JP5087661B2 - 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法 - Google Patents

正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法 Download PDF

Info

Publication number
JP5087661B2
JP5087661B2 JP2010177251A JP2010177251A JP5087661B2 JP 5087661 B2 JP5087661 B2 JP 5087661B2 JP 2010177251 A JP2010177251 A JP 2010177251A JP 2010177251 A JP2010177251 A JP 2010177251A JP 5087661 B2 JP5087661 B2 JP 5087661B2
Authority
JP
Japan
Prior art keywords
code
malicious
malicious code
action
thread
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010177251A
Other languages
English (en)
Other versions
JP2011233126A (ja
Inventor
堯 植 金
相 均 盧
閏 貞 鄭
東 洙 金
源 浩 金
侑 定 韓
永 泰 尹
基 郁 孫
哲 源 李
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electronics and Telecommunications Research Institute ETRI
Original Assignee
Electronics and Telecommunications Research Institute ETRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electronics and Telecommunications Research Institute ETRI filed Critical Electronics and Telecommunications Research Institute ETRI
Publication of JP2011233126A publication Critical patent/JP2011233126A/ja
Application granted granted Critical
Publication of JP5087661B2 publication Critical patent/JP5087661B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、正常プロセスに偽装挿入された悪性コードを検出するための装置、システム及び方法に関し、さらに詳細には、コンピュータシステム上で実行中のプロセスのスレッド情報を抽出し、悪性コードによって生成されたスレッドであるか否かを識別し、仮想環境での悪性コード行為を分析し、正常プロセスに偽装挿入された悪性コードを検出するシステム及び方法に関する。
最近、インターネットサービスが多様化されるにつれ、インターネット使用率が増加していて、これによって、コンピュータウイルスやインターネットワームなどのような悪性コードがインターネットを介して広く拡散され、ユーザに多くの被害をもたらしている。特に、2009年77大乱を誘発したボット(bot)のような悪性コードによる被害が続出している。このような悪性コードは、自分がサーバーの役目をするために、正常プロセスにスレッドを挿入し、C&C(Command and Control)によって統制を受けながら、ユーザPCで悪性行為を行う。このような悪性コードは、自分の存在を隠すために、DLLインジェクションまたはコードインジェクション技法を用いて正常プロセスに仮装し、自分を隠す。
従来の悪性コード検出方法は、バイナリーハッシュ値または特定領域の連続されたバイトシーケンス(byte sequence)をシグネチュアに生成比較し、悪性可否を判断し、当該プロセスを強制終了させ、ファイルを削除する。しかし、バイナリーパターン比較方式に依存するので、既に知られており、悪性コードのバイナリーパターンデータベースに登録されている悪性コードに対しては、確実な診断率を期待することができるが、まだ知られていない悪性コードに対しては、診断自体が不可能であるという短所がある。
また、悪性コードの検出及び処理のために、特定のAPIをフッキング(hooking)するか、または、カーネル階層でのフッキングを利用する方法があるが、前者の場合は、特定のAPIのみを対象にフッキングして悪性コードの行為を中間でモニタリングし、ユーザの判断によって悪性可否を判断し、遮断可否を決定しなければならないし、また、後者の場合は、システムの誤動作による深刻な障害を誘発することがあり得るという問題がある。
韓国特許登録第10−0786725号
本発明は、前述のような問題点を解決するためになされたもので、その目的は、コンピュータシステム上で実行中のプロセスから生成されたスレッドが悪性コードによって生成されたスレッドであるか否かを1次的に判断し、悪性と疑われれば、仮想環境での悪性コード行為を追加的に分析することによって、正常プロセスに仮装された悪性コードを検出するシステム及び方法を提供することにある。
本発明の一実施例による悪性コード検出装置は、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュールと、前記抽出されたコードを仮想環境で実行し、行為を分析した結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュールと、を含む。
本発明の他の実施例による悪性コード検出システムは、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュールと、前記抽出されたコードの仮想環境行為の分析結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュールとを備える悪性コード検出装置と、前記悪性コード検出モジュールによって抽出されたコードを仮想環境で実行し、前記コードの行為に対するログを生成するログ生成モジュールと、前記ログを利用して前記コードの行為が運営体制防火壁及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成または変更行為のうち1つに該当するか否かを分析し、前記分析結果を前記悪性コード強制終了モジュールに伝達する悪性行為識別モジュールとを備える仮想環境悪性コード行為分析装置と、を含む。
