場所を指定する各登録されたアプリケーションについて複数のkey:valueの対を有し得る。例えば、1つのkey:valueの対は、「Word.Application.16:SOFTWARE\Clients\Word Processing\Microsoft Word\Capabilities」であり得、これは、システム構造内のさらなる場所を提供する。システム構造の場所において、key:valueの対が、アプリケーションおよびシステム構造内の第3の場所に関連付けられたファイルタイプの各々について指定され得る。例えば、「\HKEY_LOCAL_MACHINE\SOFTWARE\Clients\Word Processing\Microsoft Word\Capabilities」において、キー対は「.doc:Word.Document.8」であり得る。例えば、場所「\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8」において、特定のファイルタイプのドキュメントを編集する、開く、新規作成するなどのためのシェルコマンドを指定し得、コマンドは、コマンドのファイルシステムの場所を提供するkey:valueの対として指定される。例えば、「\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8\shell\New\command」は、「(Default):’C:\Program Files(x86)\Microsoft Office\Office16\WINWORD.EXE’/n/f’%1’」のkey:valueの対を有し得、これは、新しい.docドキュメントの実行可能ファイルの場所がファイルシステム内の「C:\Program Files(x86)\Microsoft Office\Office16\WINWORD.EXE」に位置することを指定する。実行可能ファイルをプロセスリストに追加し、評価して、それが信頼できるかどうかを判定する。例えば、WINWORD.EXEを評価して、それが信頼されている場所からのものであるか、信頼されているエンティティによって署名されているかなどを判定し得る。
システム構造内の単一の場所で登録されたアプリケーションを検索するものとして上記に記載したが、登録されたアプリケーションがシステム構造内の他の場所に位置し得ることが可能である。同じプロセスが、これらの異なるルートの場所に適用され得、これには、例えば、64ビットバージョンのWindows上の32ビットアプリケーションに関する情報を含有し得る「\HKEY_LOCAL_MACHINE\SOFTWARE\WOW64Node\RegisteredApplications」、ならびにユーザ固有のソフトウェアを含有し得る「\HKEY_USERS\<USER_GUID>\SOFTWARE\RegisteredApplications」が含まれる。
上記では、システム構造をWindowsレジストリとして記載してきた。他のオペレーティングシステムが、異なるシステム構造において類似の情報を提供し得ることが理解されよう。例えば、Apple(商標)macOSおよびその他のAppleオペレーティングシステムは、Uniform Type Identifiers(UTI)を利用して、プログラムとのエンティティの関連付けを構成する。UTIは本質的に、ファイル、ディレクトリ、フレームワーク、バンドルなどのメモリ内エンティティまたはディスク上エンティティに関する抽象タイプ情報を一意に識別するCoreFoundation文字列として定義される単なるリバースDNS表記法仕様であり、UTIは様々なタスクを達成するために使用される。例えば、アプリケーションはUTIを使用して、それらの関連付けを(Launch Service APIを介して)Launch Serviceに登録し、Pasteboard ManagerはUTIを使用して、保持されたアイテムの相関を定義し、異なるアプリケーションが所望のフォーマットでペーストボードアイテムを取り出すことを可能にし、Navigation ServicesはファイルタイプのフィルタリングにUTIを使用し、QuickLookはUTIを使用して、ファイルのプレビューをQuickLookジェネレータにオフロードする。UTIの実施例には、「com.apple.ical.ics」、「com.microsoft.word.excel.xlt」、および「public.jpeg」が含まれる。これらの実施例は、3つのファイルタイプ、すなわち、iCal icsファイル、Microsoft Excel xltファイル、およびjpegファイルの関連付けを可能にする。所与のベンダに固有のUTIは、リバースDNS名前付けスキームを利用して、それらを組織、すなわち、com.appleまたはcom.microsoftに関連付けるのに対し、組織と関連付けられていない公開標準は、パブリックドメイン識別子を利用する。
標準UTIは、/System/Library/CoreService/CoreTypes.bundle/Contents/Info.plistにおけるCore Serviceによって定義される。Core Serviceによって定義されるような例として、Microsoft Excel xlt UTIを取り上げる。
<dict>
<key>UTTypeIconFiles</key>
<array>
<string>excel_20x20.png</string>
<string>excel_20x20@2x.png</string>
<string>excel_145x145.png</string>
<string>excel_145x145@2x.png</string>
</array>
<key>UTTypeIdentifier</key>
<string>com.microsoft.excel.xlt</string>
<key>UTTypeDescription</key>
<string>Microsoft Excel 97-2004 template</string>
<key>UTTypeConformsTo</key>
<array>
<string>public.data</string>
<string>public.spreadsheet</string>
</array>
<key>UTTypeTagSpecification</key>
<dict>
<key>com.apple.ostype</key>
<string>sLS8</string>
<key>public.mime-type</key>
<array>
<string>application/vnd.ms-excel</string>
<string>application/msexcel</string>
</array>
<key>public.filename-extension</key>
<string>xlt</string>
</dict>
</dict>
macOS X 10.5に導入されたQuickLookは、様々なファイルタイプのFinderからのクイックプレビューを可能にする。これは、プレビュールックアップがシステム全体(/System/Library/QuickLook)またはユーザごと(~/Library/QuickLook)にインストールされているqlgeneratorプラグイン拡張機能(すなわち、バンドル)にオフロードされる。/System/Library/QuickLook/PDF qlgeneratorにインストールされたバンドルにマッピングするcom.adobe.PDF.qlgenerator拡張子を例に取る。バンドルのInfo.plistから、CFBundleDocumentTypes配列は、指定されたUTIを含有する。
<key>CFBundleDocumentTypes</key>
<array>
<dict>
<key>CFBundleTypeRole</key>
<string>QLGenerator</string>
<key>LSItemContentTypes</key>
<array>
<string>com.adobe.pdf</string>
</array>
</dict>
</array>
追加的に、バンドルはQuickLookGeneratorPluginFactoryとして宣言され、これは、.qlgenerator拡張子を定義するものである。
<key>CFPlugInFactories</key>
<dict>
<key>0D5B252D-0B33-4E7A-88E2-C77728B9C565</key>
<string>QuickLookGeneratorPluginFactory</string>
</dict>
Info.plistはまた、QLNeedsToBeRunInMainThread、QLSupportsConcurrentRequests、QLThumbnailMinimumSizeを含む他のQuickLook設定をプラグインごとに宣言する。.qlgenerator拡張子は、QuickLookGeneratorPluginFactoryエントリポイントを実装する特別にコンパイルされたプログラムである。QuickLookプラグインのマッピングは、qlmanageユーティリティを介してダンプされ得る。
UTIは、macOS X 10.3以降、iOS 3.0以降、tvOS 9.0以降、およびwatchOS 2.0以降においてサポートされる。これらは、macOS X用のApplicationServicesフレームワークおよびiOS、tvOS、watchOS用のMobileCoreServicesフレームワークの一部分であるUTTypeを介してプログラム的に照会することができる。このAPIを使用して、システム構造を処理して、所与のホスト上の指定されたすべてのUTIを識別すること、所与のUTIのデフォルトハンドラを識別すること、UTIマッピングを、それらをサポートする登録されたアプリケーションまたはバンドルに相関させること、指定されたアプリケーションまたはバンドルの登録されたUTIを識別すること、ならびにUTIハンドラを設定することが可能である。
コマンドを使用して、com.apple.ical.icsなどの指定されたUTIに関するすべての情報をすばやく識別することが可能である。
% ./uti -e com.apple.ical.ics
これは、次を返す。
identifier: com.apple.ical.ics
description: ICS File
declaration: {
UTTypeTagSpecification = {
public.mime-type = [
text/calendar

public.filename-extension = [
ics


UTTypeConformsTo = [
public.text
public.item
public.calendar-event

UTTypeIdentifier = com.apple.ical.ics
上記の出力は、前述のCore Services Info.plistにおける仕様のミラーであることに留意されたい。
com.apple.ical.ics UTIを処理するために登録されているバンドルのすべてを知りたい例を考える。
% ./uti -l com.apple.ical.ics
これは、次を返す。
com.apple.CalendarFileHandler
com.apple.iCal
com.apple.TextEdit
com.apple.dt.Xcode
com.apple.Notes
com.apple.ical.ics UTIのデフォルトのハンドラを判定するために、次のようにする。
% ./uti -d com.apple.ical.ics
これは、次を返す。
com.apple.CalendarFileHandler
サポートされるバンドルハンドラへの指定されたファイル拡張子に対するデフォルトのUTIマッピングを識別することも可能である。
% ./uti -x ics
これは、次を返す。
CalendarFileHandler.app
/System/Library/CoreServices/CalendarFileHandler.app
com.apple.CalendarFileHandler
代替的に、jpegファイルの場合は、次のようにする。
% ./uti -x jpg
Preview.app
/System/Applications/Preview.app
com.apple.Preview
上記から、異なるオペレーティングシステムは、それぞれのシステム構造を有し、システム構造は、コンピュータシステム上の異なるアプリケーションが、アプリケーションによって開かれまたは編集され得るファイルタイプとともに判定されることを可能にする1つ以上のファイル、データベースなどを含み得ることが理解されよう。次いで、判定されたアプリケーションの信頼性が判定され、ファイルアクセスを許可するかブロックするかを判定する際に使用され得る。上記のように、異なるファイルタイプにアクセスするために使用され得る異なるアプリケーション/プロセスを自動的に判別し、信頼されているプロセスに基づいて、ファイルアクセスを簡単にブロックすることが可能である。
図1~図11に示されるシステムおよびコンポーネントは、図面に示されていないコンポーネントを含み得ることが、当業者には理解されよう。説明を簡潔かつ明確にするために、図中の要素は必ずしも縮尺通りではなく、概略的なものにすぎず、要素構造を制限するものではない。当業者には、特許請求の範囲に定義される本発明の範囲から逸脱することなく、いくつかの変形および修正を行うことができることが明らかであろう。
本開示の実施形態における各要素は、ハードウェア、ソフトウェア/プログラム、またはそれらの任意の組み合わせとして実装され得る。ソフトウェアコードは、その全体または一部分のいずれかで、コンピュータ可読媒体もしくはメモリ、または非一時的メモリ(例えば、ROM、例えば、フラッシュメモリ、CD ROM、DVD ROM、Blu-ray(商標)、半導体ROM、USBなどの不揮発性メモリ、またはハードディスクなどの磁気記録媒体)に記憶され得る。プログラムは、ソースコード、オブジェクトコード、部分的にコンパイルされた形態などのコード中間ソースおよびオブジェクトコードの形態、またはその他の形態であり得る。
100 コンピュータシステム
102 CPU
104 メモリ
106 命令
108 ハードディスクドライブ
110 ファイル
112 OS
114 ユーザモード
116 カーネルモード
118 プロセス
120 IOマネージャ
122 ファイルシステム
124 フィルタマネージャ
126 ミニフィルタ
128 ランサムウェアミニフィルタ
130 ファイルフィルタ
132 ファイルシステムドライバ
134 ストレージドライバスタック
136 プロセス判定機能
138 信頼性判定機能
200 ランサムウェア防止方法
300a ランサムウェア攻撃を緩和する際に使用するためのそれぞれの方法
300b ランサムウェア攻撃を緩和する際に使用するためのそれぞれの方法
400 ランサムウェア攻撃を防止する際に使用するためのそれぞれの方法
410 ランサムウェア攻撃を防止する際に使用するためのそれぞれの方法
420 ランサムウェア攻撃を防止する際に使用するためのそれぞれの方法
500 ランサムウェア攻撃プロセスおよび攻撃の可能な防止の方法
604 実際のファイルのリスト
608 画像
612 ファイルコンテンツ
622 実ファイルおよびシードされたファイルの両方のリスト
626 チェッカーボードパターン 630 ファイル
800 プロセスベースの攻撃緩和方法
900 さらなるプロセスベースの攻撃緩和方法
1000 ファイルタイプに関連付けられたプロセスの信頼性を判定する方法
1100 システム構造
1102 第1の場所
1104 key:value
1106 システム構造
1108 key:value
1110 システム構造
1112 key:value

Claims (51)

