JP6624771B2 - クライアントベースローカルマルウェア検出方法 - Google Patents

クライアントベースローカルマルウェア検出方法 Download PDF

Info

Publication number
JP6624771B2
JP6624771B2 JP2014078356A JP2014078356A JP6624771B2 JP 6624771 B2 JP6624771 B2 JP 6624771B2 JP 2014078356 A JP2014078356 A JP 2014078356A JP 2014078356 A JP2014078356 A JP 2014078356A JP 6624771 B2 JP6624771 B2 JP 6624771B2
Authority
JP
Japan
Prior art keywords
browser
malware
web page
security application
transparent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014078356A
Other languages
English (en)
Other versions
JP2014203464A (ja
Inventor
クレイン アミット
クレイン アミット
ブーダエイ マイケル
ブーダエイ マイケル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2014203464A publication Critical patent/JP2014203464A/ja
Application granted granted Critical
Publication of JP6624771B2 publication Critical patent/JP6624771B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、インターネットセキュリティの分野に関する。具体的には、本発明はクライアントベースでユーザ端末デバイスにおけるマルウェアを検出する方法に関する。ユーザ端末デバイスとは、例えばユーザコンピュータであり、ユーザ端末デバイス上で実行されるブラウザを介してマルウェアに感染したものをいう。
より多くのユーザがインターネットに接続され、日常活動を電子的に実施するようになるのにともない、コンピュータユーザは地下経済のターゲットとなるようになっている。これらは主に経済的利益のため、マルウェアとしても知られる悪意あるソフトウェアでホストを感染させる。悪いことに、感染したwebサイトを一度訪れるのみであっても、アタッカはユーザブラウザの脆弱性を検出し、ユーザコンピュータにマルウェアを観戦させることができる。このマルウェアはしばしば、攻撃者が秘密データにアクセスできるようにし、あるいは欠陥がある端末デバイスのフルコントロールを得ることすらできる。これにより、機密情報の漏えいやホストの遠隔操作を可能にするユーティリティのインストールが発生し得る。
インターネットサービスは、ますます私たちの日々の生活の必須要素になりつつある。私たちはコミュニケーションのためインターネットに接続されたデバイスの便利さと柔軟性にますます依存するようになっており、一般に物理的存在を必要とするタスクをこれによって実施するようになっている。例えばバンキング作業がこれに当たる。非常に便利ではあるものの、インターネット取引は私たちの機密情報をさらしてしまう可能性がある。バンキング、医療記録、認証パスワード、個人通信記録は、接続されたいずれかのデバイスを脆弱化することに成功した攻撃者へ容易に知られてしまう可能性がある。
多くの場合、侵入が成功するとマルウェアに感染し、マルウェアは自身をユーザコンピュータ(またはインターネットなどのデータネットワークに接続しているユーザの他の端末デバイス)にインストールする。マルウェアを用いて、バンキングパスワードなどの機密情報を盗むことができる。特にユーザがブラウザを起動するときが顕著である。
上記課題を解決するため、有効なマルウェア検出ツールが望まれる。
US2011/0239300(本願出願人と同じ)は、コンピュータ内に存在するHTML改変マルウェアを検出する方法を開示している。ブラウザが受信したwebページ内に改変された文字列が存在するか否かを判定する。改変要素が見つかった場合、コンピュータ内にマルウェアが存在すると判定され、1以上の警告タスクまたは防御タスクが生成される。US2011/0239300の内容は参照によって本願に組み込まれる。同文献は、ユーザのブラウザがネットワークを介して表示するwebページをスキャンするマルウェアスキャンエンジンを備える遠隔サーバを提供する。マルウェアスキャンエンジンは、表示されたwebページの変化を検出するように構成されている。この変化は、ユーザ端末内に挿入されたマルウェアの存在を示唆している。しかし、ユーザがマルウェアによって「サポート」されていないブラウザ(すなわち、マルウェアが当該タイプのブラウザを攻撃するように作成されていない)でサーバにアクセスする場合、ユーザコンピュータがマルウェアに感染していることは検出されない。また、US2011/0239300が提案する方法は、ユーザがwebサイトに接続されたときのみマルウェアを検出することができる。
したがって本発明の目的は、クライアントサイドでマルウェアを検出する方法を提供することである。
本発明のその他の目的および利点は、以下の説明から明らかになるであろう。
本発明は、ユーザ端末デバイス上で動作するブラウザを介してマルウェアに感染した前記ユーザ端末デバイスにおけるマルウェアを検出する方法に関する。同方法は以下のステップを有する:
a)前記ユーザ端末上で所定のトリガイベントを検出したとき、前記端末上にインストールされたセキュリティアプリケーションによって透明ブラウザを自動的に起動して、1以上の所定Uniform Resource Locator(URL)へナビゲートするステップ;
b)前記透明ブラウザによってオープンされた直後に、受信した検査対象webページのコードを、前記セキュリティアプリケーションによってチェックするステップ;
c)前記透明ブラウザによって少なくとも部分的に処理された後、前記セキュリティアプリケーションによって前記コードを再チェックするステップ;
d)前記コードの変化を検出した場合、前記端末がマルウェアに感染した旨の警告を発するステップ。
前記所定のURLは、マルウェアによって攻撃されると予測されるwebサイトに対応するようにしてもよいし、ライブラリに格納してもよい。
前記セキュリティアプリケーションは、前記透明ブラウザによってオープンされる前に、受信したHTMLフォーマットの検査対象webページの前記コードを、チェックするように構成してもよい。
1実施形態において、前記コードを処理した後に再チェックするステップに代えて、前記セキュリティアプリケーションは、前記マルウェアのコード挿入のテンプレートを識別することにより、受信した検査対象webページの前記コードをチェックする。前記テンプレートは、前記透明ブラウザが受信した検査対象webページの前記コードから除外されたフィールドへ情報をタイプするように前記端末デバイスのユーザへ促すテキスト部分としてもよい。
1実施形態において、前記透明ブラウザに所定URLへナビゲートさせることに代えて、前記セキュリティアプリケーションは、ローカルデータベースから選択したエミュレートされたwebページを内部的に戻すことにより、前記URLへのナビゲートをエミュレートするように構成することもできる。
前記セキュリティアプリケーションは、前記URLへのナビゲーションを以下のステップによってエミュレートすることもできる:
a)実行中かつネットワークインターフェースに到達するデータを生成する前に、前記透明ブラウザによって起動された呼び出し機能を捕捉するステップ;
b)エミュレートされたwebページを前記透明ブラウザに対して内部的に戻すステップ。
プラグインとブラウザ拡張は前記透明ブラウザから実行不能にしてもよい。
本発明はまた、ユーザ端末デバイス上で動作するブラウザを介してマルウェアに感染した前記ユーザ端末デバイスにおけるマルウェアを検出する方法に関する。同方法は以下のステップを有する:
a)前記ユーザ端末上で所定のトリガイベントを検出したとき、前記端末上にインストールされたセキュリティアプリケーションによって透明ブラウザを自動的に起動して、1以上の所定URLへナビゲートするステップ;
b)前記セキュリティアプリケーションが前記透明ブラウザに対して、専用プラグインによってインターフェースブラウザから収集されたwebページを戻すことを許可するステップであって、前記プラグインは前記インターフェースブラウザにあらかじめインストールされておりかつ関心webページを記録するように構成されている、ステップ;
c)前記収集されたページにおいて1以上の変化を検出した場合、前記端末がマルウェアに感染した旨の警告を発するステップ。
1実施形態において、透明ブラウザを起動するステップおよび処理後に前記コードを再チェックするステップに代えて、前記セキュリティアプリケーションは各webページの前記コードにおける変化を以下のステップによって検出することもできる:
a)前記ユーザインターフェースブラウザを介してブラウズ中にwebページにアクセスするステップ;
b)ヒューリスティックプロセスを用いて、前記マルウェアが挿入したコードの既知のテキスト部分および前記マルウェアが使用する隠しフレームを検出することにより、前記webページを検査するステップ。
前記トリガイベントは、前記ユーザが前記インターフェースブラウザを起動したことを検出することであってもよいし、タイムベーストリガであってもよいし、前記ユーザ端末デバイスを再起動することであってもよい。
本発明の1実施形態に基づくマルウェア検出システムおよび方法の概略図である。 本発明が提案する方法の実施形態のフローチャートである。
ユーザは日々の生活において、例えばwebサイトのハイパーリンク(URL)をクリックすることにより、webサイトにアクセスする。ユーザは次にwebサイトを介してナビゲートし、関心のあるwebページを見つける。通常、ハイパーテキストマックアップ言語(HTML)形式の所望webページが、ユーザ端末のブラウザウインドウを介して、または当該分野における既知のコンピュータ手段によって、提示または表示される。
本発明は、コンピュータ(またはインターネットのようなデータネットワークに接続したユーザの任意の端末デバイス)にマルウェアが存在している状態でブラウジングしている間にユーザコンピュータ動作に応じてリアルタイム検出することにより、ブラウザを実行することを介して感染したコンピュータにおけるマルウェアを検出し、オンライン機密情報を不正捕捉することを防ぐ方法に関する。これは全体としては、ユーザのコンピュータにインストールされたセキュリティアプリケーションによってなされる。セキュリティアプリケーションは、特定webサイトを訪問している間にユーザインターフェース(実際の)ブラウザが受信したHTMLを検査し、そのHTMLページのコンテンツまたはコードのマルウェアによって生じた可能性のある変化を検出する。
図1は、本発明の1実施形態に基づくシステム(符号10を付している)を概略的に示す。本システムは、ユーザコンピュータ動作の結果としてブラウザに挿入されたマルウェアを検出するためのものである。システム10は、インターネット12またはデータネットワークに適したその他の接続を介してwebサイトサーバ24と接続することができるユーザ端末3を備える。ユーザ端末3は、インターフェース(実)ブラウザ7を有する。インターフェースブラウザ7が実行されると、ユーザが入力デバイス6によって従来通り選択したwebページ9をサーバ24からダウンロードする。これは通常はハイパーリンク(URL)にアクセスした後である。ユーザ端末3はまた、透明(不可視)ブラウザ14を有する。透明ブラウザ14は以下に説明するように、マルウェアを検出するため、ユーザに見えないようになっている(ただし端末デバイス上では実行される)。クライアントサイドセキュリティアプリケーション5は、ユーザ端末3上にインストールされており、格納されている所定命令にしたがって透明ブラウザ14を起動する。
セキュリティアプリケーション5は透明ブラウザ14に、マルウェアが攻撃するであろうと予測されるwebサイト(例えば銀行webサイト)のURLをいくつかナビゲートさせ、webページ9(またはサーバリソースのコピー)マルウェアによって改変されていないかチェックする。よってUS2011/0239300が提案する方法と異なり、本発明においてセキュリティアプリケーション5は、透明ブラウザ14をマルウェアによって攻撃されるであろう多くのwebサイトへナビゲートすることができる。セキュリティアプリケーション5はまた、透明ブラウザ14が解釈した直後に、受信した検査対象webページ9のコードをチェックするように構成されている。このチェックは、基準(ベースライン)として用いられる。セキュリティアプリケーション5は次に、透明ブラウザ14がレンダリングの準備をする間に、いくつかの処理ステップを通過した後(すなわち部分的に処理した後)で再チェックする。これにより、検査対象webページ9のコードが改変されているか否かを検出する。これは、透明ブラウザ14に対して専用フック(プログラマがカスタマイズしたプログラムを挿入できるようにする、パッケージコードによって提供されるインターフェース)を用いることにより実施することができる。この専用フックは、透明ブラウザ14が解釈するとき(第1フックを用いて)、および処理された直後(第2フックを用いて)において、webページ9を見ることができる。セキュリティアプリケーション5は、いくつかの同一の処理ステップを並列実行するように構成されている。これにより、同一の処理ステップを通過したコード同士を比較する。本実施形態によれば、セキュリティアプリケーション5は、検査対象webページ9の期待されるコードと、マルウェア動作によって透明ブラウザ14へ提示された実際のコードとを比較するのに適した任意の機能を実装するように構成することができる。実質的なコード改変が検出された場合、それはユーザ端末3に感染したマルウェアによってなされた可能性があるといえる。
他実施形態において、セキュリティアプリケーション5は、マルウェアのコード挿入のテンプレートとして可能性があるものを識別するために、検査対象webページ9のコードをチェックするように構成することができる。このテンプレートは例えば、検査対象webページ9において通常は現れるべきではない、ユーザ名とパスワードをタイプするようユーザに促すテキスト部分である。このテンプレートは、透明ブラウザによって受信した検査対象webページのコードから除外されたフィールドへ情報をタイプするよう端末デバイスのユーザに促すテキスト部分であってもよい。このようなテンプレートが検出された場合、それはユーザ端末3に感染したマルウェアによってなされた可能性があるといえる。
他実施形態において、セキュリティアプリケーション5は、透明ブラウザ14に実際にマルウェアが攻撃するであろうwebサイトのURLへナビゲートさせるのではなく、URLに対するナビゲーションをエミュレートするように構成することができる。エミュレーションは、帯域幅を節約し、閲覧するページの適正な変化をマルウェアとして認識しないようにするために用いられる。この場合セキュリティアプリケーション5は、エミュレートしたwebページを、実際に特定のURL(例えば銀行のURL)を訪問することにより得られたものであるかのようにして、透明ブラウザ14へ戻すように構成される。これは、ローカルデータベースから選択されたエミュレートwebページを内部的に戻すことにより実施される。このとき、ネットワークインターフェース(カード)に接続する必要はなく、インターフェース(実)ブラウザ7を介したユーザナビゲーションとは関係しない。また、透明ブラウザ14は通常、閲覧前に何らかの機能を(特定のライブラリから)呼び出すので、実行中かつネットワークインターフェースに到達するデータパケットを生成する前にセキュリティアプリケーション5を用いてそのような呼び出しを捕捉し、透明ブラウザ14に対して即座にエミュレートされたwebページを引き渡すことができる。このように、検査プロセスは高速でありノイズがない。また、セキュリティアプリケーション5が実施するローカル検査により、ユーザ端末3上で用いられる複数の異なるブラウザが閲覧するwebページ9を攻撃するマルウェアを検出することができる。
本発明が提案する透明ブラウザ14を用いることにより、ノイズを削減することができる。セキュリティアプリケーション5によって完全にコントロールされているからである。したがって、webページ9を適正に変更するが場合によってはマルウェアとみなされる可能性のある全てのプラグインおよびブラウザ拡張を、使用不可にすることができる。
上述のように、ユーザインターフェース(実)ブラウザ7を介してアクセスするwebページ9を取得し、各webページのコード変化を検出することにより、セキュリティアプリケーション5によって検査することができる。この場合、インターフェース(実)ブラウザ7に、関心のあるwebページ(例えば銀行webサイトに属するwebページ)を記録するように構成された専用プラグインをインストールすることができる。記録されたwebページは、セキュリティアプリケーション5によって検査される。ヒューリスティックプロセスを用いて、マルウェアが挿入するコードの既知のテキスト部分とともに、マルウェアが用いる隠しフレームを検出することができる。他実施形態において、セキュリティアプリケーション5は、HTMLパースレイヤに引き渡されるとき、検査対象webページ9のコードをチェックするように構成することができる。
ユーザインターフェースブラウザ7は、透明ブラウザ14が同時に動作しつつもブラウジングのため充分大きいデータレートで動作する、マルウェアに対して脆弱である可能性があるネットワークブラウジング機能を提供するのに適した任意のアプリケーションであってもよい。ユーザ端末3は、ユーザインターフェースブラウザ7を動作させる任意のデバイスであってもよい。端末3は例えば、携帯端末(PDA)、ラップトップなどのコンピュータ、携帯電話、モバイルハンドセット、タブレットコンピュータ、その他インターネットを閲覧する任意デバイスを含む。端末3は、任意のオペレーティングシステムを備えることができる。例えばMAC・OS、WINDOWS(登録商標)、UNIX(登録商標)、LINUX(登録商標)、その他適当なオペレーティングシステムである。例えば、Symbian(Symbian社)、iOS(Apple)、Windows(登録商標)Phone(Microsoft)、Android(Google)などのモバイルデバイスオペレーテイングシステム(特にスマートフォン)も含む。
図2は、webページがマルウェアによって攻撃されたか否かを検出するシステム10と連携して動作する方法の実施形態のフローチャートである。第1ステップ31において、セキュリティアプリケーション5は端末デバイス3上(クライアントサイド)にインストールされる。ステップ33において、バックグラウンドで常時実行されるプロセス(例えば、所望URLからwebページを受信するためユーザ端末上にインストールされたユーザインターフェース(実)ブラウザをユーザが起動したとき、透明ブラウザ14を周期的に開始するとき、セキュリティアプリケーション5をインストールするとき、コンピュータを再起動するとき、または未知のソフトウェアを実行するとき)などのような所定トリガイベントを検出すると、セキュリティアプリケーション5は自動的に、透明ブラウザ14にいくつかのマルウェアが攻撃しそうなwebサイトのURLへナビゲートさせる。次のステップ35において、セキュリティアプリケーション5は、透明ブラウザ14によってオープンされた直後に、受信した検査対象webページ9のコードをチェックする。セキュリティアプリケーションはまた、HTMLフォーマットで透明ブラウザによってオープンされる前に、受信した検査対象webページのコードをチェックするように構成することもできる。次のステップ37において、セキュリティアプリケーション5は、透明ブラウザによるいくつかの処理ステップを通過した後にコードを再チェックし、webページの改変を検出する。次のステップ39において、改変が検出された場合、ユーザ端末がマルウェアに感染した旨の警告を発する。
他実施形態において、セキュリティアプリケーション5は、マルウェアのコード挿入のテンプレートとして可能性があるものを識別するため、検査対象webページ9のコードをチェックするように構成することができる。例えば、検査対象webページ9において現れるべきではない、ユーザ名とパスワードをタイプするようユーザに促すテキスト部分である。このようなテンプレートが検出された場合、それはユーザ端末3に感染したマルウェアによってなされた可能性がある。
他実施形態において、セキュリティアプリケーション5は、実際にナビゲーションを実施して帯域幅とネットワークリソースを消費するのではなく、マルウェアが攻撃すると予測されるURLに対するナビゲーションをエミュレートするように構成することができる。エミュレートしたナビゲーションは、複数webページを実際に閲覧することによる適正な変化をマルウェアとみなしてしまうような「ノイズ」をなくすことができる。この場合セキュリティアプリケーション5は、透明ブラウザ14に対して、特定URL(例えば銀行のURL)を実際に訪問して得られたものであるかのようにして、エミュレートされたwebページを戻すように構成される。これは、ローカルデータベースから選択したエミュレートされたwebページを内部的に引き渡すことにより、実施することができる。この場合、ネットワークインターフェース(カード)に接続する必要はなく、インターフェース(実)ブラウザ7を介してユーザナビゲーションは関係ない。また、透明ブラウザ14は通常、閲覧前に何らかの機能を(特定のライブラリから)呼び出すので、実行中かつネットワークインターフェースに到達するデータパケットを生成する前にセキュリティアプリケーション5を用いてそのような呼び出しを捕捉し、透明ブラウザ14に対して即座にエミュレートされたwebページを引き渡すことができる。このように、検査プロセスは高速でありノイズがない。また、セキュリティアプリケーション5が実施するローカル検査により、ユーザ端末3上で用いられる複数の異なるブラウザが閲覧するwebページ9を攻撃するマルウェアを検出することができる。
本発明が提案する透明ブラウザ14を用いることにより、ノイズを削減することができる。セキュリティアプリケーション5によって完全にコントロールされているからである。したがって、webページ9を適正に変更するが場合によってはマルウェアとみなされる可能性のある全てのプラグインおよびブラウザ拡張を、使用不可にすることができる。
上述のように、ユーザインターフェース(実)ブラウザ7を介してアクセスするwebページ9を取得し、これを透明ブラウザ14に提示し、各webページのコード変化を検出することによりセキュリティアプリケーション5によって検査することができる。この場合、インターフェース(実)ブラウザ7に、関心のあるwebページ(例えば銀行webサイトに属するwebページ)を記録するように構成された専用プラグインをインストールすることができる。記録されたwebページは、透明ブラウザ14に提供され、セキュリティアプリケーション5によって検査される。
上述のように、ブラウジングしている間に、ユーザインターフェース(実)ブラウザ7を介してアクセスするwebページ9をパッシブ分析し、これを透明ブラウザ14に提示し、各webページのコード変化を検出することによりセキュリティアプリケーション5によって検査することができる。この場合、ヒューリスティックプロセスを用いて、マルウェアが挿入するコードの既知のテキスト部分とともに、マルウェアが用いる隠しフレームを検出することができる。
例示によって本発明の実施形態を説明したが、本発明は特許請求範囲を逸脱することなく、多くの変更、変形、適用とともに実施し、当業者の範囲に属する様々な等価物または代替物とともに用いて実施することができることは明らかである。

Claims (9)

  1. ユーザ端末デバイス上で動作するブラウザを介してマルウェアに感染した前記ユーザ端末デバイスにおけるマルウェアを検出する方法であって、
    a)前記ユーザ端末上で所定のトリガイベントを検出したとき、前記端末上にインストールされたセキュリティアプリケーションによって前記ユーザ端末デバイス上では実行されるがユーザに見えない透明ブラウザを自動的に起動して、前記セキュリティアプリケーションが前記マルウェアによって攻撃されると予測される1以上の所定URLへ前記透明ブラウザをナビゲートするステップ;
    b)前記セキュリティアプリケーションにより、前記透明ブラウザによる前記所定URLから受信したwebページの処理中の2つの異なる時点でwebページのコードをチェックするステップであって、前記2つの異なる時点のうちの最初の時点は、前記透明ブラウザによって前記webページが開かれた直後の時点であり、前記2つの異なる時点のうちの第2の時点は、前記開かれたwebページが前記透明ブラウザによって少なくとも部分的に処理された後、前記透明ブラウザによって前記コードをレンダリングする準備中にある時点である、ステップ;
    c)前記2つの異なる時点の間のコードの改変を検出するステップ;
    d)前記2つの異なる時点でコードの改変が検出された場合、前記ユーザ端末がマルウェアに感染した旨の警告を発するステップ;
    を有することを特徴とする方法。
  2. 前記トリガイベントは、ユーザがブラウザを起動したことを検出すること、タイムベーストリガ、および前記ユーザ端末デバイスを再起動することから選択されていることを特徴とする請求項1記載の方法。
  3. 前記所定URLはライブラリに格納されていることを特徴とする請求項1記載の方法。
  4. 前記受信した検査対象webページがHTMLフォーマットである請求項1記載の方法。
  5. 前記webページのコードをチェックするステップに代えて、前記セキュリティアプリケーションは、前記マルウェアによって挿入されたテンプレートを識別することにより、受信した検査対象webページの前記コードをチェックすることを特徴とする請求項1記載の方法。
  6. 前記テンプレートは、前記透明ブラウザが受信した検査対象webページの前記コードから除外されたフィールドへ情報をタイプするように前記端末デバイスのユーザへ促すテキスト部分であることを特徴とする請求項5記載の方法。
  7. 前記透明ブラウザに所定URLへナビゲートさせることに代えて、前記セキュリティアプリケーションは、前記透明ブラウザにローカルデータベースの前記検査対象webページのコピーをオープンさせるように構成されていることを特徴とする請求項1記載の方法。
  8. プラグインとブラウザ拡張は前記透明ブラウザから実行不能にされていることを特徴とする請求項1記載の方法。
  9. ユーザ端末デバイス上で動作するブラウザを介してマルウェアに感染した前記ユーザ端末デバイスにおけるマルウェアを検出する方法であって、
    a)前記ユーザ端末上で所定のトリガイベントを検出したとき、前記端末上にインストールされたセキュリティアプリケーションによって前記ユーザ端末デバイス上では実行されるがユーザに見えない透明ブラウザを自動的に起動して、前記セキュリティアプリケーションが前記マルウェアによって攻撃されると予測される1以上の所定URLへ前記透明ブラウザをナビゲートするステップ;
    b)前記セキュリティアプリケーションが前記透明ブラウザに対して、専用プラグインによってインターフェースブラウザから収集されたwebページをオープンするステップであって、前記プラグインはユーザのインターフェースブラウザにあらかじめインストールされておりかつ関心webページを記録するように構成されている、ステップ;
    c)前記収集されたページにおいて、ヒューリスティックプロセスを用いて、前記マルウェアが挿入したコードの既知のテキスト部分および前記マルウェアが使用する隠しフレームを検出することにより、前記webページを検査するステップ;
    d)前記テキスト部分もしくは前記フレームが検出された場合、前記端末がマルウェアに感染した旨の警告を発するステップ;
    を有することを特徴とする方法。
JP2014078356A 2013-04-08 2014-04-07 クライアントベースローカルマルウェア検出方法 Active JP6624771B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/858,238 US9424424B2 (en) 2013-04-08 2013-04-08 Client based local malware detection method
US13/858,238 2013-04-08