さらに、本発明の他の実施例による悪性コード検出方法は、コンピュータシステム上で実行中のプロセスリスト及び各プロセスに属するスレッド情報を抽出する段階と、前記スレッドと関連されたコードを識別し、前記プロセスの仮想メモリ、前記コードのPE属性、前記コードとサービスプロセスとの連関性及びスレッドスタックのうち少なくとも1つを検査することによって、前記識別されたコードの悪性可否を推定する段階と、前記悪性と推定されたコードの悪性脅威度を算出する段階と、前記算出された悪性脅威度がしきい値以上のコードを抽出して仮想環境悪性コード行為分析装置に分析要請する段階と、前記仮想環境悪性コード行為分析装置から受信された分析結果に基づいて前記コードを悪性コードとして最終判断する段階と、前記悪性コードとして最終判断されたコードの実行を強制終了する段階と、を含む。
本発明による悪性コード検出システム及び方法を利用すれば、既に発見された悪性コードだけでなく、まだ発見されていない悪性コードや既に発見された悪性コードの変形されたコードをも検出することができるようになり、悪意的行為の可能性がある未知の悪性コードにも効果的に対応することができると共に、事故調査用として活用することができる。
また、コンピュータシステム上で実行中のプロセスから生成されたスレッドを抽出して、悪性コードによって生成されたスレッドであるか否かを1次的に判断し、悪性と疑われれば、仮想環境での悪性コード行為を追加的に分析することによって、悪性コードの誤検出率を低減することができる。
本発明による悪性コード検出システムを利用して正常プロセスに偽装挿入された悪性コードを検出する概念を説明する図である。 本発明の一実施例による悪性コード検出システムの構成を示すブロック図である。 本発明の一実施例によって正常プロセスに偽装挿入された悪性コードを検出する方法を示す流れ図である。
以下、添付図面を参照して本発明の実施例について本発明の属する技術分野における通常の知識を有する者が容易に実施することができるように詳細に説明する。しかし、本発明は、様々な他の形態に変形されることができ、本発明の範囲が下記実施例に限定されるものではない。なお、図面において、本発明を正確に説明するために、説明と関係ない部分を省略し、明細書全般において、同一の参照符号は同一の構成要素を示す。
また、明細書全般において、或る部分が任意の構成要素を「含む」とするとき、これは、特に反対される記載がない限り、他の構成要素を除外するものではなく、他の構成要素をさらに含むことができることを意味する。また、明細書に記載された「…部」、「モジュール」などの用語は、少なくとも1つの機能や動作を処理する単位を意味し、これは、ハードウェアやソフトウェアまたはハードウェア及びソフトウェアの組合せによって具現されうる。
図1は、本発明による悪性コード検出装置を利用して正常プロセスに偽装挿入された悪性コードを検出する概念を説明する図である。図示のように、一般プロセス1、3は、一般スレッドを生成する。一方、悪性プロセス2は、自分のプロセスを隠すために、他の正常プロセス1、3に悪性行為を行う悪性コードをDLLインジェクションまたはコードインジェクション技法を利用して挿入する。挿入された悪性コードは、正常プロセスの一部分のように動作するようになるので、識別が困難であり、挿入された悪性コードによって悪性行為を担当する悪性スレッド20、30が生成される。本発明による悪性コード検出システム100は、このような正常プロセスに挿入された悪性スレッド20、30を検出するためのものである。
図2は、本発明の一実施例による悪性コード検出システムの構成を示すブロック図である。
悪性コード検出システム200は、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を検査して悪性と疑われるコードを抽出する悪性コード検出装置210と、悪性コード検出装置210によって抽出されたコードを仮想環境で実行し、悪性行為を分析する仮想環境悪性コード行為分析装置220とを含む。
具体的に、悪性コード検出装置210は、悪性コード検出モジュール211と悪性コード遮断及び強制終了モジュール212とを含む。一実施例において、悪性コード検出装置210は、ユーザPCで実行されるものと記載されているが、その他、ラップトップ、携帯用コンピュータまたはタブレットなどネットワーク機能を具備した多様な類型の機器のうち1つで行われることができ、これらに限定されない。
悪性コード検出モジュール2110は、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出してスレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されるコードを抽出し、悪性コード行為分析装置220に伝達する。前記スレッドと関連されたコードは、コンピュータ上で実行中の実行ファイルであるか、またはプロセスに動的にリンクされたDLL(Dynamic Link Library)である。悪性コード検出モジュール210は、前記プロセスの仮想メモリ、前記識別されたコードのPE(Portable Executable)属性、前記識別されたコードのサービスプロセスとの連関性及び前記スレッドと関連されたスレッドスタックのうち少なくとも1つを検査することによって、前記コードの悪性可否を推定する。本発明による悪性可否推定過程は、図3を参照してさらに詳しく後述する。
悪性コード遮断及び強制終了モジュール212は、悪性コード行為分析装置220の分析結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する。また、前記悪性コードをクライアントのメモリから削除することができる。
仮想環境悪性コード行為分析装置220は、悪性コード検出装置210から伝達されたコードを仮想環境で実行させて、コードの行為を分析し、分析結果を悪性コード検出装置210に提供する役目をする。図面において、仮想環境悪性コード行為分析装置220は、悪性コード検出装置210が実行されるユーザPCと物理的に区別されるサーバー上で実行されるものと記載されており、このような実施例に限定されるものではなく、具現によっては悪性コード検出装置210と同一のシステム上に具現可能である。
具体的に、仮想環境悪性コード行為分析装置220は、悪性コード行為ログ生成モジュール221と悪性行為分析モジュール222とを含む。
悪性コード行為ログ生成モジュール221は、悪性コード検出装置210から伝達されたコードを仮想環境で実行し、コードの行為に対するログを生成する。悪性行為分析モジュール222は、ログを分析し、前記コードの行為が運営体制防火壁及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成または変更行為であるか否かを分析し、前記分析結果を悪性コード検出装置210の悪性コード遮断及び強制終了モジュール212に伝送する。
仮想環境をエミュレーションしてコードの行為を分析する過程は、サンドボックス(Sandbox)など本技術分野に公知されたツールを利用して具現することができるので、これに関する詳しい説明は、本明細書で省略する。
