RU2013158126A - SYSTEM AND METHOD FOR DETECTING DIRECTED ATTACKS TO CORPORATE INFRASTRUCTURE - Google Patents

SYSTEM AND METHOD FOR DETECTING DIRECTED ATTACKS TO CORPORATE INFRASTRUCTURE Download PDF

Info

Publication number
RU2013158126A
RU2013158126A RU2013158126/08A RU2013158126A RU2013158126A RU 2013158126 A RU2013158126 A RU 2013158126A RU 2013158126/08 A RU2013158126/08 A RU 2013158126/08A RU 2013158126 A RU2013158126 A RU 2013158126A RU 2013158126 A RU2013158126 A RU 2013158126A
Authority
RU
Russia
Prior art keywords
objects
analysis
malicious
suspicious
similarity
Prior art date
Application number
RU2013158126/08A
Other languages
Russian (ru)
Other versions
RU2587426C2 (en
Inventor
Алексей Александрович Поляков
Константин Владимирович Сапронов
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2013158126/08A priority Critical patent/RU2587426C2/en
Publication of RU2013158126A publication Critical patent/RU2013158126A/en
Application granted granted Critical
Publication of RU2587426C2 publication Critical patent/RU2587426C2/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

1. Способ обнаружения вредоносных объектов на вычислительном устройстве, в котором:а) получают информацию о, по меньшей мере, одном объекте, в том числе контрольная сумма объекта, при помощи средства обнаружения подозрительных объектов;б) анализируют упомянутую информацию об объекте при помощи средства обнаружения подозрительных объектов, признают анализируемый объект подозрительным в соответствии с набором эвристических правил, используемых средством обнаружения подозрительных объектов, и передают информацию об упомянутом объекте на анализ средству анализа объектов;в) производят анализ полученной информации об объекте средством анализа объектов, признают подозрительный объект потенциально вредоносным в соответствии с набором эвристических правил, используемых средством анализа объектов;г) передают потенциально вредоносный объект для анализа, осуществляемого средством анализа объектов, при помощи средства обнаружения подозрительных объектов на основании результатов анализа информации об объекте, произведенного средством анализа объектов;д) анализируют полученный потенциально вредоносный объект при помощи средства анализа объектов и признают упомянутый объект вредоносным, если он похож на объект из базы данных вредоносных объектов.2. Способ по п.1, в котором при помощи средства анализа объектов, на основании проведенного указанным средством анализа объекта и признания этого объекта вредоносным, формируют изменения эвристических правил, используемых средством обнаружения подозрительных объектов, и правила для устранения последствий присутствия указанного вредоносного объекта.3. Способ п�1. A method for detecting malicious objects on a computing device, in which: a) receive information about at least one object, including the checksum of the object using a means of detecting suspicious objects; b) analyze the information about the object using the means detection of suspicious objects, recognize the analyzed object as suspicious in accordance with the set of heuristic rules used by the means of detecting suspicious objects, and transmit information about the said object to and analysis to the object analysis tool; c) they analyze the received information about the object using the object analysis tool, recognize the suspicious object as potentially harmful in accordance with the set of heuristic rules used by the object analysis tool; d) transmit a potentially harmful object for analysis by the object analysis tool, when using a means of detecting suspicious objects based on the results of the analysis of information about the object produced by the facility analysis tool; e) analyze the gender identified potentially malicious object using the facility analysis tool and recognize the said object as malicious if it looks like an object from the database of malicious objects. 2. The method according to claim 1, wherein, using the object analysis means, based on the analysis of the object and the recognition of this object as malicious, the heuristic rules used by the means for detecting suspicious objects and the rules for eliminating the consequences of the presence of the specified malicious object are generated. The way

Claims (24)

1. Способ обнаружения вредоносных объектов на вычислительном устройстве, в котором:1. A method for detecting malicious objects on a computing device, in which: а) получают информацию о, по меньшей мере, одном объекте, в том числе контрольная сумма объекта, при помощи средства обнаружения подозрительных объектов;a) receive information about at least one object, including the checksum of the object, using a means of detecting suspicious objects; б) анализируют упомянутую информацию об объекте при помощи средства обнаружения подозрительных объектов, признают анализируемый объект подозрительным в соответствии с набором эвристических правил, используемых средством обнаружения подозрительных объектов, и передают информацию об упомянутом объекте на анализ средству анализа объектов;b) analyze the mentioned information about the object using the means of detecting suspicious objects, recognize the analyzed object as suspicious in accordance with the set of heuristic rules used by the means of detecting suspicious objects, and transmit information about the said object for analysis to the analysis of objects; в) производят анализ полученной информации об объекте средством анализа объектов, признают подозрительный объект потенциально вредоносным в соответствии с набором эвристических правил, используемых средством анализа объектов;c) analyze the received information about the object using the object analysis tool, recognize the suspicious object as potentially harmful in accordance with the set of heuristic rules used by the object analysis tool; г) передают потенциально вредоносный объект для анализа, осуществляемого средством анализа объектов, при помощи средства обнаружения подозрительных объектов на основании результатов анализа информации об объекте, произведенного средством анализа объектов;d) transmit a potentially malicious object for analysis, carried out by means of the analysis of objects, using the detection of suspicious objects based on the results of the analysis of information about the object produced by the analysis of objects; д) анализируют полученный потенциально вредоносный объект при помощи средства анализа объектов и признают упомянутый объект вредоносным, если он похож на объект из базы данных вредоносных объектов.e) analyze the obtained potentially malicious object using the facility analysis tool and recognize the said object as malicious if it looks like an object from the database of malicious objects. 2. Способ по п.1, в котором при помощи средства анализа объектов, на основании проведенного указанным средством анализа объекта и признания этого объекта вредоносным, формируют изменения эвристических правил, используемых средством обнаружения подозрительных объектов, и правила для устранения последствий присутствия указанного вредоносного объекта.2. The method according to claim 1, in which, using the means of analyzing objects, based on the analysis of the object and the recognition of this object as malicious, the heuristic rules used by the means for detecting suspicious objects and the rules for eliminating the consequences of the presence of the specified malicious object are generated. 3. Способ по п.1, в котором принимают решение о возможности передачи информации об объекте и потенциально вредоносного объекта для анализа средством анализа объектов при помощи средства соблюдения политик безопасности.3. The method according to claim 1, in which they decide on the possibility of transmitting information about the object and a potentially harmful object for analysis by means of the analysis of objects using the means of complying with security policies. 4. Способ по п.1, в котором набор используемых средством обнаружения подозрительных объектов эвристических правил для обнаружения подозрительных объектов определяется при помощи средства соблюдения политик безопасности.4. The method according to claim 1, in which the set of heuristic rules used by the suspicious object detection tool to detect suspicious objects is determined using the security policy enforcement tool. 5. Способ по п.1, в котором похожими объектами считают объекты, степень сходства между которыми превышает заранее установленный порог.5. The method according to claim 1, in which similar objects are considered objects, the degree of similarity between which exceeds a predetermined threshold. 6. Способ по п.5, в котором степень сходства между объектами определяют на основании степени сходства данных, хранящихся в соответствующих объектам файлах.6. The method according to claim 5, in which the degree of similarity between the objects is determined based on the degree of similarity of the data stored in the files corresponding to the objects. 7. Способ по п.5, в котором степень сходства между объектами определяют на основании степени сходства информации об объектах.7. The method according to claim 5, in which the degree of similarity between the objects is determined based on the degree of similarity of information about the objects. 8. Способ по п.5, в котором степень сходства между объектами определяют на основании степени сходства функционала соответствующих объектам файлов.8. The method according to claim 5, in which the degree of similarity between the objects is determined based on the degree of similarity of the functionality of the files corresponding to the objects. 9. Способ по п.8, в котором в качестве функционала файла используют журнал вызовов API-функций операционной системы при эмуляции исполнения файла.9. The method of claim 8, in which, as a file functional, a call log of API functions of the operating system is used when emulating file execution. 10. Способ по п.8, в котором в качестве функционала файла используют журнал вызова API-функций операционной системы при запуске объекта в виртуальной среде.10. The method of claim 8, in which the function log file is used to call the API call of the operating system when an object is launched in a virtual environment. 11. Способ по п.10, в котором для запуска объекта в виртуальной среде используется виртуальная машина с набором программного обеспечения и системных настроек, аналогичным набору, используемому на вычислительном устройстве из корпоративной инфраструктуры.11. The method according to claim 10, in which to run the object in a virtual environment, a virtual machine is used with a set of software and system settings similar to the set used on a computing device from the corporate infrastructure. 12. Способ по п.5, в котором степень сходства определяют в соответствии с одной из метрик: Хэмминга, Левенштейна, Жаккара, Дайса.12. The method according to claim 5, in which the degree of similarity is determined in accordance with one of the metrics: Hamming, Levenshtein, Jacquard, Dyce. 13. Система обнаружения вредоносных объектов на вычислительном устройстве, которая содержит:13. A system for detecting malicious objects on a computing device, which contains: а) средство обнаружения подозрительных объектов, предназначенное для обнаружения подозрительных объектов при помощи эвристических правил, а также сбора информации об объектах, в том числе контрольных сумм объектов, и передачи собираемой информации и объектов на анализ;a) a tool for detecting suspicious objects, designed to detect suspicious objects using heuristic rules, as well as collecting information about objects, including checksums of objects, and transmitting the collected information and objects for analysis; б) базу описаний подозрительных объектов, связанную со средством обнаружения подозрительных объектов, которая содержит используемые указанным средством эвристические правила и правила для сбора информации об объектах;b) a database of descriptions of suspicious objects associated with a means of detecting suspicious objects, which contains heuristic rules and rules used to collect information about objects; в) средство анализа объектов, связанное со средством обнаружения подозрительных объектов, предназначенное для анализа информации об объектах, признания в соответствии с анализом объектов потенциально вредоносными, анализа потенциально вредоносных объектов, получаемых со стороны средства обнаружения подозрительных объектов, и признании указанных объектов вредоносными, если они похожи на объекты, хранящиеся в базе данных вредоносных;c) an object analysis tool associated with the detection of suspicious objects, designed to analyze information about objects, recognize in accordance with the analysis of objects potentially harmful, analyze potentially harmful objects received from the means of detection of suspicious objects, and recognize these objects as malicious if they are similar to objects stored in a malicious database; г) базу данных безопасных объектах, которая используется для хранения безопасных объектов и информации о безопасных объектах;d) a database of safe objects, which is used to store safe objects and information about safe objects; д) базу данных вредоносных объектах, которая используется для хранения вредоносных объектов и информации о вредоносных объектах;e) a database of malicious objects, which is used to store malicious objects and information about malicious objects; е) средство обновления, связанное со средством анализа объектов и предназначенное для изменения набора эвристических правил, используемых средством обнаружения подозрительных объектов, в соответствии с изменениями, сформированными средством анализа объектов.e) an update tool associated with the object analysis tool and intended to change the set of heuristic rules used by the suspicious object detection tool in accordance with the changes generated by the object analysis tool. 14. Система по п.13, в которой средство анализа объектов в соответствии с анализом объекта и признанием его вредоносным дополнительно формирует обновления эвристических правил, используемых средством обнаружения подозрительных объектов, и правила для устранения последствий присутствия вредоносного объекта.14. The system according to item 13, in which the means of analyzing objects in accordance with the analysis of the object and declaring it harmful additionally generates updates to the heuristic rules used by the means for detecting suspicious objects, and rules for eliminating the consequences of the presence of a malicious object. 15. Система по п.13, в которой набор используемых средством обнаружения подозрительных объектов эвристических правил для обнаружения подозрительных объектов определяется при помощи средства соблюдения политик безопасности.15. The system according to item 13, in which the set of heuristic rules used by the means of detecting suspicious objects for detecting suspicious objects is determined using the means of complying with security policies. 16. Система по п.13, в которой похожими объектами считают объекты, степень сходства между которыми превышает заранее установленный порог.16. The system according to item 13, in which similar objects are considered objects whose degree of similarity between them exceeds a predetermined threshold. 17. Система по п.16, в которой степень сходства между объектами определяют на основании степени сходства данных, хранящихся в соответствующих объектам файлах.17. The system of claim 16, wherein the degree of similarity between the objects is determined based on the degree of similarity of the data stored in the files corresponding to the objects. 18. Система по п.16, в которой степень сходства между объектами определяют на основании степени сходства информации об объектах.18. The system of claim 16, wherein the degree of similarity between the objects is determined based on the degree of similarity of information about the objects. 19. Система по п.16, в которой степень сходства между объектами определяют на основании степени сходства функционала соответствующих объектам файлов.19. The system according to clause 16, in which the degree of similarity between the objects is determined based on the degree of similarity of the functionality of the files corresponding to the objects. 20. Система по п.19, в которой в качестве функционала файла используют журнал вызовов API-функций операционной системы при эмуляции исполнения файла.20. The system according to claim 19, in which the call log of API functions of the operating system is used as a file functional when emulating file execution. 21. Система по п.19, в которой в качестве функционала файла используют журнал вызова API-функций операционной системы при запуске объекта в виртуальной среде.21. The system according to claim 19, in which the log of calling the API functions of the operating system when the object is launched in a virtual environment is used as the file’s functionality. 22. Система по п.21, в которой для запуска объекта в виртуальной среде используется виртуальная машина с набором программного обеспечения и системных настроек, аналогичным набору, используемому на вычислительном устройстве из корпоративной инфраструктуры.22. The system according to item 21, in which to run the object in a virtual environment, a virtual machine is used with a set of software and system settings similar to the set used on a computing device from the corporate infrastructure. 23. Система по п.16, в которой степень сходства определяют в соответствии с одной из метрик: Хэмминга, Левенштейна, Жаккара, Дайса.23. The system according to clause 16, in which the degree of similarity is determined in accordance with one of the metrics: Hamming, Levenshtein, Jacquard, Dyce. 24. Система по п.13, в которой дополнительно используется средство соблюдения политик безопасности, связанное со средством обнаружения подозрительных объектов и предназначенное для соблюдения средством обнаружения подозрительных объектов политик безопасности. 24. The system according to item 13, which additionally uses a means of compliance with security policies associated with a means of detecting suspicious objects and designed to comply with a means of detecting suspicious objects of security policies.
RU2013158126/08A 2013-12-27 2013-12-27 System and method of detecting directed attack on corporate infrastructure RU2587426C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013158126/08A RU2587426C2 (en) 2013-12-27 2013-12-27 System and method of detecting directed attack on corporate infrastructure

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013158126/08A RU2587426C2 (en) 2013-12-27 2013-12-27 System and method of detecting directed attack on corporate infrastructure

Publications (2)

Publication Number Publication Date
RU2013158126A true RU2013158126A (en) 2015-07-10
RU2587426C2 RU2587426C2 (en) 2016-06-20

Family

ID=53538037

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013158126/08A RU2587426C2 (en) 2013-12-27 2013-12-27 System and method of detecting directed attack on corporate infrastructure

Country Status (1)

Country Link
RU (1) RU2587426C2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10873590B2 (en) 2017-09-29 2020-12-22 AO Kaspersky Lab System and method of cloud detection, investigation and elimination of targeted attacks
RU2661533C1 (en) * 2017-09-29 2018-07-17 Акционерное общество "Лаборатория Касперского" System and method of detecting the signs of computer attacks

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU91202U1 (en) * 2009-10-01 2010-01-27 ЗАО "Лаборатория Касперского" UNKNOWN Malicious Software Detection System
RU2420791C1 (en) * 2009-10-01 2011-06-10 ЗАО "Лаборатория Касперского" Method of associating previously unknown file with collection of files depending on degree of similarity

Also Published As

Publication number Publication date
RU2587426C2 (en) 2016-06-20

Similar Documents

Publication Publication Date Title
WO2017190620A1 (en) Virus detection method, terminal and server
Tian et al. Differentiating malware from cleanware using behavioural analysis
KR102210627B1 (en) Method, apparatus and system for detecting malicious process behavior
RU2012156443A (en) SYSTEM AND METHOD FOR DETECTING THREATS IN THE CODE USED BY THE VIRTUAL MACHINE
KR101589656B1 (en) System and method for detecting and inquiring metamorphic malignant code based on action
CN107247902B (en) Malicious software classification system and method
RU2011138462A (en) USE OF USER SOLUTIONS TO DETECT UNKNOWN COMPUTER THREATS
RU2014131808A (en) System and method for determining the category of application proxy
RU2012156439A (en) SYSTEM AND METHOD FOR DETECTING MALICIOUS PROGRAMS HinderING THE STANDARD INTERACTION OF THE USER WITH THE INTERFACE OF THE OPERATING SYSTEM
WO2017012241A1 (en) File inspection method, device, apparatus and non-volatile computer storage medium
KR20140030989A (en) Method of obtaining signature of apk files for android operating system, and computer-readable recording medium with apk file signature computing program for the same
RU2013125979A (en) SYSTEM AND METHOD FOR DETECTING MALICIOUS EXECUTIVE FILES BASED ON THE SIMILARITY OF RESOURCES OF EXECUTED FILES
RU2012156434A (en) SYSTEM AND METHOD FOR SELECTING AN OPTIMAL TYPE OF ANTI-VIRUS SCAN WHEN ACCESSING A FILE
US9501742B2 (en) System and method for assessing categorization rule selectivity
Abdullah et al. Mobile botnet detection: Proof of concept
Pandey et al. Performance of malware detection tools: A comparison
Vidyarthi et al. Malware detection by static checking and dynamic analysis of executables
US10055584B2 (en) Method and device for obtaining virus signatures
RU2013158126A (en) SYSTEM AND METHOD FOR DETECTING DIRECTED ATTACKS TO CORPORATE INFRASTRUCTURE
JP5608849B2 (en) How to get digital fingerprint of malicious document file
Lim et al. Mal-ONE: A unified framework for fast and efficient malware detection
CN107844702B (en) Website trojan backdoor detection method and device based on cloud protection environment
Wolsey The State-of-the-Art in AI-Based Malware Detection Techniques: A Review
RU2014121039A (en) SYSTEM AND METHOD FOR DETECTING MALICIOUS FILES OF A SPECIFIC TYPE
KR101880689B1 (en) Apparatus and method for detecting malicious code

Legal Events

Date Code Title Description
HE9A Changing address for correspondence with an applicant