Publications (2)

Publication Number Publication Date
JP2014203464A JP2014203464A (ja) 2014-10-27
JP6624771B2 true JP6624771B2 (ja) 2019-12-25

Family

ID=50396993

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014078356A Active JP6624771B2 (ja) 2013-04-08 2014-04-07 クライアントベースローカルマルウェア検出方法

Country Status (3)

Country Link
US (1) US9424424B2 (ja)
EP (1) EP2790121A1 (ja)
JP (1) JP6624771B2 (ja)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9509714B2 (en) * 2014-05-22 2016-11-29 Cabara Software Ltd. Web page and web browser protection against malicious injections
US10805331B2 (en) 2010-09-24 2020-10-13 BitSight Technologies, Inc. Information technology security assessment system
US9225737B2 (en) 2013-03-15 2015-12-29 Shape Security, Inc. Detecting the introduction of alien content
US9438615B2 (en) 2013-09-09 2016-09-06 BitSight Technologies, Inc. Security risk management
US9225729B1 (en) 2014-01-21 2015-12-29 Shape Security, Inc. Blind hash compression
US8997226B1 (en) 2014-04-17 2015-03-31 Shape Security, Inc. Detection of client-side malware activity
CN105224437A (zh) * 2014-06-11 2016-01-06 腾讯科技(深圳)有限公司 一种获取移动终端上事务执行耗时的方法和装置
EP3195171B1 (en) * 2014-07-31 2019-11-06 Namogoo Technologies Ltd. Detecting and removing injected elements from content interfaces
US10298599B1 (en) 2014-09-19 2019-05-21 Shape Security, Inc. Systems for detecting a headless browser executing on a client computer
US9954893B1 (en) * 2014-09-23 2018-04-24 Shape Security, Inc. Techniques for combating man-in-the-browser attacks
US10116727B2 (en) * 2014-12-16 2018-10-30 Sap Se Embeddable web analytics tracking via mock environment
JP6291441B2 (ja) * 2015-03-11 2018-03-14 ネットムーブ株式会社 ウェブシステム、ウェブクライアント装置および改ざん検査装置
RU2015115352A (ru) * 2015-04-24 2016-11-20 Закрытое акционерное общество "Лаборатория Касперского" Способ запуска браузера в защищенном режиме
US9986058B2 (en) 2015-05-21 2018-05-29 Shape Security, Inc. Security systems for mitigating attacks from a headless browser executing on a client computer
RU2610254C2 (ru) * 2015-06-30 2017-02-08 Закрытое акционерное общество "Лаборатория Касперского" Система и способ определения измененных веб-страниц
WO2017007705A1 (en) 2015-07-06 2017-01-12 Shape Security, Inc. Asymmetrical challenges for web security
WO2017007936A1 (en) 2015-07-07 2017-01-12 Shape Security, Inc. Split serving of computer code
US10375026B2 (en) 2015-10-28 2019-08-06 Shape Security, Inc. Web transaction status tracking
US10212130B1 (en) 2015-11-16 2019-02-19 Shape Security, Inc. Browser extension firewall
EP3414695B1 (en) 2016-02-12 2021-08-11 Shape Security, Inc. Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer
US11182720B2 (en) 2016-02-16 2021-11-23 BitSight Technologies, Inc. Relationships among technology assets and services and the entities responsible for them
US10855696B2 (en) 2016-03-02 2020-12-01 Shape Security, Inc. Variable runtime transpilation
US9917850B2 (en) 2016-03-03 2018-03-13 Shape Security, Inc. Deterministic reproduction of client/server computer state or output sent to one or more client computers
US10567363B1 (en) 2016-03-03 2020-02-18 Shape Security, Inc. Deterministic reproduction of system state using seeded pseudo-random number generators
US10129289B1 (en) 2016-03-11 2018-11-13 Shape Security, Inc. Mitigating attacks on server computers by enforcing platform policies on client computers
US20170353476A1 (en) * 2016-06-06 2017-12-07 Google Inc. Disabling Malicious Browser Extensions
US10425380B2 (en) 2017-06-22 2019-09-24 BitSight Technologies, Inc. Methods for mapping IP addresses and domains to organizations using user activity data
US10257219B1 (en) 2018-03-12 2019-04-09 BitSight Technologies, Inc. Correlated risk in cybersecurity
US10812520B2 (en) 2018-04-17 2020-10-20 BitSight Technologies, Inc. Systems and methods for external detection of misconfigured systems
US10289836B1 (en) * 2018-05-18 2019-05-14 Securitymetrics, Inc. Webpage integrity monitoring
US11200323B2 (en) 2018-10-17 2021-12-14 BitSight Technologies, Inc. Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios
US10521583B1 (en) 2018-10-25 2019-12-31 BitSight Technologies, Inc. Systems and methods for remote detection of software through browser webinjects
US11386214B2 (en) * 2018-12-13 2022-07-12 Sap Se Web application execution with secure element extension
US10824770B2 (en) * 2018-12-13 2020-11-03 Sap Se Web application execution with secure elements
US10726136B1 (en) 2019-07-17 2020-07-28 BitSight Technologies, Inc. Systems and methods for generating security improvement plans for entities
US11956265B2 (en) 2019-08-23 2024-04-09 BitSight Technologies, Inc. Systems and methods for inferring entity relationships via network communications of users or user devices
US10848382B1 (en) 2019-09-26 2020-11-24 BitSight Technologies, Inc. Systems and methods for network asset discovery and association thereof with entities
US11032244B2 (en) 2019-09-30 2021-06-08 BitSight Technologies, Inc. Systems and methods for determining asset importance in security risk management
US10791140B1 (en) 2020-01-29 2020-09-29 BitSight Technologies, Inc. Systems and methods for assessing cybersecurity state of entities based on computer network characterization
US10893067B1 (en) 2020-01-31 2021-01-12 BitSight Technologies, Inc. Systems and methods for rapidly generating security ratings
US10764298B1 (en) 2020-02-26 2020-09-01 BitSight Technologies, Inc. Systems and methods for improving a security profile of an entity based on peer security profiles
US11863690B2 (en) 2020-05-20 2024-01-02 Google Llc Preventing data manipulation and protecting user privacy in telecommunication network measurements
US11023585B1 (en) 2020-05-27 2021-06-01 BitSight Technologies, Inc. Systems and methods for managing cybersecurity alerts
US11122073B1 (en) 2020-12-11 2021-09-14 BitSight Technologies, Inc. Systems and methods for cybersecurity risk mitigation and management

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6721721B1 (en) * 2000-06-15 2004-04-13 International Business Machines Corporation Virus checking and reporting for computer database search results
JP2007179131A (ja) * 2005-12-27 2007-07-12 Nec Corp イベント検出システム、管理端末及びプログラムと、イベント検出方法
US8677481B1 (en) * 2008-09-30 2014-03-18 Trend Micro Incorporated Verification of web page integrity
US8789178B2 (en) * 2009-08-03 2014-07-22 Barracuda Networks, Inc. Method for detecting malicious javascript
US9270691B2 (en) 2010-11-01 2016-02-23 Trusteer, Ltd. Web based remote malware detection
AU2011352038B2 (en) * 2010-12-30 2014-10-02 Cheq Ai Technologies (2018) Ltd. Online privacy management

Also Published As

Publication number Publication date
JP2014203464A (ja) 2014-10-27
US20140304816A1 (en) 2014-10-09
US9424424B2 (en) 2016-08-23
EP2790121A1 (en) 2014-10-15

Similar Documents

Publication Publication Date Title
JP6624771B2 (ja) クライアントベースローカルマルウェア検出方法
Kirda et al. Noxes: a client-side solution for mitigating cross-site scripting attacks
RU2610254C2 (ru) Система и способ определения измененных веб-страниц
Lu et al. Blade: an attack-agnostic approach for preventing drive-by malware infections
EP2447878B1 (en) Web based remote malware detection
US20120240224A1 (en) Security systems and methods for distinguishing user-intended traffic from malicious traffic
US7934261B1 (en) On-demand cleanup system
US20180084003A1 (en) Method and system for injecting javascript into a web page
CN107209831B (zh) 用于识别网络攻击的系统和方法
US8341744B1 (en) Real-time behavioral blocking of overlay-type identity stealers
Bhavani Cross-site scripting attacks on android webview
US20140283078A1 (en) Scanning and filtering of hosted content
US20170353434A1 (en) Methods for detection of reflected cross site scripting attacks
WO2008115340A1 (en) Method and apparatus for secure web browsing
EP3086526B1 (en) Launching a browser in a safe mode if needed
ES2937143T3 (es) Procedimiento de monitoreo y protección del acceso a un servicio en línea
US20190222587A1 (en) System and method for detection of attacks in a computer network using deception elements
Mitropoulos et al. How to train your browser: Preventing XSS attacks using contextual script fingerprints
Satish et al. Web browser security: different attacks detection and prevention techniques
ES2965391T3 (es) Método de monitorización y protección de acceso a un servicio en línea
Kishore et al. Browser JS Guard: Detects and defends against Malicious JavaScript injection based drive by download attacks
US11303670B1 (en) Pre-filtering detection of an injected script on a webpage accessed by a computing device
US9444831B1 (en) Malicious script detection using context-dependent script emulation
Sahani et al. Clickjacking: Beware of clicking
Dai et al. Holography: a behavior‐based profiler for malware analysis

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20140825

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20140825

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20161122

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20170106

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180327

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180611

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180807

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181130

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20181214

A912 Removal of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20190208

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190911

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191126

R150 Certificate of patent or registration of utility model

Ref document number: 6624771

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150