  1. ランサムウェア攻撃を防止する方法であって、
    ファイルシステムにおいて要求プロセスからの入力/出力(IO)要求を受信することと、
    前記要求プロセスが信頼されているプロセスであるかどうかに基づいて、前記要求プロセスの信頼性分類を判定することと、
    前記要求プロセスの前記信頼性分類に基づいて、前記IO要求の結果を修正することと、
    前記要求プロセスが信頼されていない信頼性分類を有すると判定されたときに、前記要求プロセスからの前記修正された結果のうちの1つ以上のIO要求を監視することと、を含む、方法。
  2. 信頼されていないプロセスのさらなるファイルアクセスを、前記プロセスが前記修正された結果のうちの1つ以上のファイルにアクセスしようと試みたときに制限することと、
    前記要求プロセスを隔離することと、のうちの1つ以上をさらに含む、請求項1に記載の方法。
  3. さらなるファイルアクセスを制限することが、
    前記信頼されていないプロセスがファイルを読み取ることを防止することと、
    前記信頼されていないプロセスがファイルを書き込むことを防止することと、
    前記信頼されていないプロセスがファイルを削除することを防止することと、
    前記信頼されていないプロセスがファイルを移動することを防止することと、のうちの1つ以上を含む、請求項2に記載の方法。
  4. 前記結果を修正することが、
    前記要求プロセスが信頼されていない場合、前記要求プロセスに提供される前記結果にシードされたファイルを含めることと、
    前記要求プロセスが信頼されている場合、前記要求プロセスに提供される前記結果から前記シードされたファイルを除くことと、を含む、請求項1に記載の方法。
  5. 前記シードされたファイルが、記憶媒体に記憶され、前記要求プロセスが信頼されている場合、前記要求プロセスに提示される結果から除去される、請求項4に記載の方法。
  6. 前記シードされたファイルが、
    定義された名前付け規則と、
    シードされたファイル名のリストと、のうちの1つ以上を使用して識別される、請求項4に記載の方法。
  7. 前記シードされたファイルが、前記要求プロセスが信頼されていない場合、前記要求プロセスに提示された前記結果に追加される、請求項4に記載の方法。
  8. 前記シードされたファイルのみが、前記要求プロセスが信頼されていない場合、前記要求プロセスに前記結果として提示される、請求項7に記載の方法。
  9. 前記ファイルシステムが、カーネルモードで動作し、前記要求プロセスが、ユーザモードまたはカーネルモードで動作する、請求項1に記載の方法。
  10. 前記修正された結果のうちの前記1つ以上のIO要求を監視することが、
    前記修正された結果のうちの1つ以上に対する書き込みプロセスを検出することと、
    前記書き込みプロセスによって書き込まれているコンテンツが暗号化されている可能性が高いかどうかを判定することと、
    前記書き込まれているコンテンツが暗号化されている可能性が高いと判定されたときに前記書き込みプロセスをブロックすることと、を含む、請求項1に記載の方法。
  11. ランサムウェア攻撃を防止するためのシステムであって、
    命令を実行するためのプロセッサと、
    命令を記憶するためのメモリであって、前記命令が、前記プロセッサによって実行されると、
    ファイルシステムにおいて要求プロセスからの入力/出力(IO)要求を受信することと、
    前記要求プロセスが信頼されているプロセスであるかどうかに基づいて、前記要求プロセスの信頼性分類を判定することと、
    前記要求プロセスの前記信頼性分類に基づいて、前記IO要求の結果を修正することと、
    前記要求プロセスが信頼されていない信頼性分類を有すると判定されたときに、前記要求プロセスからの前記修正された結果のうちの1つ以上のIO要求を監視することと、を含むシステム。
  12. 前記命令によって構成される方法が、
    信頼されていないプロセスのさらなるファイルアクセスを、前記プロセスが前記修正された結果のうちの1つ以上のファイルにアクセスしようと試みたときに制限することと、
    前記要求プロセスを隔離することと、のうちの1つ以上をさらに含む、請求項11に記載のシステム。
  13. さらなるファイルアクセスを制限することが、
    前記信頼されていないプロセスがファイルを読み取ることを防止することと、
    前記信頼されていないプロセスがファイルを書き込むことを防止することと、
    前記信頼されていないプロセスがファイルを削除することを防止することと、
    前記信頼されていないプロセスがファイルを移動することを防止することと、のうちの1つ以上を含む、請求項12に記載のシステム。
  14. 前記結果を修正することが、
    前記要求プロセスが信頼されていない場合、前記要求プロセスに提供される前記結果にシードされたファイルを含めることと、
    前記要求プロセスが信頼されている場合、前記要求プロセスに提供される前記結果から前記シードされたファイルを除くことと、を含む、請求項11に記載のシステム。
  15. 前記シードされたファイルが、記憶媒体に記憶され、前記要求プロセスが信頼されている場合、前記要求プロセスに提示される結果から除去される、請求項14に記載のシステム。
  16. 前記シードされたファイルが、
    定義された名前付け規則と、
    シードされたファイル名のリストと、のうちの1つ以上を使用して識別される、請求項14に記載のシステム。
  17. 前記シードされたファイルが、前記要求プロセスが信頼されていない場合、前記要求プロセスに提示される前記結果に追加される、請求項14に記載のシステム。
  18. 前記シードされたファイルのみが、前記要求プロセスが信頼されていない場合、前記要求プロセスに前記結果として提示される、請求項17に記載のシステム。
  19. 前記ファイルシステムが、カーネルモードで動作し、前記要求プロセスが、ユーザモードまたはカーネルモードで動作する、請求項11に記載のシステム。
  20. 前記修正された結果のうちの前記1つ以上のIO要求を監視することが、
    前記修正された結果のうちの1つ以上に対する書き込みプロセスを検出することと、
    前記書き込みプロセスによって書き込まれているコンテンツが暗号化されている可能性が高いかどうかを判定することと、
    前記書き込まれているコンテンツが暗号化されている可能性が高いと判定されたときに前記書き込みプロセスをブロックすることと、を含む、請求項11に記載のシステム。
  21. 命令を中に記憶した非一時的コンピュータ可読媒体であって、前記命令が、コンピュータシステムのプロセッサによって実行されると、
    ファイルシステムにおいて要求プロセスからの入力/出力(IO)要求を受信することと、
    前記要求プロセスが信頼されているプロセスであるかどうかに基づいて、前記要求プロセスの信頼性分類を判定することと、
    前記要求プロセスの前記信頼性分類に基づいて、前記IO要求の結果を修正することと、
    前記要求プロセスが信頼されていない信頼性分類を有すると判定されたときに、前記要求プロセスからの前記修正された結果のうちの1つ以上のIO要求を監視することと、を含む、非一時的コンピュータ可読媒体。
  22. 前記命令によって構成される方法が、
    信頼されていないプロセスのさらなるファイルアクセスを、前記プロセスが前記修正された結果のうちの1つ以上のファイルにアクセスしようと試みたときに制限することと、
    前記要求プロセスを隔離することと、のうちの1つ以上をさらに含む、請求項21に記載の非一時的コンピュータ可読媒体。
  23. さらなるファイルアクセスを制限することが、
    前記信頼されていないプロセスがファイルを読み取ることを防止することと、
    前記信頼されていないプロセスがファイルを書き込むことを防止することと、
    前記信頼されていないプロセスがファイルを削除することを防止することと、
    前記信頼されていないプロセスがファイルを移動することを防止することと、のうちの1つ以上を含む、請求項22に記載の非一時的コンピュータ可読媒体。
  24. 前記結果を修正することが、
    前記要求プロセスが信頼されていない場合、前記要求プロセスに提供される前記結果にシードされたファイルを含めることと、
    前記要求プロセスが信頼されている場合、前記要求プロセスに提供される前記結果から前記シードされたファイルを除くことと、を含む、請求項21に記載の非一時的コンピュータ可読媒体。
  25. 前記シードされたファイルが、記憶媒体に記憶され、前記要求プロセスが信頼されている場合、前記要求プロセスに提示される結果から除去される、請求項24に記載の非一時的コンピュータ可読媒体。
  26. 前記シードされたファイルが、
    定義された名前付け規則と、
    シードされたファイル名のリストと、のうちの1つ以上を使用して識別される、請求項24に記載の非一時的コンピュータ可読媒体。
  27. 前記シードされたファイルが、前記要求プロセスが信頼されていない場合、前記要求プロセスに提示された前記結果に追加される、請求項24に記載の非一時的コンピュータ可読媒体。
  28. 前記シードされたファイルのみが、前記要求プロセスが信頼されていない場合、前記要求プロセスに前記結果として提示される、請求項27に記載の非一時的コンピュータ可読媒体。
  29. 前記ファイルシステムが、カーネルモードで動作し、前記要求プロセスが、ユーザモードまたはカーネルモードで動作する、請求項21に記載の非一時的コンピュータ可読媒体。
  30. 前記修正された結果のうちの前記1つ以上のIO要求を監視することが、
    前記修正された結果のうちの1つ以上に対する書き込みプロセスを検出することと、
    前記書き込みプロセスによって書き込まれているコンテンツが暗号化されている可能性が高いかどうかを判定することと、
    前記書き込まれているコンテンツが暗号化されている可能性が高いと判定されたときに前記書き込みプロセスをブロックすることと、を含む、請求項21に記載の非一時的コンピュータ可読媒体。
  31. ランサムウェア攻撃を防止する方法であって、
    システム構造を処理して、複数のファイルタイプと、前記複数のファイルタイプのそれぞれにアクセスする際に使用されるプロセスとの間でプロセスマッピングするためのファイルタイプを自動的に判定することと、
    前記プロセスマッピングするためのファイルタイプにおける前記プロセスの各々について、前記プロセスの信頼度を評価することと、
    ファイルシステムにおいて要求プロセスからの入力/出力(IO)要求を受信することと、
    前記要求プロセスが信頼されているプロセスであるかどうかを判定することと、
    前記要求プロセスが信頼されているかどうかの判定に基づいて、前記IO要求を許可またはブロックすることと、を含む方法。
  32. 前記プロセスマッピングするためのファイルタイプにおける前記プロセスの各々について、信頼性について評価されたプロセスのフィンガープリントを生成することと、
    前記要求プロセスが信頼されているかどうかを判定するとき、
    前記要求プロセスの要求プロセスフィンガープリントを判定することと、
    前記要求プロセスフィンガープリントを、信頼性について評価された前記プロセスの前回判定されたフィンガープリントと比較することと、をさらに含み、
    前記IO要求を許可またはブロックすることが、前記要求プロセスフィンガープリントと前記前回判定されたフィンガープリントとの比較にさらに基づいている、請求項31に記載の方法。
  33. 前記要求プロセスフィンガープリントおよび前記前回判定されたフィンガープリントが一致しない場合、前記要求プロセスの前記信頼度を再評価する、請求項32に記載の方法。
  34. 前記システム構造が、Windowsレジストリを含む、請求項31に記載の方法。
  35. 前記Windowsレジストリを処理して、前記プロセスマッピングするためのファイルタイプを自動的に判定することが、
    登録されたアプリケーションを前記レジストリ内の第1の既知の場所から判定することであって、前記第1の既知の場所内の各登録されたアプリケーションが前記レジストリ内のそれぞれの第2の場所を示す、判定することと、
    前記判定された登録されたアプリケーションの各々について、
    前記それぞれの第2の場所から、前記それぞれの登録されたアプリケーションに関連付けられたファイルタイプを判定することであって、前記ファイルタイプの各々が前記レジストリ内の第3の場所を示す、判定することと、
    前記ファイルタイプの各々について、前記それぞれの第3の場所から、ファイルシステム上に実行可能に位置するそれぞれのプロセスに関連付けられた1つ以上のファイルアクセスコマンドを判定することと、を含む、請求項34に記載の方法。
  36. 前記システム構造が、macOSシステム構造を含む、請求項31に記載の方法。
  37. macOSシステム構造を処理して、前記プロセスマッピングするためのファイルタイプを自動的に判定することが、
    APIを使用して所与のホスト上の複数のUTIを識別し、
    UTIマッピングを、それらをサポートする登録されたアプリケーションまたはバンドルに相関させること、を含む、請求項36に記載の方法。
  38. ランサムウェア攻撃を防止するためのシステムであって、
    命令を実行するためのプロセッサと、
    命令を記憶するためのメモリであって、前記命令が、前記プロセッサによって実行されると、
    システム構造を処理して、複数のファイルタイプと、前記複数のファイルタイプのそれぞれにアクセスする際に使用されるプロセスとの間でプロセスマッピングするためのファイルタイプを自動的に判定することと、
    前記プロセスマッピングするためのファイルタイプにおける前記プロセスの各々について、前記プロセスの信頼度を評価することと、
    ファイルシステムにおいて要求プロセスからの入力/出力(IO)要求を受信することと、
    前記要求プロセスが信頼されているプロセスであるかどうかを判定することと、
    前記要求プロセスが信頼されているかどうかの判定に基づいて、前記IO要求を許可またはブロックすることと、を含むシステム。
  39. 前記命令を実行することによって構成される方法が、
    前記プロセスマッピングするためのファイルタイプにおける前記プロセスの各々について、信頼性について評価されたプロセスのフィンガープリントを生成することと、
    前記要求プロセスが信頼されているかどうかを判定するとき、
    前記要求プロセスの要求プロセスフィンガープリントを判定することと、
    前記要求プロセスフィンガープリントを、信頼性について評価された前記プロセスの前回判定されたフィンガープリントと比較することと、をさらに含み、
    前記IO要求を許可またはブロックすることが、前記要求プロセスフィンガープリントと前記前回判定されたフィンガープリントとの比較にさらに基づいている、請求項38に記載のシステム。
  40. 前記要求プロセスフィンガープリントおよび前記前回判定されたフィンガープリントが一致しない場合、前記要求プロセスの前記信頼度を再評価する、請求項39に記載のシステム。
  41. 前記システム構造が、Windowsレジストリを含む、請求項38に記載のシステム。
  42. 前記Windowsレジストリを処理して、前記プロセスマッピングするためのファイルタイプを自動的に判定することが、
    登録されたアプリケーションを前記レジストリ内の第1の既知の場所から判定することであって、前記第1の既知の場所内の各登録されたアプリケーションが前記レジストリ内のそれぞれの第2の場所を示す、判定することと、
    前記判定された登録されたアプリケーションの各々について、
    前記それぞれの第2の場所から、前記それぞれの登録されたアプリケーションに関連付けられたファイルタイプを判定することであって、前記ファイルタイプの各々が前記レジストリ内の第3の場所を示す、判定することと、
    前記ファイルタイプの各々について、前記それぞれの第3の場所から、ファイルシステム上に実行可能に位置するそれぞれのプロセスに関連付けられた1つ以上のファイルアクセスコマンドを判定することと、を含む、請求項41に記載のシステム。
  43. 前記システム構造が、macOSシステム構造を含む、請求項38に記載のシステム。
  44. macOSシステム構造を処理して、前記プロセスマッピングするためのファイルタイプを自動的に判定することが、
    APIを使用して所与のホスト上の複数のUTIを識別し、
    UTIマッピングを、それらをサポートする登録されたアプリケーションまたはバンドルに相関させること、を含む、請求項43に記載のシステム。
  45. 命令を中に記憶した非一時的コンピュータ可読媒体であって、前記命令が、コンピュータシステムのプロセッサによって実行されると、
    システム構造を処理して、複数のファイルタイプと、前記複数のファイルタイプのそれぞれにアクセスする際に使用されるプロセスとの間でプロセスマッピングするためのファイルタイプを自動的に判定することと、
    前記プロセスマッピングするためのファイルタイプにおける前記プロセスの各々について、前記プロセスの信頼度を評価することと、
    ファイルシステムにおいて要求プロセスからの入力/出力(IO)要求を受信することと、
    前記要求プロセスが信頼されているプロセスであるかどうかを判定することと、
    前記要求プロセスが信頼されているかどうかの判定に基づいて、前記IO要求を許可またはブロックすることと、を含む、非一時的コンピュータ可読媒体。
  46. 前記命令によって構成される方法が、
    前記プロセスマッピングするためのファイルタイプにおける前記プロセスの各々について、信頼性について評価されたプロセスのフィンガープリントを生成することと、
    前記要求プロセスが信頼されているかどうかを判定するとき、
    前記要求プロセスの要求プロセスフィンガープリントを判定することと、
    前記要求プロセスフィンガープリントを、信頼性について評価された前記プロセスの前回判定されたフィンガープリントと比較することと、をさらに含み、
    前記IO要求を許可またはブロックすることが、前記要求プロセスフィンガープリントと前記前回判定されたフィンガープリントとの比較にさらに基づいている、請求項45に記載の非一時的コンピュータ可読媒体。
  47. 前記要求プロセスフィンガープリントおよび前記前回判定されたフィンガープリントが一致しない場合、前記要求プロセスの前記信頼度を再評価する、請求項46に記載の非一時的コンピュータ可読媒体。
  48. 前記システム構造が、Windowsレジストリを含む、請求項45に記載の非一時的コンピュータ可読媒体。
  49. 前記Windowsレジストリを処理して、前記プロセスマッピングするためのファイルタイプを自動的に判定することが、
    前記レジストリ内の第1の既知の場所から登録されたアプリケーションを判定することであって、前記第1の既知の場所内の各登録されたアプリケーションが前記レジストリ内のそれぞれの第2の場所を示す、判定することと、
    前記判定された登録されたアプリケーションの各々について、
    前記それぞれの第2の場所から、前記それぞれの登録されたアプリケーションに関連付けられたファイルタイプを判定することであって、前記ファイルタイプの各々が前記レジストリ内の第3の場所を示す、判定することと、
    前記ファイルタイプの各々について、前記それぞれの第3の場所から、ファイルシステム上に実行可能に位置するそれぞれのプロセスに関連付けられた1つ以上のファイルアクセスコマンドを判定することと、を含む、請求項48に記載の非一時的コンピュータ可読媒体。
  50. 前記システム構造が、macOSシステム構造を含む、請求項45に記載の非一時的コンピュータ可読媒体。
  51. macOSシステム構造を処理して、前記プロセスマッピングするためのファイルタイプを自動的に判定することが、
    APIを使用して所与のホスト上の複数のUTIを識別し、
    UTIマッピングを、それらをサポートする登録されたアプリケーションまたはバンドルに相関させること、を含む、請求項50に記載の非一時的コンピュータ可読媒体。
JP2022523660A 2019-10-21 2020-10-20 ランサムウェア防止 Active JP7667149B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201962923941P 2019-10-21 2019-10-21
US62/923,941 2019-10-21
US202063059151P 2020-07-30 2020-07-30
US63/059,151 2020-07-30
PCT/CA2020/051406 WO2021077212A1 (en) 2019-10-21 2020-10-20 Ransomware prevention

Publications (2)

Publication Number Publication Date
JP2022553061A true JP2022553061A (ja) 2022-12-21
JP7667149B2 JP7667149B2 (ja) 2025-04-22

Family

ID=75619510

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022523660A Active JP7667149B2 (ja) 2019-10-21 2020-10-20 ランサムウェア防止

Country Status (7)

Country Link
US (2) US12111929B2 (ja)
EP (1) EP4049159A4 (ja)
JP (1) JP7667149B2 (ja)
KR (1) KR20220085786A (ja)
AU (1) AU2020369984A1 (ja)
CA (2) CA3155237A1 (ja)
WO (1) WO2021077212A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190108341A1 (en) 2017-09-14 2019-04-11 Commvault Systems, Inc. Ransomware detection and data pruning management
US11574050B2 (en) 2021-03-12 2023-02-07 Commvault Systems, Inc. Media agent hardening against ransomware attacks
WO2022225508A1 (en) * 2021-04-20 2022-10-27 Assured Information Security, Inc. Prevention and remediation of malware based on selective presentation of files to processes
US12259977B2 (en) 2021-11-15 2025-03-25 Commvault Systems, Inc. Entropy-based ransomware detection
US12306947B2 (en) * 2022-02-18 2025-05-20 Halcyon Tech, Inc. Ransomware countermeasures
US12292974B2 (en) 2022-10-27 2025-05-06 Commvault Systems, Inc. Analysis of backup copies to identify malware-encrypted primary data
US20250094564A1 (en) * 2023-09-20 2025-03-20 Apple Inc. Secure Exclaves
US12229261B1 (en) * 2024-05-03 2025-02-18 Halcyon Tech, Inc. Antiransomware file analysis and scoring

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7613930B2 (en) * 2001-01-19 2009-11-03 Trustware International Limited Method for protecting computer programs and data from hostile code
KR101201118B1 (ko) 2004-11-08 2012-11-13 마이크로소프트 코포레이션 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법
US8578483B2 (en) 2008-07-31 2013-11-05 Carnegie Mellon University Systems and methods for preventing unauthorized modification of an operating system
EP2691908B1 (en) 2011-03-28 2018-12-05 McAfee, LLC System and method for virtual machine monitor based anti-malware security
US8966624B2 (en) 2011-03-31 2015-02-24 Mcafee, Inc. System and method for securing an input/output path of an application against malware with a below-operating system security agent
GB2517483B (en) * 2013-08-22 2015-07-22 F Secure Corp Detecting file encrypting malware
US9208335B2 (en) * 2013-09-17 2015-12-08 Auburn University Space-time separated and jointly evolving relationship-based network access and data protection system
US20160180087A1 (en) * 2014-12-23 2016-06-23 Jonathan L. Edwards Systems and methods for malware detection and remediation
US20170206353A1 (en) * 2016-01-19 2017-07-20 Hope Bay Technologies, Inc. Method and system for preventing malicious alteration of data in computer system
US10528733B2 (en) 2017-08-31 2020-01-07 International Business Machines Corporation Integrity, theft protection and cyber deception using a deception-based filesystem
US10193918B1 (en) 2018-03-28 2019-01-29 Malwarebytes Inc. Behavior-based ransomware detection using decoy files
US11055444B2 (en) * 2018-06-20 2021-07-06 NortonLifeLock Inc. Systems and methods for controlling access to a peripheral device

Also Published As

Publication number Publication date
CA3214199A1 (en) 2021-04-29
EP4049159A1 (en) 2022-08-31
US20240419798A1 (en) 2024-12-19
KR20220085786A (ko) 2022-06-22
JP7667149B2 (ja) 2025-04-22
AU2020369984A1 (en) 2022-05-12
US20220292195A1 (en) 2022-09-15
US12111929B2 (en) 2024-10-08
WO2021077212A1 (en) 2021-04-29
CA3155237A1 (en) 2021-04-29
EP4049159A4 (en) 2023-11-01

Similar Documents

Publication Publication Date Title
JP7667149B2 (ja) ランサムウェア防止
US11528142B2 (en) Methods, systems and computer program products for data protection by policing processes accessing encrypted data
US12299147B2 (en) Secure computing system
KR101888712B1 (ko) 운영 체제 구성 값 보호 기법
US9665708B2 (en) Secure system for allowing the execution of authorized computer program code
US10162975B2 (en) Secure computing system
JP6370747B2 (ja) バーチャルマシーンモニタベースのアンチマルウェアセキュリティのためのシステム及び方法
US8281410B1 (en) Methods and systems for providing resource-access information
US20050060568A1 (en) Controlling access to data
JP2002318719A (ja) 高信頼計算機システム
JP2003345654A (ja) データ保護システム
Vidas The acquisition and analysis of random access memory
Safford et al. A trusted linux client (tlc)
Van Oorschot et al. Reducing unauthorized modification of digital objects
van Oorschot Towards Reducing Unauthorized Modification of Binary Files

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230901

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240716

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20241002

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20241212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250311

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250410

R150 Certificate of patent or registration of utility model

Ref document number: 7667149

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150