JP6837064B2 - ランタイム生成コードにおける悪意のあるコードの検出のためのシステムおよび方法 - Google Patents
ランタイム生成コードにおける悪意のあるコードの検出のためのシステムおよび方法 Download PDFInfo
- Publication number
- JP6837064B2 JP6837064B2 JP2018526555A JP2018526555A JP6837064B2 JP 6837064 B2 JP6837064 B2 JP 6837064B2 JP 2018526555 A JP2018526555 A JP 2018526555A JP 2018526555 A JP2018526555 A JP 2018526555A JP 6837064 B2 JP6837064 B2 JP 6837064B2
- Authority
- JP
- Japan
- Prior art keywords
- code
- runtime
- generated code
- memory
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 74
- 230000008569 process Effects 0.000 claims description 24
- 230000006870 function Effects 0.000 claims description 22
- 238000001514 detection method Methods 0.000 claims description 7
- 230000003068 static effect Effects 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 150000001875 compounds Chemical class 0.000 description 3
- 230000002596 correlated effect Effects 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006837 decompression Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 239000004615 ingredient Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000021615 conjugation Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 238000010348 incorporation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
Claims (20)
- コンピュータ内で実行されるランタイム生成コード内の悪意のあるコードの検出のための方法であって、前記コンピュータのプロセッサ上で、
前記コンピュータのメモリにおけるランタイム生成コードの作成および実行のうちの少なくとも一方のインジケーションを受け取る行為、
前記ランタイム生成コードに関連する、スタティック非ハッシュ化データのシグネチャデータと、前記ランタイム生成コードを作成した、許可されたソース作成モジュールを表す複数のテンプレートの、スタティック非ハッシュ化データのテンプレートシグネチャとの間のマッチを識別する行為であって、前記テンプレートが記憶デバイス上のリポジトリに格納されている、マッチを識別する行為、および、
マッチが見つからないとき、前記ランタイム生成コード内の悪意のあるコードに対処するためにセキュリティプロセスをトリガする行為、
を実行するステップを含む、方法。 - 前記テンプレートシグネチャが、許可されたジャストインタイム(JIT)コンパイラを表す、請求項1に記載の方法。
- 前記シグネチャデータと前記テンプレートシグネチャとの間の前記マッチを識別するステップが、
オペレーティングシステム機能を呼び出すために前記ランタイム生成コードによって呼び出された第1の実行可能なモジュールと、前記許可されたJITコンパイラを表す前記テンプレートとの間の関連を識別するステップ、および、
前記ランタイム生成コードを作成した第2の実行可能なモジュールと、前記許可されたJITコンパイラを表す前記テンプレートとの間の関連を識別するステップ
のうちの少なくとも一方を含む、請求項2に記載の方法。 - 前記シグネチャデータが、前記ランタイム生成コードを格納する前記メモリにおけるエリアの、スタティック非ハッシュ化され、あらかじめ定義されたサイズを含む、請求項2に記載の方法。
- 前記シグネチャデータが、前記ランタイム生成コードを格納するメモリ領域の、読取り専用またはアクセス禁止としての指定を含む、請求項2に記載の方法。
- 前記シグネチャデータが、前記ランタイム生成コード内の少なくとも1つのスタティックコードパターンを含む、請求項2に記載の方法。
- 前記少なくとも1つのスタティックコードパターンが、前記ランタイム生成コードの少なくとも1つの関数の開始領域における少なくとも1つのあらかじめ定義されたプロローグ、少なくとも1つのエピローグ、および少なくとも1つのマジックオペランド値からなるグループから選択される少なくとも1つのメンバを含む、請求項6に記載の方法。
- 前記シグネチャデータが、前記ランタイム生成コードの開始領域および終了領域のうちの少なくとも一方に、前記JITコンパイラに関係するあらかじめ定義された制御構造を含む、請求項2に記載の方法。
- 前記あらかじめ定義された制御構造が、前記ランタイム生成コードの一部分を各々格納する複数の異なるメモリ領域の各々にあるリンクリスト、ならびに前記リンクリストのそれぞれの後に位置する前記メモリ領域のぞれぞれのサイズおよびアドレスを定義するフィールドのうちの少なくとも一方を含む、請求項8に記載の方法。
- 前記リンクリストが、各メモリ領域のポインタをトラバースすることによって検証され、前記フィールドが、前記フィールドの値をオペレーティングシステム値と相関させることによって検証される、請求項9に記載の方法。
- 前記シグネチャデータが、前記許可されたJITコンパイラが制限される前記ランタイム生成コードに関連するアプリケーションを含む、請求項2に記載の方法。
- 前記テンプレートシグネチャが、許可されたフックエンジンを表す、請求項1に記載の方法。
- 前記シグネチャデータが、前記ランタイム生成コードがフックエンジンによって作成されるという識別を含み、前記識別が、
フックされたモジュールの外にある外部コードに到達するために、前記フックされたモジュールのプロローグにおける既存のコードをエミュレートすること、および
