JP7493108B2 - 悪意のあるms office文書の署名なし検出 - Google Patents
悪意のあるms office文書の署名なし検出 Download PDFInfo
- Publication number
- JP7493108B2 JP7493108B2 JP2023551122A JP2023551122A JP7493108B2 JP 7493108 B2 JP7493108 B2 JP 7493108B2 JP 2023551122 A JP2023551122 A JP 2023551122A JP 2023551122 A JP2023551122 A JP 2023551122A JP 7493108 B2 JP7493108 B2 JP 7493108B2
- Authority
- JP
- Japan
- Prior art keywords
- macro
- malicious
- document
- documents
- features
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 44
- 238000000034 method Methods 0.000 claims description 113
- 238000010801 machine learning Methods 0.000 claims description 96
- 244000035744 Hura crepitans Species 0.000 claims description 29
- 238000004458 analytical method Methods 0.000 claims description 28
- 238000012986 modification Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 9
- 238000012360 testing method Methods 0.000 claims description 8
- 238000005070 sampling Methods 0.000 claims description 7
- 230000004048 modification Effects 0.000 claims description 6
- 238000012552 review Methods 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 3
- 230000009471 action Effects 0.000 description 48
- 238000005516 engineering process Methods 0.000 description 48
- 230000006870 function Effects 0.000 description 27
- 238000012545 processing Methods 0.000 description 27
- 238000004422 calculation algorithm Methods 0.000 description 22
- 238000004891 communication Methods 0.000 description 11
- 238000003860 storage Methods 0.000 description 9
- 238000012549 training Methods 0.000 description 9
- 238000013515 script Methods 0.000 description 8
- 230000003068 static effect Effects 0.000 description 8
- 230000000007 visual effect Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 239000008186 active pharmaceutical agent Substances 0.000 description 5
- 238000000605 extraction Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 239000013598 vector Substances 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 238000013135 deep learning Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 230000001934 delay Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 208000025721 COVID-19 Diseases 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012417 linear regression Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 235000008409 marco Nutrition 0.000 description 1
- 244000078446 marco Species 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000013106 supervised machine learning method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/01—Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Computer And Data Communications (AREA)
Description
開示される技術は、Microsoft Office文書のための機械学習ベースの分類のための特徴量エンジニアリングアプローチに関し、これは、悪意のあるファイル検出効率又はマクロ及びOLEオブジェクトを含む文書を大幅に改善する。
マクロは、Microsoft Officeにおける一般的なタスクを自動化する強力な方式であり、ユーザの生産性を高めることができる。しかしながら、マクロマルウェアは、この機能を使用してユーザのエンドポイントデバイスを感染させる。マクロマルウェアは、しばしば、Microsoft Officeファイル内に偽装され、電子メールの添付ファイル、ZIPファイル、又はクラウドベースのソースからダウンロードされたものを介して配信されている。
Visual basicは、埋め込みJavaScript(JScript)コードを起動するために使用されることができる。Windowsでは、コマンドラインでのcscript.exe及びGUIにおいて実行されるwscript.exeは、インストールされたアクティブスクリプト言語の実装形態の主な手段である。Windowsスクリプトファイル(.wsf)は、他の要素に加えて、複数の言語における複数のスクリプトを含むことができ、Windowsスクリプトホストによって実行されるxmlファイルである。
VBAは、コンポーネントオブジェクトモデルライブラリ、.netライブラリ、又は任意のWindowsインターフェースを呼び出すことができるため、ネイティブ構文を超える非常に強力な言語である。外部プログラムモジュールを呼び出すことによって、VBAは、あらゆるWindowsプログラミング言語の完全な機能を実現することができる。
悪意のあるマクロは、MS Officeファイルが開かれ、又は閉じられるとき、自動的にトリガされる可能性がある。VBA APIによって提供されるトリガ関数は、Document_Open、Auto_Open、Workbook_Open、Document_Close、Workbook_Close、及びいくつかの同様の条件呼び出しAPIを含む。例えば、キーワード又はAPI Document_Openは、このマクロを含む文書を最初に開いたときにVBAコードを実行させる。このAPIは、有用な目的のために Microsoftによって設計されたが、悪意のあるハイジャックされた文書において悪用される可能性がある。
ほとんどの悪意のあるマクロは、難読化されている。悪意のある作成者は、マクロの挙動を隠したり、分析及び検出に役立つコード文字列、すなわちIPアドレス、URLなどの侵害指標(IOC)を回避したりするために、種々の技法を使用する。幸いなことに、マルウェアによって使用される多くのVBAキーワードは、平文で現されなければならないが、パラメータは、文字列であることができる。自動トリガ、ペイロードドロップ、及びペイロード実行のための平文メカニズムは、文字列から実行することができないため、難読化することができない。VBAは、eval()を有するJavaScript及びExecuteを有するVBScriptとは対照的に、文字列に記憶されたコードを実行する機能を提供しない。
1)ランダム難読化
2)分割難読化
3)エンコード難読化
4)論理難読化
ランダム難読化は、無意味な、又は誤解を招くトークン名を使用することによって、VBAコードを読み取れなくする。このランダム難読化は、VBAコードのシャノンエントロピー(Shannon Entropy)測度を使用する特徴によって特徴付けられることができる。
[ランダム難読化の例:関数名及び変数名は、ランダムな文字にすぎない。]
分割難読化は、ファイル名文字列又はURLなど、最初に現れるものとは異なる文字列をつなぎ合わせるために使用される。分割難読化は、「+」、「=」、「&」などの文字列演算子の出現回数をカウントすることによって特徴付けられ得る。これらの演算子は、悪意のあるコードを不明瞭にするために使用され得る。
[分割難読化の例:データを複数の変数/定数に分割する]
[組み込み関数 Replace()/split() を使用した難読化: データの難読化に Replace/split などの VBA組み込み関数を使用する]
エンコード難読化は、最初に現れるものとは大きく異なる悪意のあるコードを生成するためにパラメータで動作する。エンコード難読化を生成する関数の例は、カテゴリ別に、以下を含む:
・(テキスト関数):Asc()、 Chr()、 Mid()、 Join()、 InStr()、 Replace()、Right()、 StrConv()など。
・(算術関数):Abs()、 Atn()、 Cos()、 Exp()、 Log()、 Randomize()、 Round()、Tan()、 Sqr()など。
・(型変換関数):CBool()、 CByte()、 CChar()、 CStr()、 CDec()、 CUInt()、CShort()など。
・(財務関数):DDB()、 FV()、 IPmt()、 PV()、 Pmt()、 Rate()、 SLN()、 SYD()など。
論理難読化は、コードを複雑にし、分析をより困難にする。この技法は、使用されていない変数を宣言するか、又は冗長な関数呼び出し及びループを使用することによって実行される。サンプルについて抽出された次のスニペットは、OLEオブジェクトの作成のために関与するコードは1行のみで、残りは、動作しないことを示す。
以下は、オフサイトクラウドベースのストアを含むクラウドベースのシステムにおけるマクロ及びOLEオブジェクトマルウェア攻撃を防止するためのシステム及び種々の実装形態をアーキテクチャ形態で説明する。システム100のアーキテクチャ図は、説明における明確さを改善するために意図的に簡略化されている、図1に示される。図1は、種々の主要要素の相互接続を示す。これらの要素の使用は、それらの要素の構造及び使用の考察に関連して、更により詳細に説明される。
今日の一般的なウェブサービスの例には、YouTube(登録商標)、Facebook(商標)、Twitter(商標)、Google(商標)、LinkedIn(商標)、Wikipedia(商標),Yahoo(商標)、Baidu(商標)、Amazon(商標)、MSN(商標)、Pinterest(商標)、Taobao(商標)、Instagram(商標)、Tumblr(商標)、eBay(商標)、Hotmail(商標)、Reddit(商標)、IMDb(商標)、Netflix(商標)、PayPaI(商標)、Imgur(商標)、Snapchat(商標)、Yammer(商標)、Skype(商標)、Slack(商標)、HipChat(商標)、Confluence(商標)、TeamDrive(商標)、Taskworld(商標)、Chatter(商標)、Zoho(商標)、ProsperWorks(商標)、Google’s Gmail(商標)、Salesforce.com(商標)、Box(商標)、Dropbox(商標)、Google Apps(商標)、Amazon AWS(商標)、Microsoft Office 365(商標)、Workday(商標)、Oracle on Demand(商標)、Taleo(商標)、Jive(商標)、及びConcur(商標)が挙げられる。
office分類子127は、図2において詳細に示される。office分類子フレームワーク202は、悪意のあるコードを含む場合又は含まない場合があるoffice文書のin the wild204を受信する。「in the wild」204という用語は、概して、すでに世間に出回っており、種々の種類の損害を与える悪意のあるプログラムを指す。office分類子127は、図1に示されるネットワークセキュリティシステム120の不可欠な部分であり、ネットワークセキュリティシステム120の他の要素と協働して動作する。
1)マクロ(VBAコード)
2)DDE
3)埋め込みOLEオブジェクト
1)VBAコードにおけるAPI。
2)マクロが接続するURL。
3)自動実行。
4)埋め込みPE/文書ファイル。
機械学習及び特徴量エンジニアリングのために開示される技術は、図3により詳細に示される。
一態様では、開示される技術は、機械学習アルゴリズムを使用する。本技術は、導出するように構成されており、特徴のリストは、導出を支援するヒューリスティックを伴って、又は伴わずに、以前のマルウェア攻撃から導出されることができる。特徴は、機械学習アルゴリズムを訓練するために使用される。
[MS Office文書から抽出された特徴の広範なカテゴリ]
[マクロ]
1)CreateObject、Shell、FileSystem、URLDownloadToFile、CallByName、Detect Sandbox、Virtualization、Anti-Debuggingなど、VBA及びWindows APIの使用のカウントを示す特徴。カウントの収集は、クリーンな文書に対する特徴と比較するとき、ML及びューリスティックアプローチの両方について分散を与える。
2)VBAマクロにおける自動実行のカウント(文書の開閉時、VBAコントロールのイベントをクリック)を示す特徴。
3)+、&、 = などのVBA文字列演算子(連結)を使用する、文字列演算子のカウントを示す特徴。
4)VBAマクロにおけるAsc()、Chr()、ChrWなど、CBool()、CStr()、CLng()など、Abs()、Atn()、RND()など、DDB()、FV()、IPmt()などのVBA関数を使用する、テキスト、型変換、算術及び財務関数のカウントを示す特徴。
5)OLEストリームの数、有効なパスコードなど、OLEストリームプロファイルを示す特徴。
6)コードライン、コメント、変数、関数、ループ、イベント、16進文字列、エントロピーなどのカウントのようなVBAコードプロファイルを示す特徴。
[静的:文書の静的特定を構成する。]
1)文書サイズ、文書のタイプ(Word/Excel/PPT)、作成/変更時間、及び改訂番号。
2)ページ数、段落数、行数、文字数
3)文書は、テンプレートであり、文書メタデータにおいてVBAコードが存在する
[DDE: 利用可能な場合は、動的データ実行コード/文字列の特徴を構成する。]
1)DDEが自動実行可能である場合。
2)DDEが、cmd.exe、powershell、wmi、wscript、及びcscriptユーティリティのような信頼できるWindowsユーティリティを使用している場合。
3)DDEにURLがある場合は、ハイパーリンクでアクセスする。
4)DDEが実行可能ファイル、ファイルダウンロード、レジストリスクリプト、アドイン、マクロボタンを使用している場合。
[埋め込み: Office文書内に埋め込みオブジェクトからの特徴を構成する]
1)exe、dll、7z、dmg、deb、rarなどのような疑わしいファイルを有する埋め込みオブジェクト。
2)sql、cer、cfmなどのような半疑わしいファイルを有する埋め込みオブジェクト。
3)extnなしのような他のファイルを有する埋め込みオブジェクト。
4)URLへの外部ハイパーリンクを有する埋め込みオブジェクト。
VirusTotalからのマクロを有する2000の悪意のあるMS Officeサンプル及びVirusTotalからの2000のクリーンなサンプルのランダムに選択されたセットのテストコーパスを使用すると、開示される技術は、誤検出なしにマルウェアサンプルの87.4%を検出することができ、Netskope社によって提供されるものなどの他のマルウェア検出エンジンと組み合わせた場合、98.9%の精度が誤検出なしで達成されたことを示す。このアーキテクチャは、以前に分析されたサンプルで使用された類似の難読化及び他の戦術を使用するマルウェアサンプルに対して、積極的で汎用的な検出を提供する。
MACRO_IS_PRESENT-この特徴は、スキャンされている文書にマクロが存在するかどうかを示す。これは、カウント又はブール値のいずれかであることができる。
MACRO_AUTOEXEC = 真、及び MACRO_WRITE = 真、及びMACRO_HAS_HEX_STR = 偽
MACRO_AUTOEXEC = 真、及びMACRO_WRITE = 真、及びMACRO_HAS_HEX_STR = 真
MACRO_AUTOEXEC = 真、及び MACRO_WRITE = 真、及び MACRO_HAS_HEX_STR = 偽
MACRO_OLE_PASSCODE-#は、OLE/VBAパスコード化されたプロジェクトストリームのプロジェクト保護状態である。
[OLEストリーム]
MS Office文書ファイルは、その中に埋め込みファイルがないかについてスキャンされる。以下のOLEストリーム(x01Ole10Native,¥x01CompObj及びObjectPool)は、埋め込みファイル情報を収集するために、デコードされる。以下は、埋め込みファイルから抽出された特徴である。
EMBED_NONE
EMBED_HAS_CORRUPT
EMBED_HAS_PASSWORD_PROTECTED
EMBED_HAS_SUSPICIOUS_BIN-ファイルは、
疑わしいビンにリストされているファイル/extnのいずれかからのものである。
EMBED_HAS_SEMI_SUSPICIOUS_FILE-ファイルは、semi_suspicious_filesにリストされているファイル/extnのいずれかからのものである
EMBED_HAS_NORMAL_FILE-ファイルは、normal_filesにリストされているファイル/extnのいずれかからのものである
EMBED_HAS_OTHER_FILE-ファイルは、上記のカテゴリのいずれにも属さず、compressed_filesではない。
EMBED_HAS_COMPRESSED_FILE-ファイルは、compressed_filesにリストされているファイル/extnのいずれかからのものである。
EMBED_HAS_NON_EXT
EMBED_RULE1 -これは、EMBED_RULE1である。
EMBED_HAS_SUSPICIOUS_BIN =真、又は
EMBED_HAS_OTHER_FILE =真
MS Officeファイルにカテゴリ(A)の疑わしいビン又はカテゴリ(E)の不明な拡張子における埋め込みファイルが含まれている場合は、マルウェアの可能性がある。
セット:
疑わしいビン(A)=「7z」、「apk」、「app」、「asp」、「aspx」、「bat」、「bin」、「cab」、「cgi」、「com」、「cpl」、「crx」、「deb」、「dll」、「dmg」、「dmp」、「drv」、「exe」、「gadget」、「jar」、「js」、「jse」、「jsp」、「lnk」、「msi」、「php」、「pkg」、「pl」、「plugin」、「py」、「rar」、「rpm」、「sh」、「sys」、「torrent」、「vbs」、「wsf」、「zip」、「zipx」
半疑わしい(B)=「cer」、「cfm」、「csr」、「deb」、「dcr」、「db」、「dbf」、「docm」、「mdb」、「pdb」、「sql」、「swf」、「xlsm」
正常(C)=「3ds」、「3dm」、「ai」、「aif」、「bmp」、「css」、「csv」、「doc」、「docx」、「dwg」、「dxf」、「eps」、「flv」、「fnt」、「fon」、「gif」、「htm」、「html」、「indd」、「jpg」、「key」、「log」、「m3u」、「m4a」、「max」、「mid」、「mov」、「mp3」、「mp4」、「mpg」、「obj」、「otf」、「pages」、「pct」、「pdf」、「png」、「ppt」、「pptx」、「ps」、
「psd」、「pspimage」、「rm」、「rtf」、「svg」、「tex」、「tga」、「thm」、「tif」、「tiff」、「ttf」、「txt」、「vob」、「wav」、「wma」、「wmv」、「wpd」、「wps」、「yuv」、「xlr」、「xls」、「xlsx」
拡張子なし(D)=ファイル名に「.」が含まれない
圧縮ファイル(F)=「7z」、「cbr」、「gz」、「rar」、「sitx」、「tar」、「zip」、「zipx」
以下は、MS Office文書ファイルからの特徴抽出の一部として抽出される静的属性である。機械学習(ML)モデルは、悪意のある文書を検出する能力を高めるために、これらの特徴で訓練される。
DOC_NUM_PAGES
DOC_NUM_WORDS
DOC_NUM_LINES
DOC_NUM_CHARS
DOC_NUM_PARAGRAPH
DOC_LASTMOD_TIME
DOC_AUTHOR_INFO
DOC_REVISION_NUMBER
DOC_LASTPRINT_TIME
DOC_LINK-IS DIRTY
DOC_LANGUAGE
DOC_SIZE
ハッシュベースの検出:開示される技術は、より一般的で積極的であり、ハッシュベースの検出は、1つのサンプルのみをカバーする。
ここで図7に目を向けると、クラウドベースのサービスを配信するためのクラウドベースのネットワーク内のネットワークにおけるセキュリティを提供するために使用され得るコンピュータシステム700の簡略化されたブロック図が示されている。コンピュータシステム700は、バスサブシステム726を介して一部の周辺デバイスと通信する少なくとも1つの中央処理装置(CPU)704と、本明細書で説明されるネットワークセキュリティサービスを提供するためのネットワークセキュリティシステム120と、を含む。これらの周辺デバイスは、例えば、メモリデバイス722、724及びファイルストレージサブシステム712を含むストレージサブシステム708と、ユーザインターフェース入力デバイス714と、ユーザインターフェース出力デバイス716と、ネットワークインターフェースサブシステム718と、を含むことができる。入力及び出力デバイスは、コンピュータシステム700とのユーザ対話を可能にする。ネットワークインターフェースサブシステム718は、他のコンピュータシステム内の対応するインターフェースデバイスへのインターフェースを含む、外部ネットワークへのインターフェースを提供する。
一実装形態では、図1のネットワークセキュリティシステム120は、ストレージサブシステム708及びユーザインターフェース入力デバイス714に通信可能にリンクされる。ユーザインターフェース入力デバイス714は、キーボード、マウス、トラックボール、タッチパッド、又はグラフィックタブレットなどのポインティングデバイス、スキャナ、ディスプレイに組み込まれたタッチスクリーン、音声認識システム及びマイクロフォンなどのオーディオ入力デバイス、並びに他のタイプの入力デバイスを含むことができる。概して、「入力デバイス」という用語の使用は、コンピュータシステム700に情報を入力するための全ての可能なタイプのデバイス及び方法を含むことが意図される。
開示される技術は、システム、方法、デバイス、製品、コンピュータ可読媒体、又は製造品として実践されることができる。実装形態の1つ以上の特徴は、ベースの実装形態と組み合わせられることができる。相互に排他的ではない実装形態は、組み合わせ可能であると教えられる。実装形態の1つ以上の特徴は、他の実装形態と組み合わせられることができる。本開示は、ユーザにこれらの選択肢を定期的に思い出させる。これらの選択肢を繰り返す列挙のいくつかの実装形態からの省略は、前のセクションで教示された組み合わせを制限するものと解釈されるべきではない。これらの列挙は、以下の実施形態の各々に、参照によって本明細書に組み込まれる。
macro_is_present、
macro_autoexec、
macro_execute、
macro_execute_powershell、
macro_write、
macro_has_internet_download、
macro_has_registry_access、
macro_comment_lines、
macro_code_lines、
macro_has_hex_str、
macro_olestream_count、
macro_ole_passcode、
macro_detect_sandbox、
macro_detect_virtualization、
macro_run_shell_code_in_memory、
macro_disable_security、
macro_self_modification、
macro_num_stringops、
macro_num_textfunc、
macro_num_arithfunc、
macro_num_typeconvfunc、
macro_num_fincfunc、及び
macro_shannon_entropy。
embed_none
embed_has_corrupt
embed_has_password_protected
embed_has_suspicious_bin - #ファイルは、suspicious_binsにリストされているファイル/extnのいずれかからのものである
embed_has_semi_suspicious_file - #ファイルは、semi_suspicious_filesにリストされているファイル/extnのいずれかからのものである
embed_has_normal_file
embed_has_other_file
embed_has_compressed_file
embed_has_non_ext
embed_rule1 - # embed_rule1
embed_has_suspicious_bin =真、及び
embed_has_other_file =真。
createobject、
shell、
filesystem、
urldownloadtofile、
callbyname、及び
detect sandbox。
createobject、
shell、
filesystem、
urldownloadtofile、
callbyname、及び
detect sandbox。
文書サイズ、
作成者情報、
文書のタイプ(Word/Excel/PPT)、
作成又は変更時刻及び改訂番号、
ページ数、
段落の数、
行数、及び
文字数。
doc_num_pages
doc_num_words
doc_num_lines
doc_num_chars
doc_num_paragraph
doc_lastmod_time
doc_author_info
doc_revision_number
doc_lastprint_time
doc_link-is dirty
doc_language
doc_size
以下の条項を開示する。
[条項セット1]
1. ネットワーク化されたシステムにおける入力文書を分類して、該文書のうちの少なくとも1つが悪意のあるコードを有するマクロを含み得るかどうかを判定するための方法であって、
文書ファイルをネットワークセキュリティシステムに繰り返し受信するアクション、
文書ファイルを解析してマクロデータを文書ペイロードデータから分離するアクション、
文書ファイルについて、既知の難読化方法を使用してマクロに埋め込まれたマルウェアの過去のインスタンスを示す少なくとも難読化特徴を生成するアクション、
訓練済み機械学習モデルに難読化特徴を入力し、訓練済み機械学習モデルを適用して文書ファイルを処理し、悪意のあるマクロの存在を予測するアクション、
マルウェア検出の精度を高くし、誤検出を排除するために並行して動作する二次マルウェア検出エンジンを使用するアクション、
結果として生じる文書を、安全、疑わしい、又は悪意のあるものとして分類するアクション、及び
分類するアクションに基づいて、安全な文書をネットワーク化されたシステムに受け入れ、悪意のある文書を悪意のあるものとしてブロックし、脅威分析のために疑わしい文書を隔離するアクションを含む、方法。
2. 難読化特徴は、埋め込みVBAマクロ特徴を説明する以下の特徴、
macro_is_present、
macro_autoexec、
macro_execute、
macro_execute_powershell、
macro_write、
macro_has_internet_download、
macro_has_registry_access、
macro_comment_lines、
macro_code_lines、
macro_has_hex_str、
macro_olestream_count、
macro_ole_passcode、
macro_detect_sandbox、
macro_detect_virtualization、
macro_run_shellcodeinmemory、
macro_disable_security、
macro_self_modification、
macro_num_stringops、
macro_num_textfunc、
macro_num_arithfunc、
macro_num_typeconvfunc、
macro_num_fincfunc、及び
macro_shannon_entropy、のうちの少なくとも5つを含む、条項1に記載の方法。
3. 文書ファイルは、MS Office文書である、条項1に記載の方法。
4. 文書ファイルは、Word文書、Excel文書、又はPowerPoint文書のうちの1つである、条項3に記載の方法。
5. 難読化特徴は、以下のVBAマクロ特徴、
createobject、
shell、
filesystem、
urldownloadtofile、
callbyname、及び
detect sandbox、のうちの少なくとも2つを含むマクロ関連特徴である、条項3に記載の方法。
6. 以下の文書特徴、
文書サイズ、
作成者情報、
文書のタイプ(Word/Excel/PPT)、
作成又は変更時刻及び改訂番号、
ページ数、
段落の数、
行数、及び
文字数、から導出された少なくとも2つの特徴を訓練済み機械学習モデルに入力することを更に含む、条項3に記載の方法。
7. マルウェア検出の精度を高くし、誤検出を排除するために並行して動作する二次マルウェア検出エンジンを使用するステップを更に含む、条項1に記載の方法。
8. 脅威分析は、サンドボックスにおける文書ファイルを分離し、サンドボックスを使用して疑わしい文書における1つ以上のマクロをテストすることを含む、条項1に記載の方法。
9.悪意のあるマクロは、既知の悪意のあるデータ署名を含まない、条項1に記載の方法。
10. 機械学習モデルは、特徴量エンジニアリングを通じた機械学習によって訓練された教師あり機械学習モデルであり、選択された特徴は、文書ファイルの大規模なサンプリングから導出されており、いくつかのサンプリングされた文書ファイルは、1つ以上の悪意のあるマクロを含み、いくつかのサンプリングされた文書ファイルは、少なくとも1つの悪意のないマクロを含む、条項1に記載の方法。
11. サンプル文書ファイルは、MS Officeファイルである、条項10に記載の方法。
12. ネットワークアナリストは、脅威分析の精度を高くするために分類するアクションをレビューする、条項1に記載の方法。
13. 悪意のあるマクロを含む文書ファイルを検出するためのシステムであって、
既知の悪意のあるマクロを示すデータが記憶される、ヒューリスティックエンジンと、
悪意のあるマクロ及び悪意のないマクロの特性から導出された特徴によって訓練された教師あり機械学習モデルを含む機械学習エンジンと、を備える、システム。
14. ヒューリスティックエンジンは、訓練済み機械学習モデルと並行して動作して、悪意のあるコードを含む文書における悪意のあるマクロの存在を予測し、office分類子が該悪意のあるコードと関連付けられた脅威レベルに従って文書を分類する、条項13に記載のシステム。
15. ネットワーク化されたシステムにおける入力文書を分類して、該文書のうちの少なくとも1つが悪意のあるコードを有するマクロを含み得るかどうかを判定するためのシステムであって、
ネットワークと、
ネットワークに結合されたネットワークインターフェースと、
ネットワークと動作可能に通信するネットワークセキュリティシステムと、
ネットワークセキュリティシステムと動作可能に通信するoffice分類子であって、
MS Office文書を受信及び処理するための入力手段と、ヒューリスティック特徴生成エンジンと、
悪意のあるマクロの存在を予測するために選択された特徴を有する機械学習方法によって訓練された教師あり機械学習モデルと、を備える、office分類子と、を備える、システム。
16. office分類子は、文書ファイルを悪意のあるものとして分類する、条項15に記載のシステム。
17. ファイルは、安全、悪意のある、又は疑わしいものとして分類される、条項16に記載のシステム。
18. 安全と分類された文書ファイルは、ネットワークに許可され、悪意のあるものとして分類された文書は、恒久的にブロックされ、疑わしいものとして分類されたファイルは、脅威分析される、条項17に記載のシステム。
19. 悪意のあるコードでサンドボックス内に隔離及び転送することによって脅威分析の疑わしいものと分類されたファイルは、安全に分析され得る、条項18に記載のシステム。
20. office分類子は、文書ファイルを悪意として分類する、条項1に記載の方法。
[条項セット2]
1. ネットワーク化されたシステムにおける入力文書を分類して、該文書のうちの少なくとも1つが悪意のあるコードを有するObject Linking & Embedding (オブジェクトリンク及び埋め込み、OLE)を含み得るかどうかを判定するための方法であって、
文書ファイルをネットワークセキュリティシステムに受信するアクション、
文書ファイルを解析して、入力文書における悪意のあるペイロードデータからメタデータを分離するアクション、
ヒューリスティックエンジンを使用して、既知の難読化方法を使用してOLEオブジェクトに埋め込まれているマルウェアの過去のインスタンスを示すデータを提供するアクション、
文書ファイルが悪意のあるOLEオブジェクトを含むかどうかを予測するために深層学習(DL)方法を使用することによって、機械学習アルゴリズムモデルを訓練するためにヒューリスティックエンジンによって提供されたデータから特徴セットを導出するアクション、
訓練済み機械学習モデルを使用して、文書ファイルを処理して、文書ファイルが悪意のあるOLEオブジェクトを含む可能性を判定するアクション、
結果として生じる文書を、安全、疑わしい、又は悪意のあるものとして分類するアクション、及び、
分類するアクションに基づいて、安全な文書をネットワーク化されたシステムに受け入れ、悪意のある文書を悪意のあるものとしてブロックし、脅威分析のために疑わしい文書を隔離するアクションを含む、方法。
2. OLEファイルから抽出された特徴セットは、以下の、
embed_none
embed_has_corrupt
embed_has_password_protected
embed_has_suspicious_bin
embed_has_semi_suspicious_file
embed_has_normal_file
embed_has_other_file
embed_has_compressed_file
embed_has_non_ext
embed_rule1
embed_has_suspicious_bin=true、及び
embed_has_other_file=true、のうちの少なくとも1つを含む、条項1に記載の方法。
3. 悪意のあるOLEオブジェクトは、既知の悪意のあるデータ署名を含まない、条項1に記載の方法。
4. 文書ファイルは、ワードプロセッシング文書である、条項1に記載の方法。
5. 文書ファイルは、ワードプロセッシング文書、スプレッドシート文書、又はプレゼンテーション文書のうちの1つである、条項4に記載の方法。
6. 特徴セットは、以下のVisual Basic For Applications(ビジュアルベーシック・フォー・アプリケーションズ、VBA) OLEオブジェクト特徴、
createobject、
shell、
filesystem、
urldownloadtofile、
callbyname、及び
detect sandbox、のうちの少なくとも1つを含むOLEオブジェクト関連特徴である、条項4に記載の方法。
7. 特徴セットは、以下の特徴、
doc_num_pages
doc_num_words
doc_num_lines
doc_num_chars
doc_num_paragraph
doc_lastmod_time
doc_author_info
doc_revision_number
doc_lastprint_time
doc_link-is dirty
doc_language
doc_sizeのうちの1つ以上を含む、条項4に記載の方法。
8. 特徴セットは、文書タイプを含む、条項1に記載の方法。
9. 脅威分析は、サンドボックスにおけるネットワークシステムから文書ファイルを隔離することを含む、条項1に記載の方法。
10. 隔離された文書ファイルは、悪意のあるコードについてテストされる、条項9に記載の方法。
11. 機械学習モデルは、特徴量エンジニアリングを通じた機械学習によって訓練された教師あり機械学習モデルであり、特徴セットは、1つ以上の悪意のあるOLEオブジェクトを有するいくつかの文書ファイル及び1つ以上の悪意のないOLEオブジェクトを有するいくつかの文書ファイルを含む、文書ファイルの大規模なサンプリングから導出される、条項1に記載の方法。
12. 文書ファイルのサンプリングは、ワードプロセッシング文書、スプレッドシート文書、及びプレゼンテーション文書である、条項11に記載の方法。
13. 悪意のあるOLEオブジェクトの検出動作の精度を高くし、誤検出を排除するために並行して動作する二次マルウェア検出エンジンを使用するアクションを更に含む、条項1に記載の方法。
14. ネットワークアナリストは、脅威分析の精度を高くするために分類するアクションをレビューする、条項1に記載の方法。
15. ネットワークセキュリティシステムであって、
ネットワークに結合されたネットワークインターフェースと、
複数のシステムコンポーネントであって、
該ネットワークインターフェースを介して、Object Linking and Embedded (OLE)オブジェクトを含む文書ファイルを受信するアクションと、
該文書ファイルを解析して、該OLEオブジェクト内に含まれる埋め込みデータを該文書ファイル内に含まれる他のペイロードデータから分離するアクションと、
該文書ファイルを処理して、該文書ファイルが該OLEオブジェクト内で難読化されている悪意のあるコードを含むかどうかの可能性を判定するアクションとのために構成されている、複数のシステムコンポーネントと、を含み、
該処理することは、該文書ファイルから、該OLEオブジェクト内で難読化される悪意のあるコードのインスタンスを示す難読化スコアリング特徴を抽出することを含み、
該処理することは、該難読化スコアリング特徴を訓練済み機械学習モデルに入力して、該文書ファイルが該OLEオブジェクト内で難読化されている悪意のあるコードを含むかどうかの該可能性を判定することを更に含む、システム。
16. 該難読化スコアリング特徴は、データベースに記憶される、条項15に記載のシステム。
17. ネットワーク化されたシステムにおける入力文書を分類して、該文書のうちの少なくとも1つが悪意のあるコードを有するObject Linking & Embedding (OLE)を含み得るかどうかを判定するためのシステムであって、
ネットワークと、
ネットワークに結合されたネットワークインターフェースと、
ネットワークと動作可能に通信するネットワークセキュリティシステムと、
ネットワークセキュリティシステムと動作可能に通信するoffice分類子と、を備え、
office分類子は、
ワードプロセッシング文書、スプレッドシート文書、及びプレゼンテーション文書を受信及び処理するための入力手段と、
ヒューリスティック特徴生成エンジンと、
難読化された悪意のあるOLEオブジェクトを有する入力文書を検出するために選択された特徴を使用して、深層学習方法によって訓練された教師あり機械学習モデルと、を備える、システム。
18. office分類子は、文書ファイルを悪意のあるものとして分類する、条項17に記載のシステム。
19. ファイルは、安全、悪意のある、又は疑わしいものとして分類される、条項18に記載のシステム。
20. 安全と分類された文書ファイルは、ネットワークに許可され、悪意のあるものとして分類された文書は、恒久的にブロックされ、疑わしいものとして分類されたファイルは、脅威分析される、条項19に記載のシステム。
21. 疑わしいと分類されたファイルは、悪意のあるコードが安全に分析され得るサンドボックス内にファイルを隔離及び転送することによって脅威分析されている、条項20に記載のシステム。
[条項セット3]
1. 文書ファイル内に埋め込まれた悪意のあるコードの存在の検出を提供するためのシステムであって、システムは、
複数のシステムコンポーネントであって、
1つ以上の埋め込みアイテムを含む文書ファイルを受信するアクションと、
該文書ファイルを解析して、該埋め込みアイテムのうちの少なくとも1つを抽出するアクションと、
該文書ファイルを処理して、該埋め込みアイテムのうちの該少なくとも1つが悪意のあるコードを含むかどうかの可能性を判定するアクションを実行するように構成されている、複数のシステムコンポーネント、を含み、
該処理することは、該埋め込みアイテムのうちの該少なくとも1つから、
該埋め込みアイテムのうちの該少なくとも1つ内で難読化されている悪意のあるコードの既知のインスタンスを示す難読化スコアリング特徴を抽出することを含み、
該処理することは、該難読化スコアリング特徴を訓練済み機械学習モデルに入力して、
該文書ファイル内の該埋め込みアイテムのうちの該少なくとも1つが悪意のあるコードを含むかどうかの該可能性を判定することを更に含む、システム。
2. 該システムは、
ネットワークに結合されているネットワークインターフェースを更に含み、該受信するアクションは、該ネットワークインターフェースを介して発生する、条項1に記載のシステム。
3. 該文書ファイルは、Microsoft Office文書である、条項1に記載のシステム。
4. 該文書ファイルは、Microsoft Word文書、Microsoft Excel文書、又はMicrosoft Power Point文書のうちの1つである、条項1に記載のシステム。
5. 該文書ファイルは、ワードプロセッシング文書、スプレッドシート文書、又はプレゼンテーション文書のうちの1つである、条項1に記載のシステム。
6. 該埋め込みアイテムは、1つ以上のマクロ及び/又は1つ以上のOLEオブジェクトのうちの少なくとも1つを含む、条項1に記載のシステム。
7. 該マクロは、VBAマクロを含む、条項6に記載のシステム。
8. 該難読化スコアリング特徴は、マクロ関連特徴を含み、該特徴は、CreateObject、Shell、FileSystem、URLDownloadToFile、CallByName、又はDetect Sandboxのうちの少なくとも1つの使用を含む、条項1に記載のシステム。
9. 該難読化スコアリング特徴は、オブジェクト関連特徴を含み、該オブジェクト関連特徴は、以下のVisual Basic For Applications (VBA) Object Linking and Embedding (OLE)特徴のうちの少なくとも1つの使用を含み、該特徴は、Shell、FileSystem、URLDownloadToFile、CallByName、又はDetect Sandboxのうちの少なくとも1つの使用を含む、条項1に記載のシステム。
10. 文書ファイル内の悪意のあるコードについて、該文書ファイルをサンドボックス内に隔離しながら、テストすることを更に含む、条項1に記載のシステム。
11. 文書ファイル内に埋め込まれた悪意のあるコードの存在の検出を提供するための方法であって、
1つ以上の埋め込みアイテムを含む文書ファイルを受信するアクションと、
該文書ファイルを解析して、該埋め込みアイテムのうちの少なくとも1つを抽出するアクションと、
該文書ファイルを処理して、該埋め込みアイテムのうちの該少なくとも1つが悪意のあるコードを含むかどうかの可能性を判定するアクションを含み、
該処理することは、該埋め込みアイテムのうちの該少なくとも1つから、
該埋め込みアイテムのうちの該少なくとも1つ内で難読化されている悪意のあるコードの既知のインスタンスを示す難読化スコアリング特徴を抽出することを含み、
該処理することは、該難読化スコアリング特徴を訓練済み機械学習モデルに入力して、
該文書ファイル内の該埋め込みアイテムのうちの該少なくとも1つが悪意のあるコードを含むかどうかの該可能性を判定することを更に含む、方法。
12. ネットワークインターフェースがネットワークに接続されており、該受信することは、該ネットワークインターフェースを介して発生する、条項11に記載の方法。
13. 該文書ファイルは、Microsoft Office文書である、条項11に記載の方法。
14. 該文書ファイルは、Microsoft Word文書、Microsoft Excel文書、又はMicrosoft Power Point文書のうちの1つである、条項11に記載の方法。
15. 該文書ファイルは、ワードプロセッシング文書、スプレッドシート文書、又はプレゼンテーション文書のうちの1つである、条項11に記載の方法。
16. 該埋め込みアイテムは、1つ以上のマクロ及び/又は1つ以上のOLEオブジェクトのうちの少なくとも1つを含む、条項11に記載の方法。
17. 該マクロは、VBAマクロを含む、条項16に記載の方法。
18. 該難読化スコアリング特徴は、マクロ関連特徴を含み、該特徴は、CreateObject、Shell、FileSystem、URLDownloadToFile、CallByName、又はDetect Sandboxのうちの少なくとも1つの使用を含む、条項11に記載の方法。
19. 該難読化スコアリング特徴は、オブジェクト関連特徴を含み、該オブジェクト関連特徴は、以下のVisual Basic For Applications (VBA) Object Linking and Embedding (OLE)特徴のうちの少なくとも1つの使用を含み、該特徴は、Shell、FileSystem、URLDownloadToFile、CallByName、又はDetect Sandboxのうちの少なくとも1つの使用を含む、条項11に記載の方法。
20. 文書ファイル内の悪意のあるコードについて、該文書ファイルをサンドボックス内に隔離しながら、テストすることを更に含む、条項11に記載の方法。
Claims (12)
- ネットワーク化されたシステムにおける入力文書を分類して、前記文書のうちの少なくとも1つが悪意のあるコードを有するマクロを含み得るかどうかを判定するための、コンピュータのハードウェア資源によって実施される方法であって、
文書ファイルをネットワークセキュリティシステムに繰り返し受信するステップ、
前記文書ファイルを解析してマクロデータを文書ペイロードデータから分離するステップ、
前記文書ファイルについて、既知の難読化方法を使用してマクロに埋め込まれたマルウェアの過去のインスタンスを示す少なくとも難読化特徴を生成するステップ、
訓練済み機械学習モデルに前記難読化特徴を入力し、前記訓練済み機械学習モデルを適用して前記文書ファイルを処理し、悪意のあるマクロの存在を予測するステップ、
マルウェア検出の精度を高くし、誤検出を排除するために並行して動作する二次マルウェア検出エンジンを使用するステップ、
結果として生じる文書を、安全、疑わしい、又は悪意のあるものとして分類するステップ、及び
前記分類するステップに基づいて、安全な文書を前記ネットワーク化されたシステムに受け入れ、悪意のある文書を悪意のあるものとしてブロックし、脅威分析のために疑わしい文書を隔離するステップを含む、方法。 - 前記難読化特徴は、埋め込みVBAマクロ特徴を説明する以下の特徴、
macro_is_present、
macro_autoexec、
macro_execute、
macro_execute_powershell、
macro_write、
macro_has_internet_download、
macro_has_registry_access、
macro_comment_lines、
macro_code_lines、
macro_has_hex_str、
macro_olestream_count、
macro_ole_passcode、
macro_detect_sandbox、
macro_detect_virtualization、
macro_run_shellcodeinmemory、
macro_disable_security、
macro_self_modification、
macro_num_stringops、
macro_num_textfunc、
macro_num_arithfunc、
macro_num_typeconvfunc、
macro_num_fincfunc、及び
macro_shannon_entropy、のうちの少なくとも5つを含む、請求項1に記載の方法。 - 前記文書ファイルは、MS Office文書である、請求項1に記載の方法。
- 前記文書ファイルは、Word文書、Excel文書、又はPowerPoint文書のうちの1つである、請求項3に記載の方法。
- 前記難読化特徴は、以下のVBAマクロ特徴、
createobject、
shell、
filesystem、
urldownloadtofile、
callbyname、及び
detect sandbox、のうちの少なくとも2つを含むマクロ関連特徴である、請求項3に記載の方法。 - 以下の文書特徴、
文書サイズ、
作成者情報、
文書のタイプ(Word/Excel/PPT)、
作成又は変更時刻及び改訂番号、
ページ数、
段落の数、
行数、及び
文字数、から導出された少なくとも2つの特徴を前記訓練済み機械学習モデルに入力することを更に含む、請求項3に記載の方法。 - 前記脅威分析は、サンドボックスにおける前記文書ファイルを分離し、前記サンドボックスを使用して前記疑わしい文書における1つ以上のマクロをテストすることを含む、請求項1に記載の方法。
- 前記悪意のあるマクロは、既知の悪意のあるデータ署名を含まない、請求項1に記載の方法。
- 前記機械学習モデルは、特徴量エンジニアリングを通じた機械学習によって訓練された教師あり機械学習モデルであり、選択された特徴は、文書ファイルの大規模なサンプリングから導出されており、いくつかのサンプリングされた文書ファイルは、1つ以上の悪意のあるマクロを含み、いくつかのサンプリングされた文書ファイルは、少なくとも1つの悪意のないマクロを含む、請求項1に記載の方法。
- 前記サンプリングされた文書ファイルは、MS Officeファイルである、請求項9に記載の方法。
- ネットワークアナリストが、前記脅威分析の精度を高くするために前記分類するステップをレビューする、請求項1に記載の方法。
- office分類子が、文書ファイルを悪意として分類する、請求項1に記載の方法。
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/184,502 | 2021-02-24 | ||
US17/184,478 | 2021-02-24 | ||
US17/184,478 US11222112B1 (en) | 2021-02-24 | 2021-02-24 | Signatureless detection of malicious MS office documents containing advanced threats in macros |
US17/184,502 US11349865B1 (en) | 2021-02-24 | 2021-02-24 | Signatureless detection of malicious MS Office documents containing embedded OLE objects |
US17/572,548 | 2022-01-10 | ||
US17/572,548 US20220269782A1 (en) | 2021-02-24 | 2022-01-10 | Detection of malicious code that is obfuscated within a document file |
PCT/US2022/017778 WO2022182919A1 (en) | 2021-02-24 | 2022-02-24 | Signatureless detection of malicious ms office documents |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2024507893A JP2024507893A (ja) | 2024-02-21 |
JP7493108B2 true JP7493108B2 (ja) | 2024-05-30 |
Family
ID=83049470
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023551122A Active JP7493108B2 (ja) | 2021-02-24 | 2022-02-24 | 悪意のあるms office文書の署名なし検出 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP7493108B2 (ja) |
WO (1) | WO2022182919A1 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130160127A1 (en) | 2011-12-14 | 2013-06-20 | Korea Internet & Security Agency | System and method for detecting malicious code of pdf document type |
US20140331324A1 (en) | 2006-09-18 | 2014-11-06 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting attack on a digital processing device |
JP2018159010A (ja) | 2017-03-23 | 2018-10-11 | 三菱ケミカル株式会社 | マクロモノマー共重合体および成形材料 |
US20200089880A1 (en) | 2016-12-19 | 2020-03-19 | Telefónica Digital España, S.L.U. | Method and system for detecting malicious programs integrated into an electronic document |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3120286B1 (en) * | 2014-03-17 | 2019-07-17 | Proofpoint, Inc. | Behavior profiling for malware detection |
RU2680736C1 (ru) * | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Сервер и способ для определения вредоносных файлов в сетевом трафике |
US11003774B2 (en) * | 2018-01-26 | 2021-05-11 | Sophos Limited | Methods and apparatus for detection of malicious documents using machine learning |
US11449609B2 (en) * | 2019-01-22 | 2022-09-20 | Sophos Limited | Detecting obfuscated malware variants |
US11574052B2 (en) * | 2019-01-31 | 2023-02-07 | Sophos Limited | Methods and apparatus for using machine learning to detect potentially malicious obfuscated scripts |
US11222112B1 (en) * | 2021-02-24 | 2022-01-11 | Netskope, Inc. | Signatureless detection of malicious MS office documents containing advanced threats in macros |
-
2022
- 2022-02-24 JP JP2023551122A patent/JP7493108B2/ja active Active
- 2022-02-24 WO PCT/US2022/017778 patent/WO2022182919A1/en active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140331324A1 (en) | 2006-09-18 | 2014-11-06 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting attack on a digital processing device |
US20130160127A1 (en) | 2011-12-14 | 2013-06-20 | Korea Internet & Security Agency | System and method for detecting malicious code of pdf document type |
US20200089880A1 (en) | 2016-12-19 | 2020-03-19 | Telefónica Digital España, S.L.U. | Method and system for detecting malicious programs integrated into an electronic document |
JP2018159010A (ja) | 2017-03-23 | 2018-10-11 | 三菱ケミカル株式会社 | マクロモノマー共重合体および成形材料 |
Also Published As
Publication number | Publication date |
---|---|
JP2024507893A (ja) | 2024-02-21 |
WO2022182919A1 (en) | 2022-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11677764B2 (en) | Automated malware family signature generation | |
Sarmah et al. | A survey of detection methods for XSS attacks | |
US11222112B1 (en) | Signatureless detection of malicious MS office documents containing advanced threats in macros | |
JP2022133461A (ja) | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 | |
US11349865B1 (en) | Signatureless detection of malicious MS Office documents containing embedded OLE objects | |
US8220050B2 (en) | Method and system for detecting restricted content associated with retrieved content | |
JP2019153330A (ja) | クラウド・コンピューティング・サービス用のミドルウェアセキュリティ層 | |
Wang et al. | Jsdc: A hybrid approach for javascript malware detection and classification | |
US20090248696A1 (en) | Method and system for detecting restricted content associated with retrieved content | |
US20210192043A1 (en) | Dynamic rules engine in a cloud-based sandbox | |
US20220217164A1 (en) | Inline malware detection | |
US11636208B2 (en) | Generating models for performing inline malware detection | |
US20220232015A1 (en) | Preventing cloud-based phishing attacks using shared documents with malicious links | |
Acharya et al. | [Retracted] A Comprehensive Review of Android Security: Threats, Vulnerabilities, Malware Detection, and Analysis | |
Saini et al. | Classification of PE files using static analysis | |
US20230344861A1 (en) | Combination rule mining for malware signature generation | |
Sharif | Web attacks analysis and mitigation techniques | |
RU2601162C1 (ru) | Способ использования выделенного сервиса компьютерной безопасности | |
US20230342461A1 (en) | Malware detection for documents using knowledge distillation assisted learning | |
JP7493108B2 (ja) | 悪意のあるms office文書の署名なし検出 | |
US20230306114A1 (en) | Method and system for automatically generating malware signature | |
WO2021015941A1 (en) | Inline malware detection | |
Hani et al. | Detection of malware under android mobile application | |
KR102676386B1 (ko) | 인라인 멀웨어 검출 | |
US20230342460A1 (en) | Malware detection for documents with deep mutual learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230927 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230927 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230927 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240130 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240405 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240423 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240520 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7493108 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |