RU2018104432A - Система и способ выявления скрытого поведения расширения браузера - Google Patents
Система и способ выявления скрытого поведения расширения браузера Download PDFInfo
- Publication number
- RU2018104432A RU2018104432A RU2018104432A RU2018104432A RU2018104432A RU 2018104432 A RU2018104432 A RU 2018104432A RU 2018104432 A RU2018104432 A RU 2018104432A RU 2018104432 A RU2018104432 A RU 2018104432A RU 2018104432 A RU2018104432 A RU 2018104432A
- Authority
- RU
- Russia
- Prior art keywords
- browser
- events
- behavior
- browser extension
- extension
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Human Computer Interaction (AREA)
- Information Transfer Between Computers (AREA)
- Debugging And Monitoring (AREA)
Claims (33)
1. Способ анализа расширения браузера, реализуемый компьютером, для выявления скрытого поведения у расширения браузера, при этом способ содержит этапы, на которых:
а. устанавливают расширение браузера в браузер, запущенный в защищенной среде, которая содержит, по крайней мере, операционную систему и указанный браузер, содержащий средство регистрации событий в виде другого расширения;
б. выполняют по крайней мере одно предопределенное действие, имитирующие работу пользователя, из хранилища данных;
в. отслеживают с помощью средства регистрации событий активности, происходящие во время выполнения по крайней мере одного предопределенного действия, при этом каждому виду активности соответствуют определенные изменения в защищенной среде;
г. регистрируют в список событий произошедшие события, которые связаны с изменениями в защищенной среде, которые инициированы только установленным расширением браузера;
д. анализируют события из перечня событий на наличие событий, указывающих на изменения, характерные для скрытого поведения,
i. где изменения, характерные для скрытого поведения, указывают на действия расширения браузера, которые ранее не были заявлены в работе анализируемого расширения браузера;
е. сохраняют полученные результаты при выявлении по крайней мере одного зарегистрированного события, указывающего на наличие скрытого поведения у анализируемого расширения браузера.
2. Способ по п. 1, отличающийся тем, что указанный способ дополнительно включает выявление вредоносного поведения в расширении браузера на основании сохраненных результатов анализа.
3. Способ по п. 2, отличающийся тем, что указанный способ во время выявления вредоносного поведения определяет события, происходящие в результате вредоносных действий, среди событий, указывающих на действия, выполняемые в результате скрытого поведения.
4. Способ по п. 1, в котором под защищенной средой понимается по меньшей мере «песочница», эмулятор и любая другая среда, позволяющая контролировать набор ресурсов операционной системы для исполнения.
5. Способ по п. 4, в котором инициаторами являются по крайней мере следующие: виртуальная память, файлы, значения реестра, сетевые соединения, браузер и расширения.
6. Способ по п. 1, в котором под стандартными действиями понимается по крайней мере открытие одного сайта, совершение нескольких действий на каждом открытом сайте, открытие страницы настроек браузера и выполнение поисковых запросов в браузере.
7. Система анализа расширения браузера для выявления скрытого поведения у расширения браузера, включающая следующие средства, реализуемые на компьютере:
a) хранилище данных, связанное с указанными ниже средствами и выполненное с возможностью хранения по крайней мере перечня стандартных действий и списка событий;
b) средство для формирования защищенной среды, предназначенное для:
i) запуска защищенной среды, содержащей операционную систему с браузером, при этом браузер содержит средство регистрации событий в виде расширения,
ii) установки расширения браузера в указанный браузер,
iii) выполнения по крайней мере одного действия из перечня стандартных действий, имитирующих работу пользователя, из хранилища данных;
c) упомянутое средство регистрации событий, предназначенное для:
i) отслеживания происходящих активностей в защищенной среде во время выполнения по крайней мере одного указанного действия, при этом каждому вида активности соответствуют определенные изменения в защищенной среде,
ii) регистрации в список событий только произошедшие события, которые связаны с изменениями в защищенной среде, которые инициированы только установленным расширением браузера,
iii) передачи списка событий средству обнаружения скрытого поведения;
d) упомянутое средство обнаружения скрытого поведения, предназначенное для:
i) анализа события из списка событий на наличие событий, указывающие на изменения, характерные для скрытого поведения,
- где изменения, характерные для скрытого поведения, указывают на действия расширения браузера, которые ранее не были заявлены в работе анализируемого расширения браузера,
ii) сохранения полученного результата при выявлении по крайней мере одного зарегистрированного события, указывающего на наличие скрытого поведения у анализируемого расширения браузера.
8. Система по п. 7, которая дополнительно содержит средство выявления вредоносного поведения, связанное со средством обнаружения скрытого поведения, предназначенное для:
i) выявления вредоносного поведения в расширении браузера с использованием сохраненных результатов анализа,
ii) определения события, указывающего на скрытое поведение, как событие, происходящее в результате вредоносного действия.
9. Система по п. 7, в которой под защищенной средой понимается по меньшей мере «песочница», эмулятор и любая другая среда, позволяющая контролировать набор ресурсов операционной системы для исполнения.
10. Система по п. 9, в которой инициаторами изменений являются по крайней мере следующие: виртуальная память, файлы, ветки реестра, сетевые соединения, браузер и расширения.
11. Система по п. 7, в которой под стандартными действиями понимается по крайней мере открытие нескольких сайтов, совершение нескольких действий на открытых сайтах, открытие страниц настроек браузера и выполнение поисковых запросов в браузере.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2018104432A RU2697950C2 (ru) | 2018-02-06 | 2018-02-06 | Система и способ выявления скрытого поведения расширения браузера |
| US16/038,695 US10943008B2 (en) | 2018-02-06 | 2018-07-18 | System and method of detecting hidden behavior of a browser extension |
| EP18191560.4A EP3522057B1 (en) | 2018-02-06 | 2018-08-29 | System and method of detecting hidden behavior of a browser extension |
| CN201811043064.4A CN110119614B (zh) | 2018-02-06 | 2018-09-07 | 检测浏览器扩展的隐藏行为的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2018104432A RU2697950C2 (ru) | 2018-02-06 | 2018-02-06 | Система и способ выявления скрытого поведения расширения браузера |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| RU2018104432A true RU2018104432A (ru) | 2019-08-06 |
| RU2018104432A3 RU2018104432A3 (ru) | 2019-08-06 |
| RU2697950C2 RU2697950C2 (ru) | 2019-08-21 |
Family
ID=67476045
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2018104432A RU2697950C2 (ru) | 2018-02-06 | 2018-02-06 | Система и способ выявления скрытого поведения расширения браузера |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10943008B2 (ru) |
| CN (1) | CN110119614B (ru) |
| RU (1) | RU2697950C2 (ru) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11019062B2 (en) * | 2018-03-12 | 2021-05-25 | Microsoft Technology Licensing, Llc | Auto disablement of web browser extensions on defined categories of webpages |
| US11182480B2 (en) * | 2018-09-28 | 2021-11-23 | Mcafee, Llc | Identification of malware |
| US11029970B2 (en) * | 2018-10-24 | 2021-06-08 | Sap Se | Operating system extension framework |
| US11153295B2 (en) * | 2019-08-28 | 2021-10-19 | Vmware, Inc. | Authentication of plugins in a virtualized computing environment |
| RU2757330C1 (ru) * | 2020-06-19 | 2021-10-13 | Акционерное общество "Лаборатория Касперского" | Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя |
| US11436372B1 (en) * | 2020-10-23 | 2022-09-06 | NortonLifeLock Inc. | Systems and methods for protecting user privacy |
| CN113938756B (zh) * | 2021-10-25 | 2022-11-18 | 联想(北京)有限公司 | 一种显示界面共享处理方法及系统 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2346231A1 (en) * | 2000-05-08 | 2001-11-08 | Internet Number Corporation | Method and system for accessing information on a network using message aliasing functions having shadow callback functions |
| US9842097B2 (en) * | 2007-01-30 | 2017-12-12 | Oracle International Corporation | Browser extension for web form fill |
| US9906549B2 (en) * | 2007-09-06 | 2018-02-27 | Microsoft Technology Licensing, Llc | Proxy engine for custom handling of web content |
| US20090070663A1 (en) * | 2007-09-06 | 2009-03-12 | Microsoft Corporation | Proxy engine for custom handling of web content |
| US7975308B1 (en) * | 2007-09-28 | 2011-07-05 | Symantec Corporation | Method and apparatus to secure user confidential data from untrusted browser extensions |
| US8479286B2 (en) * | 2009-12-15 | 2013-07-02 | Mcafee, Inc. | Systems and methods for behavioral sandboxing |
| US8474039B2 (en) * | 2010-01-27 | 2013-06-25 | Mcafee, Inc. | System and method for proactive detection and repair of malware memory infection via a remote memory reputation system |
| US8667487B1 (en) * | 2010-05-18 | 2014-03-04 | Google Inc. | Web browser extensions |
| US8752208B2 (en) * | 2011-05-13 | 2014-06-10 | Imperva Inc. | Detecting web browser based attacks using browser digest compute tests launched from a remote source |
| US8286250B1 (en) * | 2011-11-16 | 2012-10-09 | Google Inc. | Browser extension control flow graph construction for determining sensitive paths |
| US20130239214A1 (en) * | 2012-03-06 | 2013-09-12 | Trusteer Ltd. | Method for detecting and removing malware |
| US10713356B2 (en) * | 2013-03-04 | 2020-07-14 | Crowdstrike, Inc. | Deception-based responses to security attacks |
| US20150082206A1 (en) * | 2013-09-19 | 2015-03-19 | Bin Lay Low | Methods and apparatus to detect pop-up/pop-under windows in a browser |
| US9443077B1 (en) | 2013-12-26 | 2016-09-13 | Google Inc. | Flagging binaries that drop malicious browser extensions and web applications |
| US20170286684A1 (en) * | 2014-05-30 | 2017-10-05 | Beestripe Llc | Method for Identifying and Removing Malicious Software |
| US9635041B1 (en) * | 2014-06-16 | 2017-04-25 | Amazon Technologies, Inc. | Distributed split browser content inspection and analysis |
| US9830453B1 (en) * | 2015-10-30 | 2017-11-28 | tCell.io, Inc. | Detection of code modification |
| RU2632130C2 (ru) * | 2015-10-30 | 2017-10-02 | Общество С Ограниченной Ответственностью "Яндекс" | Способ и система предоставления пользователю контента, способ получения пользователем контента |
| US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
| US20170353476A1 (en) * | 2016-06-06 | 2017-12-07 | Google Inc. | Disabling Malicious Browser Extensions |
-
2018
- 2018-02-06 RU RU2018104432A patent/RU2697950C2/ru active
- 2018-07-18 US US16/038,695 patent/US10943008B2/en active Active
- 2018-09-07 CN CN201811043064.4A patent/CN110119614B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| RU2018104432A3 (ru) | 2019-08-06 |
| US20190243970A1 (en) | 2019-08-08 |
| CN110119614A (zh) | 2019-08-13 |
| CN110119614B (zh) | 2023-06-27 |
| US10943008B2 (en) | 2021-03-09 |
| RU2697950C2 (ru) | 2019-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2018104432A (ru) | Система и способ выявления скрытого поведения расширения браузера | |
| RU2738344C1 (ru) | Способ и система поиска схожих вредоносных программ по результатам их динамического анализа | |
| US10579792B2 (en) | Extracting malicious instructions on a virtual machine | |
| US8978141B2 (en) | System and method for detecting malicious software using malware trigger scenarios | |
| Rathnayaka et al. | An efficient approach for advanced malware analysis using memory forensic technique | |
| US11775826B2 (en) | Artificial intelligence with cyber security | |
| US20150256552A1 (en) | Imalicious code detection apparatus and method | |
| Kumara et al. | Automated multi-level malware detection system based on reconstructed semantic view of executables using machine learning techniques at VMM | |
| Cabau et al. | Malware classification based on dynamic behavior | |
| US11575688B2 (en) | Method of malware characterization and prediction | |
| US11568052B2 (en) | Undetectable sandbox for malware | |
| EP3623983A1 (en) | Method and device for identifying security threats, storage medium, processor and terminal | |
| Sihag et al. | Opcode n-gram based malware classification in android | |
| Chandrasekaran et al. | Spycon: Emulating user activities to detect evasive spyware | |
| CN109684826B (zh) | 应用程序沙箱反逃逸方法和电子设备 | |
| RU2019143904A (ru) | Способ и система для выявления вредоносной активности предопределенного типа в локальной сети | |
| RU2020108165A (ru) | Способ и система для оценки влияния исследуемого ПО на доступность систем промышленной автоматизации | |
| EP2819055A1 (en) | System and method for detecting malicious software using malware trigger scenarios | |
| RU2020108171A (ru) | Испытательный стенд мониторинга, контроля и анализа для оценки влияния вредоносного ПО на функционирование определенной конфигурации системы промышленной автоматизации и способ, реализующийся на нем | |
| STAN | Automation of Log Analysis Using the Hunting ELK Stack | |
| US20240086533A1 (en) | Cyberattack Signature Generation Using Host Level Data Analytics | |
| EP4338084A1 (en) | A scenario-based cyber security system and method | |
| Pratomo et al. | Enhancing Enterprise Network Security: Comparing Machine-Level and Process-Level Analysis for Dynamic Malware Detection | |
| Monika et al. | Analysing mobile forensic datasets: A systematic review on availability, efficacy, and limitations | |
| Dodge et al. | Simulating windows-based cyber attacks using live virtual machine introspection |