図3は、本発明の一実施例によって正常プロセスに偽装挿入された悪性コードを検出する方法を示す流れ図である。図3には、便宜上、段階S311乃至段階S319は、悪性コード検出装置210で行われ、段階S321乃至段階S323は、仮想環境悪性コード行為分析装置220で行われるものと示されているが、これは、一例に過ぎず、本発明の段階S311乃至S319及び段階S321乃至S323が必ず物理的に分離された装置上で具現されるものに限定されるわけではない。
段階S311で、システム上で動作するプロセスリストを抽出し、各プロセスに属するスレッド情報、例えば、スレッド個数、各スレッドの開始アドレス及びベースアドレスを抽出する。
段階S312で、スレッドに対する悪性可否を検査する。具体的に、悪性可否は、スレッドを生成した主体識別段階S3121、仮想メモリ検査段階S3122、PE(Portable Executable)分析段階S3123、サービスプロセス検査S3124及びスレッドスタック検査段階S3125を含む。
まず、段階S3121で、スレッドを生成したコード、すなわち、実行ファイルまたはDLLを識別する。DLLを識別するためには、スレッドを生成したプロセスにリンクされたDLLのうち動的リンクされたDLLを抽出し、DLLのベースアドレスとメモリにマップされた(mapped)サイズを求める。実行ファイルまたは動的リンクされたDLLのうちベースアドレスとメモリにマップされた範囲が当該スレッドの開始アドレスを含んでいる実行ファイルまたはDLLを検索し、当該スレッドを生成した実行ファイルまたはDLLを識別する。
仮想メモリ検査段階S3122で、スレッドを生成したプロセスの仮想メモリに段階S3122で識別されたDLLファイル名の文字列があるか否かを検査し、DLLファイル名の文字列が存在する場合、当該DLLがDLLインジェクション技術を利用して正常プロセスに偽装挿入された悪性コードである可能性があると判断する。
PE分析段階S3123で、前記識別されたDLLのPEフォーマットを検査し、非正常的な要素があるか否かを判断する。一例として、PEフォーマットに多く使用されるビジュアルスタジオ、C++ビルダー、デルファイ、ビジュアルベーシックなどの汎用コンパイラによって生成されたデータ以外の未知の(unknown)セクションが含まれていれば、当該DLLが正常プロセスに偽装挿入された悪性コードである可能性があると判断する。また、チェックサムが正しくないか、PE属性内のファイルサイズと探索器から出たファイルサイズが異なる場合にも、当該DLLが悪性である可能性があると判断する。
サービスプロセス検査段階S3124で、前記識別されたDLLがウィンドウ運営体制で実行中のサービスプロセスに動的リンクされているか否か、そしてサービス情報が含まれているレジストリに当該DLLを含むサービスがあるか否かを検査する。DLLを含んでいるサービスがある場合、当該サービスの属性、例えばサービスタイプ、開始類型、従属性、所属グループ情報などを検査する。検査結果、DLLを含んでいるサービスが他のサービスとの連関性及び従属性がないか、または、自動開始が設定されている場合、悪性DLLによって生成されたサービスである可能性があると判断する。
スレッドスタック検査段階S3125から段階S3121までにおいて、当該スレッドを生成したDLLが発見されない場合、スレッドスタックを追跡し、スレッドが使用中のDLLリストを順次に獲得した後、DLLのPE属性を検査し、未知のセクションがあるか否かを検査する。DLLのPE検査は、前述の段階S3123と同一である。検査結果、未知のセクションがあるDLLを正常プロセスに偽装挿入された悪性コードである可能性があると判断する(S3125)。
段階S313で、悪性コードによって生成されたものと推定されるDLLの悪性脅威度を算出する。一例として、前述の段階(S3121乃至S3125)の検査過程では、当該DLLが悪性である可能性があると判断された場合、これに対応するフラグを設定する。例えば、仮想メモリ検査段階S3122で、当該DLLファイル名の文字列が存在すれば、DLLインジェクションフラグを設定する。PE分析段階S3123では、PEフォーマット内に未知の(Unknown)セクションがあれば、未知のセクションフラグを設定し、チェックサムが正しくない場合、チェックサムフラグを設定し、PE属性内のファイルサイズと検出器から出たファイルサイズが異なる場合、ファイルサイズフラグを設定する。サービスプロセス検査段階S3124では、サービスフラグを、スレッドスタック検査段階S3125では、スレッドスタックフラグを設定する。
悪性可否による脅威度算出段階S313では、前述の検査段階で設定されたフラグによって点数を「高い」、「中間」、「低い」の3段階で脅威点数を計算する。例えば、インジェクションされたDLLの場合、高い(10点)、未知のセクションの場合、低い(1点)、サービスで動作するDLLの場合、中間(5点)などのような方式で脅威度を算出する。
段階S314において、段階S313で求められた悪性脅威度がしきい値以上の場合、前記スレッドを悪性スレッドであると判断し、そうでない場合は、次のスレッドに対して悪性可否を検査するために段階S312に戻る。
段階S315において、悪性スレッドとして判断されたスレッドと関連された実行ファイルまたはDLLファイルを抽出する。
段階S316において、抽出された実行ファイルまたはDLL(以下、コードという)を仮想環境悪性コード行為分析装置220に伝送し、分析を要請する。
段階S321において、仮想環境悪性コード行為分析装置220は、悪性コード検出装置210によって悪性脅威度が高いと判断されたコードを受信する。
段階S322において、仮想環境で当該コードを実行し、ファイル及びレジストリの接近、ネットワーク送受信行為に対するログを生成し、ログ分析を通じて前記コードの行為が運営体制防火壁及びワクチンを無力化する行為であるか否か、自分が実行される環境であるかまたは仮想環境であるかを確認する行為、ファイル及びレジストリを生成したり変更したりする行為を含む悪性行為のうち1つに該当するか否かを判断する。
段階S323において、前記分析結果を悪性コード検出装置210に伝送する。
段階S317において、分析結果を受信し、段階S318で分析結果が悪性行為に該当する場合、前記実行コードを悪性コードとして最終判断する。
段階S319において、前記悪性コードの実行を強制終了し、当該コードを削除する。
以上、本発明について好ましい実施例を中心に説明した。本発明の属する技術分野における通常の知識を有する者は、本発明が本発明の本質的な特性から逸脱しない範囲内で変形された形態で具現されることができることを理解することができるだろう。したがって、開示された実施例は、限定的な観点でなく、説明的な観点で考慮されなければならない。本発明の範囲は、前述の説明ではなく、特許請求範囲に示されており、それと同等な範囲内にあるすべての差異点は、本発明に含まれたものと解すべきである。
1、3 一般プロセス
2 悪性プロセス
10、40 一般スレッド
20、30 悪性スレッド
100 悪性コード検出システム

Claims (14)

  1. コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュールと、
    前記抽出されたコードを仮想環境で実行し、行為を分析した結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュールと、を含み、
    前記悪性コード検出モジュールは、前記プロセスの仮想メモリ、前記識別されたコードのPE(Portable Executable)属性、前記識別されたコードのサービス属性及びスレッドスタックのうち少なくとも1つを検査して、それぞれの検査の種類に応じて脅威度を算出し、前記脅威度に基づいて、前記識別されたコードの悪性可否をあらかじめ推定する
    ことを特徴とする悪性コード検出装置。
  2. 前記スレッドと関連されたコードは、実行ファイルであるか、または、DLL(Dynamic Link Library)であることを特徴とする請求項1に記載の悪性コード検出装置。
  3. 前記悪性コード検出モジュールは、前記スレッド情報を抽出するために前記コンピュータシステム上で動作するプロセスリスト及び各プロセスによって生成されたスレッド情報を抽出することを特徴とする請求項1に記載の悪性コード検出装置。
  4. 前記悪性コード検出モジュールは、前記スレッドを生成したプロセスの仮想メモリに前記スレッドと関連された前記コードに該当するファイル名の文字列が存在するか否かを検査し、当該文字列が存在すれば、前記コードを悪性と推定することを特徴とする請求項1に記載の悪性コード検出装置。
  5. 前記悪性コード検出モジュールは、前記識別されたコードのPE属性を検査し、未知のセクションが存在する場合、前記コードを悪性と推定することを特徴とする請求項1に記載の悪性コード検出装置。
  6. 前記悪性コード検出モジュールは、前記識別されたコードのPE属性を検査し、チェックサムが正しくないか、前記PE属性内のファイルサイズと検出器から出たファイルサイズが異なる場合、前記コードを悪性と推定することを特徴とする請求項1に記載の悪性コード検出装置。
  7. 前記悪性コード検出モジュールは、前記識別されたコードによって行われるサービス属性を検査し、前記サービスが他のサービスとの連関性及び従属性がないか、自動開始に設定されている場合、前記コードを悪性と推定することを特徴とする請求項1に記載の悪性コード検出装置。
  8. 前記悪性コード検出モジュールは、前記スレッドと関連されたコードが識別されない場合、スレッドスタックを追跡し、前記スレッドが使用中のDLLリストを獲得し、前記獲得されたDLLのPE属性を検査することによって、前記DLLの悪性可否を推定することを特徴とする請求項1に記載の悪性コード検出装置。
  9. 前記悪性コード強制終了モジュールは、前記コードの行為分析結果がオペレーティングシステムのファイアウォール及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成/変更行為のうち1つに該当する場合、前記コードを悪性コードとして最終判断することを特徴とする請求項1に記載の悪性コード検出装置。
  10. コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュールと、前記抽出されたコードの仮想環境行為分析結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュールとを備える悪性コード検出装置と、
    前記悪性コード検出モジュールによって抽出されたコードを仮想環境で実行し、前記コードの行為に対するログを生成するログ生成モジュールと、前記ログを利用して前記コードの行為がオペレーティングシステムのファイアウォール及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成または変更行為のうち1つに該当するか否かを分析し、前記分析結果を前記悪性コード強制終了モジュールに伝達する悪性行為識別モジュールとを備える仮想環境悪性コード行為分析装置と、を含み、
    前記悪性コード検出モジュールは、前記プロセスの仮想メモリ、前記識別されたコードのPE属性、前記識別されたコードのサービス属性及びスレッドスタックのうち少なくとも1つを検査して、それぞれの検査の種類に応じて脅威度を算出し、前記脅威度に基づいて、前記識別されたコードの悪性可否をあらかじめ推定する
    ことを特徴とする悪性コード検出システム。
  11. 前記悪性コード検出装置は、クライアントで動作し、前記仮想環境悪性コード行為分析装置は、サーバーで動作することを特徴とする請求項10に記載の悪性コード検出システム。
  12. 前記悪性コード検出モジュールは、前記仮想環境悪性コード行為分析装置に前記抽出されたコードの仮想環境行為分析を要請することを特徴とする請求項11に記載の悪性コード検出システム。
  13. コンピュータシステム上で実行中のプロセスリスト及び各プロセスに属するスレッド情報を抽出する段階と、
    前記スレッドと関連されたコードを識別し、前記プロセスの仮想メモリ、前記コードのPE属性、前記コードとサービスプロセスとの連関性及びスレッドスタックのうち少なくとも1つを検査することによって、前記識別されたコードの悪性可否を推定する段階と、
    前記悪性と推定されたコードの悪性脅威度を前記検査の種類に応じて算出する段階と、
    前記算出された悪性脅威度がしきい値以上のコードを抽出し、仮想環境悪性コード行為分析装置に分析要請する段階と、
    前記仮想環境悪性コード行為分析装置から受信された分析結果に基づいて前記コードを悪性コードとして最終判断する段階と、
    前記悪性コードとして最終判断されたコードの実行を強制終了する段階と、を含むことを特徴とする悪性コード検出方法。
  14. 前記コードを悪性コードとして最終判断する段階は、前記仮想環境悪性コード行為分析装置の分析結果がオペレーティングシステムのファイアウォール及びワクチン無力化行為、仮想環境識別行為、ファイル及びレジストリに対する生成/変更行為のうち1つに該当する場合、前記コードを悪性コードとして最終判断することを特徴とする請求項13に記載の悪性コード検出方法。
JP2010177251A 2010-04-28 2010-08-06 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法 Active JP5087661B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2010-0039335 2010-04-28
KR1020100039335A KR101122650B1 (ko) 2010-04-28 2010-04-28 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법

Publications (2)

Publication Number Publication Date
JP2011233126A JP2011233126A (ja) 2011-11-17
JP5087661B2 true JP5087661B2 (ja) 2012-12-05

Family

ID=44859394

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010177251A Active JP5087661B2 (ja) 2010-04-28 2010-08-06 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法

Country Status (3)

Country Link
US (1) US8955124B2 (ja)
JP (1) JP5087661B2 (ja)
KR (1) KR101122650B1 (ja)

Families Citing this family (86)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9652616B1 (en) * 2011-03-14 2017-05-16 Symantec Corporation Techniques for classifying non-process threats
US9501640B2 (en) 2011-09-14 2016-11-22 Mcafee, Inc. System and method for statistical analysis of comparative entropy
US9686293B2 (en) 2011-11-03 2017-06-20 Cyphort Inc. Systems and methods for malware detection and mitigation
US9792430B2 (en) * 2011-11-03 2017-10-17 Cyphort Inc. Systems and methods for virtualized malware detection
US9519781B2 (en) 2011-11-03 2016-12-13 Cyphort Inc. Systems and methods for virtualization and emulation assisted malware detection
US20130152200A1 (en) * 2011-12-09 2013-06-13 Christoph Alme Predictive Heap Overflow Protection
CN102819697B (zh) * 2011-12-26 2015-07-22 哈尔滨安天科技股份有限公司 一种基于线程反编译的多平台恶意代码检测方法和系统
TWI461953B (zh) 2012-07-12 2014-11-21 Ind Tech Res Inst 運算環境安全方法和電子運算系統
CN103632088A (zh) * 2012-08-28 2014-03-12 阿里巴巴集团控股有限公司 一种木马检测方法及装置
US8984331B2 (en) * 2012-09-06 2015-03-17 Triumfant, Inc. Systems and methods for automated memory and thread execution anomaly detection in a computer network
KR101421630B1 (ko) 2013-01-28 2014-07-22 주식회사 잉카인터넷 코드 인젝션된 악성코드 탐지 시스템 및 방법
US9286047B1 (en) 2013-02-13 2016-03-15 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
EP2784716A1 (en) * 2013-03-25 2014-10-01 British Telecommunications public limited company Suspicious program detection
KR101444141B1 (ko) * 2013-05-03 2014-09-26 주식회사 잉카인터넷 악성스레드 처리 시스템 및 방법
KR101436496B1 (ko) * 2013-09-02 2014-10-14 주식회사 안랩 악성 코드 원격 진단 시스템
JP2015060417A (ja) * 2013-09-19 2015-03-30 日本電気株式会社 異常検知装置、異常検知方法、異常検知プログラム、及び、保護装置
US20150089655A1 (en) * 2013-09-23 2015-03-26 Electronics And Telecommunications Research Institute System and method for detecting malware based on virtual host
US9323931B2 (en) * 2013-10-04 2016-04-26 Bitdefender IPR Management Ltd. Complex scoring for malware detection
CN103679024B (zh) * 2013-11-19 2015-03-25 百度在线网络技术(北京)有限公司 病毒的处理方法及设备
US10095866B2 (en) 2014-02-24 2018-10-09 Cyphort Inc. System and method for threat risk scoring of security threats
US10225280B2 (en) 2014-02-24 2019-03-05 Cyphort Inc. System and method for verifying and detecting malware
US10326778B2 (en) 2014-02-24 2019-06-18 Cyphort Inc. System and method for detecting lateral movement and data exfiltration
US11405410B2 (en) 2014-02-24 2022-08-02 Cyphort Inc. System and method for detecting lateral movement and data exfiltration
CN104933368B (zh) * 2014-03-21 2018-05-22 腾讯科技(深圳)有限公司 一种网络安全漏洞的检测方法及装置
US9773112B1 (en) * 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
EP3225010B1 (en) * 2014-11-25 2018-09-26 Ensilo Ltd. Systems and methods for malicious code detection accuracy assurance
JP2016115072A (ja) * 2014-12-12 2016-06-23 Necフィールディング株式会社 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法
US9552481B1 (en) * 2014-12-30 2017-01-24 Symantec Corporation Systems and methods for monitoring programs
KR20160099160A (ko) 2015-02-11 2016-08-22 한국전자통신연구원 명령어 집합의 행위 패턴을 엔-그램 방식으로 모델링하는 방법, 그 방법으로 동작하는 컴퓨팅 장치, 및 그 방법을 컴퓨팅 장치에서 실행하도록 구성되는 기록 매체에 저장된 프로그램
US10701085B2 (en) * 2015-03-05 2020-06-30 Nippon Telegraph And Telephone Corporation Communication partner malignancy calculation device, communication partner malignancy calculation method, and communication partner malignancy calculation program
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
CN104992112B (zh) * 2015-05-19 2017-10-13 上海理工大学 检测安卓系统敏感信息泄露的方法和装置
US9800497B2 (en) 2015-05-27 2017-10-24 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US20160381051A1 (en) * 2015-06-27 2016-12-29 Mcafee, Inc. Detection of malware
RU2589862C1 (ru) 2015-06-30 2016-07-10 Закрытое акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносного кода в оперативной памяти
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
KR101854391B1 (ko) * 2016-07-21 2018-05-04 (주)레드스톤소프트 로그 검색을 이용한 단말의 보안 검사 방법
US11120106B2 (en) 2016-07-30 2021-09-14 Endgame, Inc. Hardware—assisted system and method for detecting and analyzing system calls made to an operating system kernel
KR101857575B1 (ko) * 2016-09-02 2018-05-14 주식회사 안랩 악성코드탐지시스템 및 악성코드 탐지 방법
KR101749903B1 (ko) 2016-11-11 2017-06-26 주식회사 안랩 비실행형 파일의 악성여부 검사시스템 및 비실행형 파일의 악성여부 검사 방법
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
US9734337B1 (en) * 2017-01-24 2017-08-15 Malwarebytes Inc. Behavior-based ransomware detection
KR101847381B1 (ko) * 2017-02-02 2018-04-12 (주)리투인소프트웨어 전자메일 제공 시스템 및 그 방법
KR101896679B1 (ko) * 2017-02-14 2018-09-10 주식회사 시큐아이 악성코드 탐지장치 및 이의 악성코드 탐지방법
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10893068B1 (en) * 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10382468B2 (en) * 2017-07-03 2019-08-13 Juniper Networks, Inc. Malware identification via secondary file analysis
US11151247B2 (en) 2017-07-13 2021-10-19 Endgame, Inc. System and method for detecting malware injected into memory of a computing device
US11151251B2 (en) 2017-07-13 2021-10-19 Endgame, Inc. System and method for validating in-memory integrity of executable files to identify malicious activity
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
US10999304B2 (en) 2018-04-11 2021-05-04 Palo Alto Networks (Israel Analytics) Ltd. Bind shell attack detection
WO2020136673A1 (en) * 2018-12-28 2020-07-02 Seth Varun Malware detection
US11184378B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Scanner probe detection
US11184376B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Port scan detection using destination profiles
US11184377B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using source profiles
KR102023746B1 (ko) * 2019-03-26 2019-09-20 넷마블 주식회사 악성코드 탐지 방법 및 장치
US11316873B2 (en) 2019-06-28 2022-04-26 Bank Of America Corporation Detecting malicious threats via autostart execution point analysis
CN110659490B (zh) * 2019-09-20 2023-02-24 安天科技集团股份有限公司 恶意样本的处理方法、装置、电子设备及存储介质
US11522891B2 (en) 2019-11-26 2022-12-06 Micro Focus Llc Machine learning anomaly detection of process-loaded DLLs
US20210336973A1 (en) * 2020-04-27 2021-10-28 Check Point Software Technologies Ltd. Method and system for detecting malicious or suspicious activity by baselining host behavior
US11509680B2 (en) * 2020-09-30 2022-11-22 Palo Alto Networks (Israel Analytics) Ltd. Classification of cyber-alerts into security incidents
US12039017B2 (en) 2021-10-20 2024-07-16 Palo Alto Networks (Israel Analytics) Ltd. User entity normalization and association
US11799880B2 (en) 2022-01-10 2023-10-24 Palo Alto Networks (Israel Analytics) Ltd. Network adaptive alert prioritization system

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03233629A (ja) * 1990-02-09 1991-10-17 Nec Corp 実行形式ファイルの被破壊チェック方式
ATE183592T1 (de) * 1994-06-01 1999-09-15 Quantum Leap Innovations Inc Computervirenfalle
US20030159070A1 (en) * 2001-05-28 2003-08-21 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
US20020087824A1 (en) * 2000-12-29 2002-07-04 Hum Herbert H.J. System and method for employing a process identifier to minimize aliasing in a linear-addressed cache
US7260845B2 (en) * 2001-01-09 2007-08-21 Gabriel Kedma Sensor for detecting and eliminating inter-process memory breaches in multitasking operating systems
CN1147795C (zh) 2001-04-29 2004-04-28 北京瑞星科技股份有限公司 检测和清除已知及未知计算机病毒的方法、系统
US7234164B2 (en) 2001-11-30 2007-06-19 Computer Associates Think, Inc. Method and system for blocking execution of malicious code
KR20040089386A (ko) 2003-04-14 2004-10-21 주식회사 하우리 메모리를 감염시키는 바이러스의 치료방법, 프로그램을기록한 컴퓨터로 읽을 수 있는 기록매체 및 바이러스의치료장치
US7797752B1 (en) * 2003-12-17 2010-09-14 Vimal Vaidya Method and apparatus to secure a computing environment
US7376970B2 (en) * 2004-02-20 2008-05-20 Microsoft Corporation System and method for proactive computer virus protection
US20050246453A1 (en) * 2004-04-30 2005-11-03 Microsoft Corporation Providing direct access to hardware from a virtual environment
JP2006065947A (ja) * 2004-08-26 2006-03-09 Matsushita Electric Ind Co Ltd 情報記録装置
US7493654B2 (en) * 2004-11-20 2009-02-17 International Business Machines Corporation Virtualized protective communications system
US7797702B1 (en) * 2005-02-22 2010-09-14 Symantec Corporation Preventing execution of remotely injected threads
US7779472B1 (en) * 2005-10-11 2010-08-17 Trend Micro, Inc. Application behavior based malware detection
KR100786725B1 (ko) 2005-11-08 2007-12-21 한국정보보호진흥원 악성코드 분석 시스템 및 방법
US7716530B2 (en) * 2006-02-28 2010-05-11 Microsoft Corporation Thread interception and analysis
US9021590B2 (en) * 2007-02-28 2015-04-28 Microsoft Technology Licensing, Llc Spyware detection mechanism
US9092823B2 (en) * 2007-06-01 2015-07-28 F-Secure Oyj Internet fraud prevention
US20090007100A1 (en) * 2007-06-28 2009-01-01 Microsoft Corporation Suspending a Running Operating System to Enable Security Scanning
US8763115B2 (en) * 2007-08-08 2014-06-24 Vmware, Inc. Impeding progress of malicious guest software
US7620992B2 (en) * 2007-10-02 2009-11-17 Kaspersky Lab Zao System and method for detecting multi-component malware
KR100938672B1 (ko) 2007-11-20 2010-01-25 한국전자통신연구원 악성 코드에 의해 삽입된 동적 연결 라이브러리 검출 장치 및 방법
US8539551B2 (en) * 2007-12-20 2013-09-17 Fujitsu Limited Trusted virtual machine as a client
US8434151B1 (en) * 2008-01-04 2013-04-30 International Business Machines Corporation Detecting malicious software
US8239836B1 (en) * 2008-03-07 2012-08-07 The Regents Of The University Of California Multi-variant parallel program execution to detect malicious code injection
KR100951852B1 (ko) 2008-06-17 2010-04-12 한국전자통신연구원 응용 프로그램 비정상행위 차단 장치 및 방법
US20090323799A1 (en) * 2008-06-25 2009-12-31 Stmicroelectronics, Inc. System and method for rendering a high-performance virtual desktop using compression technology
JP2010049627A (ja) * 2008-08-25 2010-03-04 Hitachi Software Eng Co Ltd コンピュータウィルス検出システム
US8931086B2 (en) 2008-09-26 2015-01-06 Symantec Corporation Method and apparatus for reducing false positive detection of malware
US8181251B2 (en) * 2008-12-18 2012-05-15 Symantec Corporation Methods and systems for detecting malware
US8850428B2 (en) * 2009-11-12 2014-09-30 Trustware International Limited User transparent virtualization method for protecting computer programs and data from hostile code
US8042186B1 (en) * 2011-04-28 2011-10-18 Kaspersky Lab Zao System and method for detection of complex malware

Also Published As

Publication number Publication date
JP2011233126A (ja) 2011-11-17
KR20110119918A (ko) 2011-11-03
US20110271343A1 (en) 2011-11-03
KR101122650B1 (ko) 2012-03-09
US8955124B2 (en) 2015-02-10

Similar Documents

Publication Publication Date Title
JP5087661B2 (ja) 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法
US10581879B1 (en) Enhanced malware detection for generated objects
KR100938672B1 (ko) 악성 코드에 의해 삽입된 동적 연결 라이브러리 검출 장치 및 방법
US9680848B2 (en) Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and API flow-based dynamic analysis
KR101720686B1 (ko) 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법
US20100071063A1 (en) System for automatic detection of spyware
US9323925B2 (en) Method and system for prevention of windowless screen capture
US20150256552A1 (en) Imalicious code detection apparatus and method
US20100024033A1 (en) Apparatus and method for detecting obfuscated malicious web page
KR102271545B1 (ko) 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들
US20090133125A1 (en) Method and apparatus for malware detection
Gianazza et al. Puppetdroid: A user-centric ui exerciser for automatic dynamic analysis of similar android applications
CN102916937B (zh) 一种拦截网页攻击的方法、装置和客户端设备
CN107579997A (zh) 无线网络入侵检测系统
WO2017012241A1 (zh) 文件的检测方法、装置、设备及非易失性计算机存储介质
JP6000465B2 (ja) プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法
CN107566401B (zh) 虚拟化环境的防护方法及装置
JP2013168141A (ja) マルウェアの検出方法
EP3144845A1 (en) Detection device, detection method, and detection program
CN105791250B (zh) 应用程序检测方法及装置
Choi et al. All‐in‐One Framework for Detection, Unpacking, and Verification for Malware Analysis
US10880316B2 (en) Method and system for determining initial execution of an attack
JP6258189B2 (ja) 特定装置、特定方法および特定プログラム
KR101983997B1 (ko) 악성코드 검출시스템 및 검출방법
US20180020012A1 (en) Malware analysis system, malware analysis method, and malware analysis program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120321

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120410

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120607

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120821

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120910

R150 Certificate of patent or registration of utility model

Ref document number: 5087661

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150914

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250