前記フックをインストールした前記許可されたフックエンジン実行ファイルの前にスタックトレースに現れる前記ランタイム生成コードの位置を特定することによって前記ランタイム生成コードを識別するために、前記外部コードに関係する前記スタックトレースを分析すること、
のうちの少なくとも一方によって行われる、請求項12に記載の方法。 - 前記シグネチャデータが、前記ランタイム生成コードがあるメモリエリアのあらかじめ定義されたサイズ、少なくとも1つのコードパターン、前記ランタイム生成コードメモリ領域の開始部分および終了部分のうちの少なくとも一方におけるあらかじめ定義された制御構造、ならびに可変パラメータを除いて前記ランタイム生成コードに逆アセンブルプログラムを適用することによって取得されたアセンブリから計算されたオペコードシグネチャからなるグループから選択される少なくとも1つのメンバを含む、請求項12に記載の方法。
- 前記少なくとも1つのコードパターンが、前記ランタイム生成コードの少なくとも1つの関数の開始領域における少なくとも1つのあらかじめ定義されたプロローグ、少なくとも1つのエピローグ、および少なくとも1つのマジックオペランド値からなるグループから選択される少なくとも1つのメンバを含む、請求項14に記載の方法。
- 前記テンプレートシグネチャが、許可された実行可能なコンプレッサを表し、前記ランタイム生成コードは解凍されたプログラムを含む、請求項1に記載の方法。
- 前記シグネチャデータが、前記解凍されたプログラムのフォーマットに従ったメモリ割振りのサイズ、および前記解凍された実行可能ファイルがあるメモリページ上のパーミッションからなるグループから選択される少なくとも1つのメンバを含む、請求項16に記載の方法。
- 前記解凍された実行可能ファイルの前記フォーマットに従って前記メモリ割振りのコンテンツをパースすることによって、前記メモリ割振りのベースでの前記メモリのコンテンツが前記解凍されたプログラムの前記フォーマットに従ったものであることを検証するステップと、フィールド値が論理的であり、前記フォーマットに従っていることをチェックするステップとをさらに含む、請求項17に記載の方法。
- 悪意のあるコードを含むランタイム生成コードの検出のためのシステムであって、
コードを格納するためのメモリと、
ランタイム生成コードを作成する、許可(authorize)されたソース作成モジュールを表すテンプレートのリポジトリを格納するための記憶デバイスと、
コードを格納するプログラム記憶装置と、
前記格納されたコードを実行するために、前記メモリ、前記記憶デバイス、および前記プログラム記憶装置に結合されたプロセッサと、
を含み、
前記格納されたコードが、
前記メモリにおけるランタイム生成コードの前記作成および前記実行のうちの少なくとも一方のインジケーションを受け取り、前記ランタイム生成コードに関連する、スタティック非ハッシュ化データのシグネチャデータと前記リポジトリの、スタティック非ハッシュ化データのテンプレートシグネチャとの間のマッチを識別し、マッチが見つからないとき、前記ランタイム生成コード内の悪意のあるコードに対処するためにセキュリティプロセスをトリガするための格納されたコードを含む、
システム。 - 悪意のあるコードを含むランタイム生成コードの検出のためのシステムのプロセッサによって実行されるようにプログラムコードを格納した非一時的コンピュータ可読記憶媒体であって、前記プログラムコードが、
コンピュータのメモリにおけるランタイム生成コードの作成および実行のうちの少なくとも一方のインジケーションを受け取るための命令、
前記ランタイム生成コードに関連する、スタティック非ハッシュ化データのシグネチャデータと、ランタイム生成コードを作成する、許可(authorize)されたソース作成モジュールを表すテンプレートのセットの、スタティック非ハッシュ化データのテンプレートシグネチャとの間のマッチを識別するための命令、および、
マッチが見つからないとき、前記ランタイム生成コード内の悪意のあるコードに対処するためにセキュリティプロセスをトリガするための命令、
を含む、非一時的コンピュータ可読記憶媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562264404P | 2015-12-08 | 2015-12-08 | |
US62/264,404 | 2015-12-08 | ||
PCT/IL2016/050987 WO2017098495A1 (en) | 2015-12-08 | 2016-09-07 | Systems and methods for detection of malicious code in runtime generated code |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2019502197A JP2019502197A (ja) | 2019-01-24 |
JP2019502197A5 JP2019502197A5 (ja) | 2019-10-17 |
JP6837064B2 true JP6837064B2 (ja) | 2021-03-03 |
Family
ID=57113519
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018526555A Active JP6837064B2 (ja) | 2015-12-08 | 2016-09-07 | ランタイム生成コードにおける悪意のあるコードの検出のためのシステムおよび方法 |
Country Status (8)
Country | Link |
---|---|
US (1) | US20170161498A1 (ja) |
EP (1) | EP3387579A1 (ja) |
JP (1) | JP6837064B2 (ja) |
CA (1) | CA3005314A1 (ja) |
IL (1) | IL259878B (ja) |
SG (1) | SG11201804085SA (ja) |
TW (1) | TWI791418B (ja) |
WO (1) | WO2017098495A1 (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9916448B1 (en) * | 2016-01-21 | 2018-03-13 | Trend Micro Incorporated | Detection of malicious mobile apps |
US10275595B2 (en) * | 2016-09-29 | 2019-04-30 | Trap Data Security Ltd. | System and method for characterizing malware |
TWI668592B (zh) * | 2017-07-28 | 2019-08-11 | 中華電信股份有限公司 | Method for automatically determining the malicious degree of Android App by using multiple dimensions |
US10977368B1 (en) * | 2017-12-27 | 2021-04-13 | Ca Technologies, Inc. | Detecting malware based on memory allocation patterns |
US11238017B2 (en) * | 2018-01-30 | 2022-02-01 | Salesforce.Com, Inc. | Runtime detector for data corruptions |
US11609984B2 (en) * | 2018-02-14 | 2023-03-21 | Digital Guardian Llc | Systems and methods for determining a likelihood of an existence of malware on an executable |
US11481376B2 (en) | 2018-06-19 | 2022-10-25 | Salesforce, Inc. | Platform for handling data corruptions |
US11681804B2 (en) | 2020-03-09 | 2023-06-20 | Commvault Systems, Inc. | System and method for automatic generation of malware detection traps |
CN112199274B (zh) * | 2020-09-18 | 2022-05-03 | 北京大学 | 基于V8引擎的JavaScript动态污点跟踪方法及电子装置 |
US11816484B2 (en) | 2020-10-30 | 2023-11-14 | Apple Inc. | Hardware verification of dynamically generated code |
CN112579094B (zh) * | 2020-12-15 | 2024-05-14 | 上海赛可出行科技服务有限公司 | 一种基于模板代码匹配的轻量级热修复方法 |
EP4254867A3 (en) * | 2022-04-01 | 2023-11-01 | Vectra AI, Inc. | Method, product, and system for analyzing attack paths in computer network generated using a software representation that embodies network configuration and policy data for security management |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US7478431B1 (en) * | 2002-08-02 | 2009-01-13 | Symantec Corporation | Heuristic detection of computer viruses |
US7984304B1 (en) * | 2004-03-02 | 2011-07-19 | Vmware, Inc. | Dynamic verification of validity of executable code |
US8176554B1 (en) * | 2008-05-30 | 2012-05-08 | Symantec Corporation | Malware detection through symbol whitelisting |
US20110191848A1 (en) * | 2010-02-03 | 2011-08-04 | Microsoft Corporation | Preventing malicious just-in-time spraying attacks |
US20120331303A1 (en) * | 2011-06-23 | 2012-12-27 | Andersson Jonathan E | Method and system for preventing execution of malware |
CN102819697B (zh) * | 2011-12-26 | 2015-07-22 | 哈尔滨安天科技股份有限公司 | 一种基于线程反编译的多平台恶意代码检测方法和系统 |
TWI528216B (zh) * | 2014-04-30 | 2016-04-01 | 財團法人資訊工業策進會 | 隨選檢測惡意程式之方法、電子裝置、及使用者介面 |
-
2016
- 2016-09-07 SG SG11201804085SA patent/SG11201804085SA/en unknown
- 2016-09-07 JP JP2018526555A patent/JP6837064B2/ja active Active
- 2016-09-07 EP EP16778462.8A patent/EP3387579A1/en not_active Withdrawn
- 2016-09-07 TW TW105128921A patent/TWI791418B/zh active
- 2016-09-07 US US15/257,935 patent/US20170161498A1/en not_active Abandoned
- 2016-09-07 CA CA3005314A patent/CA3005314A1/en not_active Abandoned
- 2016-09-07 WO PCT/IL2016/050987 patent/WO2017098495A1/en active Application Filing
-
2018
- 2018-06-07 IL IL259878A patent/IL259878B/en unknown
Also Published As
Publication number | Publication date |
---|---|
US20170161498A1 (en) | 2017-06-08 |
CA3005314A1 (en) | 2017-06-15 |
EP3387579A1 (en) | 2018-10-17 |
TWI791418B (zh) | 2023-02-11 |
SG11201804085SA (en) | 2018-06-28 |
IL259878A (en) | 2018-07-31 |
JP2019502197A (ja) | 2019-01-24 |
TW201721497A (zh) | 2017-06-16 |
IL259878B (en) | 2021-07-29 |
WO2017098495A1 (en) | 2017-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6837064B2 (ja) | ランタイム生成コードにおける悪意のあるコードの検出のためのシステムおよび方法 | |
Pappas et al. | Transparent {ROP} exploit mitigation using indirect branch tracing | |
Zhang et al. | Spectre: A dependable introspection framework via system management mode | |
EP3123311B1 (en) | Malicious code protection for computer systems based on process modification | |
RU2691187C1 (ru) | Система и способы аудита виртуальной машины | |
JP6706273B2 (ja) | インタープリタ仮想マシンを用いた挙動マルウェア検出 | |
RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
EP2979219B1 (en) | Suspicious program detection | |
US10055585B2 (en) | Hardware and software execution profiling | |
US20180089430A1 (en) | Computer security profiling | |
Bojinov et al. | Address space randomization for mobile devices | |
US10229268B2 (en) | System and method for emulation-based detection of malicious code with unmet operating system or architecture dependencies | |
US20090271867A1 (en) | Virtual machine to detect malicious code | |
RU2632163C2 (ru) | Общая распаковка приложений для обнаружения вредоносных программ | |
US10242190B2 (en) | System and method for detection of malicious code by iterative emulation of microcode | |
CN109255235B (zh) | 基于用户态沙箱的移动应用第三方库隔离方法 | |
Shioji et al. | Code shredding: byte-granular randomization of program layout for detecting code-reuse attacks | |
EP3543883A1 (en) | Detecting malware concealed by delay loops of software programs | |
Willems et al. | Reverse code engineering—state of the art and countermeasures | |
JP2018152061A (ja) | 安全なジャストインタイム(jit)コード生成 | |
Cloosters et al. | Riscyrop: Automated return-oriented programming attacks on risc-v and arm64 | |
Kleissner | Stoned bootkit | |
Willems et al. | Using memory management to detect and extract illegitimate code for malware analysis | |
Wan et al. | Defending application cache integrity of android runtime | |
Bauman et al. | Renewable Just-In-Time Control-Flow Integrity |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20180723 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20180720 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190906 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190906 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20191004 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20191009 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20191007 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20200721 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200916 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201006 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201225 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210112 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210208 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6837064 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |