RU2523114C2 - Method of analysing malicious activity on internet, detecting malicious network nodes and neighbouring intermediate nodes - Google Patents
Method of analysing malicious activity on internet, detecting malicious network nodes and neighbouring intermediate nodes Download PDFInfo
- Publication number
- RU2523114C2 RU2523114C2 RU2012113255/08A RU2012113255A RU2523114C2 RU 2523114 C2 RU2523114 C2 RU 2523114C2 RU 2012113255/08 A RU2012113255/08 A RU 2012113255/08A RU 2012113255 A RU2012113255 A RU 2012113255A RU 2523114 C2 RU2523114 C2 RU 2523114C2
- Authority
- RU
- Russia
- Prior art keywords
- malicious
- nodes
- network
- url
- malware
- Prior art date
Links
Images
Abstract
Description
Область техникиTechnical field
Настоящее изобретение относится к антивирусной области, а именно к способам выявления вредоносных узлов в сети и узлов-посредников, через которые происходит распространение подозрительных программ.The present invention relates to the antivirus field, and in particular to methods for detecting malicious nodes in the network and intermediary nodes through which the distribution of suspicious programs occurs.
Уровень техникиState of the art
Современная антивирусная индустрия сталкивается с постоянным противодействием злоумышленников на техническом уровне. Любые методы, способы и системы обнаружения вредоносных объектов анализируются злоумышленниками с целью затруднить обнаружение или блокировать системы защиты. Таким образом, постоянно изменяются пути распространения вредоносного программного обеспечения (ПО), используются новые уязвимости для закрепления в скомпрометированной системе.The modern antivirus industry is constantly confronted by cybercriminals at the technical level. Any methods, methods and systems for detecting malicious objects are analyzed by cybercriminals in order to make it difficult to detect or block protection systems. Thus, the distribution paths of malware (software) are constantly changing, and new vulnerabilities are used to secure them in a compromised system.
Существуют примеры неправомерного использования полезного ресурса сети, например популярного сайта средств массовой информации (СМИ) в целях распространения вредоносного ПО. Допустим, в руки злоумышленника попали данные учетной записи (логин, пароль) редактора сайта СМИ. Злоумышленник периодически вносит вредоносные изменения в материалы сайта. При этом посетитель сайта СМИ переадресовывается на другой ресурс, с которого происходит загрузка вредоносного ПО на компьютер посетителя и заражение компьютера. Спустя пару часов злоумышленник восстанавливает исходное состояние материалов сайта СМИ. После чего становится невозможным воспроизвести вектор атаки на посетителей сайта. Дополнительно ситуация осложняется тем, что антивирусные средства компьютеров посетителей за время нахождения вредоносной ссылки на сайте СМИ автоматически категоризируют сайт СМИ как фишинговый ресурс и добавляют соответствующий адрес в список запрещенных. Однако не предусмотрены автоматические средства исключения адреса сайта из списка запрещенных ресурсов. В силу чего вручную исключенный из запрещенного списка ресурс на следующий день вновь будет помещен в список как фишинговый ресурс из-за изменений материалов сайта злоумышленником.There are examples of unlawful use of a useful network resource, for example, a popular media site (mass media) in order to spread malware. Let’s say the account information (login, password) of the media site editor fell into the hands of an attacker. An attacker periodically makes malicious changes to the site materials. At the same time, the visitor to the media site is redirected to another resource from which the malware is downloaded to the visitor’s computer and the computer is infected. After a couple of hours, the attacker restores the original state of the materials of the media site. After which it becomes impossible to reproduce the attack vector on site visitors. In addition, the situation is aggravated by the fact that the antivirus tools of the computers of visitors during the location of the malicious link on the media site automatically categorize the media site as a phishing resource and add the corresponding address to the list of prohibited ones. However, there are no automatic means for excluding a site address from the list of prohibited resources. Therefore, the manually excluded resource from the prohibited list the next day will again be placed in the list as a phishing resource due to changes in the site’s materials by the attacker.
В опубликованной заявке US 20080244744 A1 описан способ сбора дополнительной информации об узлах вычислительной сети с последующим выявлением вредоносных узлов сети. Способ предусматривает проверку сетевого трафика от узлов сети к веб-сайту. Проверка трафика позволяет выявить вредоносный узел, подключенный к сети. Выполняют дополнительное исследование вредоносного узла сети путем сбора дополнительной информации, такой как данные аппаратного обеспечения вредоносного узла. Собранную информацию сохраняют в базу данных. Впоследствии блокируют другой узел сети, имеющий другой IP адрес и обращающийся к другому веб-сайту, если такой другой узел сети имеет те же параметры аппаратного обеспечения, как у вредоносного узла из базы данных.In the published application US 20080244744 A1 describes a method of collecting additional information about the nodes of the computer network, followed by the detection of malicious network nodes. The method involves checking network traffic from network nodes to a website. Scanning traffic reveals a malicious node connected to the network. Perform additional research on a malicious host by collecting additional information, such as hardware information from a malicious host. The collected information is stored in a database. Subsequently, they block another host that has a different IP address and accesses a different website if such another host has the same hardware settings as the malicious host from the database.
Предложенный вариант является эффективным инструментом в борьбе с бот-сетями, как утверждают авторы на страницах описания. Однако недостатком системы борьбы с бот-сетями является то, что следует противостоять попыткам построения бот-сети. Таким образом, является предпочтительным противостоять источнику заражения вредоносным ПО.The proposed option is an effective tool in the fight against botnets, according to the authors on the description pages. However, the disadvantage of the system for combating botnets is that they should resist attempts to build a botnet. Therefore, it is preferable to resist the source of malware infection.
Материалы заявки раскрывают способ, который не подвержен недостаткам известных ранее решений.The application materials disclose a method that is not subject to the disadvantages of previously known solutions.
Раскрытие изобретенияDisclosure of invention
Настоящее изобретение реализует способ выявления узлов-посредников в вычислительной сети, через которые осуществляется распространение вредоносного ПО. Технический результат, заключающийся в выявлении компьютерных систем, подконтрольных злоумышленнику, достигается за счет исследования связей между узлами сети, построения графа связи между узлами сети и автоматического анализа числа использований канала связи между узлами для передачи информации.The present invention implements a method for identifying intermediary nodes in a computer network through which malware is distributed. The technical result, which consists in identifying computer systems controlled by an attacker, is achieved by examining the connections between network nodes, constructing a communication graph between network nodes and automatically analyzing the number of uses of a communication channel between nodes to transmit information.
Компьютерные системы, подконтрольные злоумышленнику - система вычислительных сетей, компьютеров, подсистем, объектов и средств, подконтрольных злоумышленнику, обеспечивающих функционирование и развитие информационного пространства, контролируемого злоумышленником. В контексте изобретения это понятие включает в себя в первую очередь тот набор серверов и узлов, которые имеют сетевой интерфейс с сетевым адресом, участвуют в решении противозаконных задач и других противозаконных действиях, осуществляемых злоумышленником с помощью этих объектов и средств. Выявление инфраструктуры злоумышленника подразумевает определение адреса сетевого интерфейса объекта инфраструктуры злоумышленника. После чего указанный адрес, который используется для доступа в сеть и выполнения задач злоумышленника, блокируют для доступа, что обеспечивает невозможность распространения вредоносных программ.Computer systems controlled by an attacker - a system of computer networks, computers, subsystems, objects and tools controlled by an attacker, ensuring the functioning and development of the information space controlled by an attacker. In the context of the invention, this concept primarily includes the set of servers and nodes that have a network interface with a network address, participate in solving illegal tasks and other illegal actions carried out by an attacker using these objects and tools. Identification of the infrastructure of the attacker involves determining the address of the network interface of the object of the infrastructure of the attacker. After that, the specified address, which is used to access the network and perform the tasks of the attacker, is blocked for access, which makes it impossible to spread malware.
Для работы способа необходимо собрать исходные данные для анализа узлов сети. Объективность исследования достигается за счет использования различных источников информации, имеющих точку доступа в сеть через различных провайдеров в разных странах, физически или логически обособленных частях вычислительной сети. Поскольку информация о маршрутизации в сети является динамической, т.е. постоянно меняется, то нужно стремиться иметь источники информации во всех сетях, подключенных к Интернет. Такими источниками исходной информации для анализа могут выступать виртуальные машины, специализированные агенты на компьютерах пользователей (осуществляющих предварительную проверку узлов сети при запросе пользователя), межсетевые экраны (устройства защиты сетей от неправомерных действий, нежелательного трафика и пр.). Указанные средства представляют собой контролируемую среду исполнения и способны обнаруживать вредоносное ПО, имеют доступ к адресам отправителя и получателя сетевых пакетов, что позволяет собрать дополнительную информацию об источнике распространения нежелательного или вредоносного ПО, например записать маршрут следования трафика до вредоносного узла или выяснить в реестре доменов информацию о хозяине адреса узла сети. Контролируемая среда исполнения получает URL адрес для анализа, который заключается в запросе объекта информации по URL адресу посредством сетевого интерфейса с последующей загрузкой объекта информации с узла сети по URL адресу. Действия по загрузке объекта информации из сети записывают в журнал событий. Дополнительно исследуют URL адрес путем получения информации из сервисов, доступных в сети. Полученные ответы на запросы к сервисам сохраняют в таблицу результатов исследования URL адресов, заполняют таблицу результатов исследования URL адресов с использованием журнала событий. При необходимости повторяют анализ объекта информации по URL адресу и исследование того же URL адреса или следующего в очереди URL адреса.For the method to work, it is necessary to collect the initial data for the analysis of network nodes. The objectivity of the study is achieved through the use of various sources of information having an access point to the network through various providers in different countries, physically or logically isolated parts of the computer network. Since the routing information in the network is dynamic, i.e. constantly changing, you need to strive to have sources of information in all networks connected to the Internet. Such sources of initial information for analysis can be virtual machines, specialized agents on users' computers (performing preliminary verification of network nodes at the user's request), firewalls (devices protecting networks from illegal actions, unwanted traffic, etc.). These tools represent a controlled execution environment and are able to detect malware, have access to the addresses of the sender and recipient of network packets, which allows you to collect additional information about the source of the distribution of unwanted or malicious software, for example, record the route of traffic to a malicious node or find out information in the domain registry host address of the host. The controlled execution environment receives a URL for analysis, which consists in requesting an information object by URL through a network interface, followed by downloading an information object from a network node at a URL address. Actions to load an information object from the network are recorded in the event log. In addition, they examine the URL by obtaining information from services available on the network. The received answers to service requests are stored in the table of URL address research results, and the URL address research results table is filled in using the event log. If necessary, repeat the analysis of the information object by the URL and the study of the same URL or the next in the queue URL.
Упомянутые данные собирают для анализа в центральном сервере в виде таблицы, содержащей, по крайней мере, доменное имя узла; IP адреса, соответствующие доменному имени; e-mail адреса, на которые зарегистрирован домен согласно реестру доменов; маршрут следования трафика. Если в контролируемой среде после исследования сайта по указанному URL не обнаружено вредоносных файлов и изменений системного реестра, то сайт считается безопасным. Иначе сайт по указанному URL распространяет вредоносное ПО и является вредоносным узлом сети. Строят граф распространения вредоносных данных от вредоносного узла к контролируемой среде исполнения. Графы анализируют с помощью эвристических алгоритмов и выявляют используемые каналы связи между узлами сети. Обнаружение узла-посредника состоит в автоматической блокировке тех из узлов, которые связаны с вредоносными узлами сети, т.е. являются узлами-посредниками. При необходимости рекурсивно повторяют обнаружение следующего в цепочке узла-посредника, так, если бы обнаруженный на предыдущей итерации узел-посредник был вредоносным и распространял нежелательное вредоносное ПО. Если со временем заблокированный узел-посредник перестает использоваться для распространения нежелательного или вредоносного ПО, то автоматически снимают блокировку узла, более не связанного с вредоносным узлом.Mentioned data is collected for analysis in a central server in the form of a table containing at least the domain name of the node; IP addresses corresponding to the domain name; e-mail addresses to which the domain is registered according to the domain registry; route traffic. If, after examining the site at the specified URL, in a controlled environment, no malicious files and registry changes were found, then the site is considered safe. Otherwise, the site distributes malware at the specified URL and is a malicious network node. Build a graph of the spread of malicious data from the malicious node to a controlled execution environment. The graphs are analyzed using heuristic algorithms and the used communication channels between network nodes are identified. Detection of an intermediary node consists in automatically blocking those of the nodes that are associated with malicious network nodes, i.e. are intermediary nodes. If necessary, the discovery of the next intermediary node in the chain is repeated recursively, so if the intermediary node detected at the previous iteration were malicious and distributed unwanted malware. If over time, a blocked intermediary node is no longer used to distribute unwanted or malicious software, then the node that is no longer associated with the malicious node is automatically unblocked.
Краткое описание чертежейBrief Description of the Drawings
Фиг.1 отображает примерную компьютерную систему пользователя.Figure 1 depicts an exemplary user computer system.
Фиг.2 отображает блок-диаграмму вычислительной системы общего назначения, которая реализует основные функциональные модули в соответствии с предпочтительным вариантом изобретения.FIG. 2 is a block diagram of a general purpose computing system that implements basic functional modules in accordance with a preferred embodiment of the invention.
Фиг.3 отображает пример построения маршрутов следования данных из двух разных точек входа в сеть Интернет (Фиг.3а - Австралия: telstra.net; Фиг.3б - Италия: sysnet.it) к сайту www.kaspersky.com.Figure 3 shows an example of constructing data routes from two different Internet access points (Figure 3a - Australia: telstra.net; Figure 3b - Italy: sysnet.it) to the site www.kaspersky.com.
Фиг.4 отображает пример объединения маршрутов в графы для анализа количества выявленных фактов распространения вредоносного ПО.Figure 4 shows an example of combining routes into graphs to analyze the number of detected facts of malware distribution.
Фиг.5 отображает последовательность выполнения способа при проверке принадлежности узла сети злоумышленнику по регистрационной информации, т.е. E-mail, который используется злоумышленником для управления доменной записью.Figure 5 shows the sequence of the method when checking the ownership of a network node by an attacker using registration information, i.e. Email used by an attacker to manage a domain record.
Фиг.6 отображает блок-диаграмму реализации модуля анализа, который приведен в общем виде на Фиг.2.FIG. 6 is a block diagram of an implementation of an analysis module, which is summarized in FIG. 2.
Фиг.7 отображает пример графа, построенного из маршрутов, где дуги представляют каналы связи, имеющие вес в соответствии с количеством выявленных фактов распространения вредоносного ПО.Fig. 7 shows an example of a graph constructed from routes where arcs represent communication channels having weight in accordance with the number of detected malware distribution facts.
Фиг.8 отображает примерный граф обследования переходов по ссылкам и автоматических переадресаций с сайта www.kaspersky.com.Fig. 8 shows an exemplary graph of a survey of clickthroughs and automatic redirects from www.kaspersky.com.
Фиг.9 отображает рекурсивный алгоритм блокирования узлов-посредников.FIG. 9 depicts a recursive blocking algorithm for proxy nodes.
Осуществление изобретенияThe implementation of the invention
Система реализована на основе компьютеров клиентов и системы серверов, объединенных между собой вычислительной сетью. При этом система серверов обеспечивает функционирование облака.The system is implemented on the basis of client computers and a server system, interconnected by a computer network. At the same time, the server system ensures the functioning of the cloud.
Предпочтительным вариантом реализации изобретения является организация контролируемых средств исполнения программ. Контролируемой средой исполнения является виртуальная машина с установленной операционной системой (ОС), песочница (sandbox), эмулятор или любая другая среда исполнения, собирающая информацию о действиях, которые выполнены приложением в компьютере.The preferred implementation of the invention is the organization of controlled means of program execution. A controlled execution environment is a virtual machine with an installed operating system (OS), a sandbox (sandbox), an emulator or any other execution environment that collects information about the actions performed by the application on a computer.
Рассмотрим пример работы системы с контролируемой средой исполнения в виде виртуальных машин, при этом в ОС и программном обеспечении (ПО) виртуальной машины не установлены критические обновления безопасности. В одном из вариантов реализации на виртуальные машины устанавливают те из критических обновлений, о которых известно, что они усложняют проникновение в систему, но оставляют возможность проникновения в компьютерную систему аналогичным или другим векторам атаки. В одном из вариантов реализации на виртуальные машины устанавливают все доступные обновления безопасности. На вход виртуальной машины передают список URL-адресов для исследования. Список URL-адресов для исследования получают из наиболее часто посещаемых страниц сети Интернет согласно статистике любой работающей системы поиска в сети. Альтернативным вариантом получения списков URL-адресов для исследования является получение от основных регистраторов (reg.ru, verisigninc.com и т.п.) дифференциальных обновлений изменений в списках зарегистрированных доменных адресов или получение данных о подозрительных посещаемых страницах от компонента антивирусной защиты «Проверка ссылок» (Web Tool Bar) антивирусного продукта. При помощи веб-браузера в виртуальной машине загружают последовательно все сайты, которые находятся в списке URL-адресов для исследования. Дополнительно предусмотрена возможность рекурсивной загрузки ссылок, указанных на загруженной веб-странице по заданному URL-адресу с заданной глубиной вложенности, например до 5 переходов по ссылкам. Все выполненные действия по загрузке данных из сети записывают в журнал событий для каждой отдельной виртуальной машины. В таком режиме виртуальная машина работает некоторое время, 5-10 минут, после чего делают снимок состояния виртуального системного диска, системного реестра и оперативной памяти. Виртуальную машину приводят в исходное состояние и перезапускают с поданным на вход следующим URL-адресом ресурса в сети для исследования. Выполненные снимки состояния виртуального системного диска, системного реестра и оперативной памяти сравнивают с исходным их состоянием. Если исследуемый сайт по указанному URL содержит вредоносное ПО, то на виртуальной машине без установленных критических обновлений безопасности можно обнаружить новые исполняемые файлы, программные модули или изменение в ветках системного реестра. Сайт считается безопасным, если в виртуальной машине после исследования сайта по указанному URL не обнаружено вредоносных файлов и изменений системного реестра.Let's look at an example of how the system works with a controlled execution environment in the form of virtual machines, while critical security updates are not installed in the OS and software (software) of the virtual machine. In one implementation variant, those critical updates are installed on virtual machines that are known to complicate penetration into the system, but leave the possibility of penetration into the computer system to similar or other attack vectors. In one embodiment, all available security updates are installed on virtual machines. A list of URLs for research is sent to the input of the virtual machine. The list of research URLs is obtained from the most frequently visited Internet pages according to the statistics of any working web search system. An alternative way to get lists of URLs for research is to receive from the main registrars (reg.ru, verisigninc.com, etc.) differential updates to the changes in the lists of registered domain addresses or to receive data about suspicious visited pages from the anti-virus protection component »(Web Tool Bar) antivirus product. Using a web browser in a virtual machine, all the sites that are in the list of URLs for research are downloaded sequentially. In addition, it is possible to recursively download links specified on a loaded web page at a given URL with a given nesting depth, for example, up to 5 click links. All actions taken to download data from the network are recorded in the event log for each individual virtual machine. In this mode, the virtual machine works for some time, 5-10 minutes, after which they take a snapshot of the status of the virtual system disk, system registry and RAM. The virtual machine is restored to its initial state and restarted with the following resource URL on the network submitted for input for research. The taken snapshots of the state of the virtual system disk, the system registry, and RAM are compared with their initial state. If the studied site at the specified URL contains malware, then on the virtual machine without the critical security updates installed, you can detect new executable files, program modules, or a change in the registry branches. A site is considered safe if, after examining the site at the specified URL, no malicious files or system registry changes were found in the virtual machine.
По итогам исследования списка URL-адресов составляется таблица результатов исследования URL, содержащая кроме исследованных URL адресов так же и URL-адреса из ссылок в материалах исходного сайта (см. таблицу №1). Каждая запись содержит, по крайней мере: доменное имя узла в сети; указание о содержании вредоносного ПО (т.е. выявленный факт появления в виртуальной машине нежелательных файлов или изменений в системном реестре); IP-адреса, соответствующие указанному доменному имени, полученные с использованием поиска на сервере имен; информация об e-mail владельца домена согласно регистрационной записи в реестре доменов; и IP-адреса промежуточных узлов по маршруту следования данных в сети к сайту по указанному URL. Указанная информация собирается либо непосредственно виртуальной машиной, либо отдельными исследовательскими модулями с использованием общедоступных сервисов. Доступ к информации сервера имен осуществляется с использованием утилиты nslookup (англ. name server lookup поиск на сервере имен - утилита, предоставляющая пользователю интерфейс командной строки для обращения к системе DNS). E-mail владельца домена получают путем использования сервиса WHOIS - сетевого протокола прикладного уровня, базирующегося на протоколе TCP (порт 43), который применяют для получения регистрационных данных о владельцах доменных имен, IP-адресов и автономных систем. IP-адреса промежуточных узлов по маршруту следования данных в сети к сайту по указанному URL получают путем использования утилит tracert или traceroute.Based on the results of researching the list of URLs, a table of results of researching the URL is compiled, which contains, in addition to the studied URLs, URLs from the links in the materials of the source site (see table No. 1). Each entry contains at least: the domain name of a node on the network; an indication of the content of the malware (i.e., the detected fact that unwanted files or changes in the system registry appear in the virtual machine); IP addresses corresponding to the specified domain name obtained using the search on the name server; information about the e-mail of the domain owner according to the registration record in the domain registry; and IP addresses of intermediate nodes along the route of data on the network to the site at the specified URL. The specified information is collected either directly by the virtual machine, or by individual research modules using public services. Name server information is accessed using the nslookup utility (name server lookup search on the name server is a utility that provides the user with a command line interface for accessing the DNS system). The domain owner’s e-mail is obtained by using the WHOIS service, an application-level network protocol based on the TCP protocol (port 43), which is used to obtain registration information about the owners of domain names, IP addresses and autonomous systems. The IP addresses of intermediate nodes along the route of data on the network to the site at the specified URL are obtained using the tracert or traceroute utilities.
владельцаEmail address
the owner
tracerouteRoute
traceroute
Traceroute - это служебная компьютерная утилита, предназначенная для определения маршрутов следования данных в сетях TCP/IP. Traceroute основана на протоколе ICMP. Программа traceroute выполняет отправку данных указанному узлу сети, при этом отображая сведения обо всех промежуточных маршрутизаторах, через которые прошли данные на пути к целевому узлу. В случае проблем при доставке данных до какого-либо узла программа позволяет определить, на каком именно участке сети возникли неполадки (см. Таблицы №2, 3, Фиг.1а, б). Таблица №2 отражает результат определения маршрута из Австралии (сайт Telstra.net) до сайта www.kaspersky.com[91.103.64.6].Traceroute is a utility computer utility designed to determine data paths on TCP / IP networks. Traceroute is based on the ICMP protocol. The traceroute program sends data to the specified network node, while displaying information about all intermediate routers through which data passed on the way to the target node. In the event of problems in delivering data to any node, the program allows you to determine which particular section of the network there are problems (see Tables No. 2, 3, Fig. 1a, b). Table 2 shows the result of determining the route from Australia (Telstra.net website) to www.kaspersky.com [91.103.64.6].
Согласно Таблице №3 все промежуточные узлы от сайта sysnet.it до сайта www.kaspersky.com успешно ответили на запрос. На 16 итерации получен ответ от узла с IP-адресом 38.117.98.208, который обеспечивает работу сайта для европейского направления.According to Table 3, all intermediate nodes from sysnet.it to www.kaspersky.com successfully answered the request. At the 16th iteration, a response was received from the host with the IP address 38.117.98.208, which ensures the operation of the site for the European direction.
На Фиг.2 отображена блок-схема функциональных модулей системы анализа сети 200, которая защищает распространение вредоносного контента через вычислительную сеть. Система сбора информации использует контролируемую среду исполнения 202 программ для сбора информации о топологии сети и об источниках распространения вредоносного ПО.Figure 2 shows a block diagram of the functional modules of the network analysis system 200, which protects the distribution of malicious content through a computer network. The information collection system uses a controlled execution environment of 202 programs to collect information about the network topology and the sources of malware distribution.
Среда исполнения 202 - это устройство, состоящее из компонент или ряда компонент, реализованных в реальных устройствах. Примером таких устройств могут быть интегральные схемы специального назначения или программируемые логические интегральные схемы в комбинации с программным обеспечением. Таким образом, каждый модуль может быть реализован в нескольких вариантах, например с использованием различных архитектур процессоров. Приведенные примеры реализации не являются ограничивающими, а задуманный для исполнения системой функционал может быть исполнен на различной элементной базе.
Следует понимать, что контролируемые среды исполнения 202 установлены в различных вычислительных системах и возможно установить в различные вычислительные сети и подсети различных географических местоположений. Каждая контролируемая среда исполнения 202 способна работать автономно. При этом контролируемая среда исполнения 202 получает список 206 URL-адресов для исследования. Список 206 URL-адресов для исследования состоит из адресов, подозреваемых в распространении вредоносного ПО.It should be understood that the controlled
В контролируемой среде 202 модуль загрузки 204 последовательно загружает или просматривает данные с хостов, которые перечислены в списке 206 URL-адресов для исследования. Дополнительно предусмотрена возможность рекурсивной загрузки всех ссылок, указанных на загруженной веб-странице по заданному URL-адресу с заданной глубиной вложенности, например до 5 переходов по ссылкам. Все выполненные действия по загрузке данных из сети записывают в таблицу 212 результатов исследования для каждой отдельной контролируемой среды исполнения.In a controlled
В одном из вариантов реализации модуль настройки безопасности 218 использует данные антифишинговой базы данных 216 для настройки системы защиты 220. Примером реализации защитных мер могут служить такие системы защиты 220, как: фильтры пути к объектам сети (которые блокируют доступ к ресурсам по заданной в антифишинговой базе данных маске) и фильтры адресов ресурсов сети (которые блокируют доступ к узлу сети при совпадении формализованного адреса ресурса сети с записью в антифишинговой базе данных 216).In one embodiment, the security configuration module 218 uses the data of the anti-phishing database 216 to configure the security system 220. An example of the implementation of protective measures is security systems 220 such as: filters for the path to network objects (which block access to resources specified in the anti-phishing database data mask) and address filters of network resources (which block access to the network node when the formalized address of the network resource matches the entry in the anti-phishing database 216).
В альтернативном варианте формирования таблицы результатов исследования URL в качестве контролируемой среды исполнения используются специализированные агенты на компьютерах пользователей, осуществляющие предварительную проверку узлов сети при запросе пользователя. При этом в таблицу результатов исследования URL, которая хранится на центральном сервере, отправляются данные о вредоносных страницах, доменное имя и IP-адрес узла сети, содержащий вредоносное ПО. Недостающая информация, необходимая для заполнения таблицы 212 результатов исследования URL, собирается центральным сервером или облаком 200 аналогично тому, как было описано выше.In an alternative embodiment of generating a table of URL research results, specialized agents on user computers are used as a controlled execution environment, which carry out preliminary checks of network nodes at the user's request. At the same time, data on malicious pages, domain name and host IP address containing malware are sent to the URL research results table, which is stored on the central server. The missing information needed to populate the URL exploration result table 212 is collected by a central server or cloud 200 in the same manner as described above.
Информация о маршрутах следования трафика от одного из узлов сети к разным пользователям объединяется, и формируется граф со взвешенными дугами. Вес дуги означает количество раз, которое данный канал связи между узлами сети был использован для передачи вредоносного ПО или для доступа к известному вредоносному ресурсу (см. Фиг.4).Information about traffic routes from one of the network nodes to different users is combined, and a graph with weighted arcs is formed. Arc weight means the number of times that a given communication channel between network nodes was used to transfer malware or to access a known malicious resource (see Figure 4).
Возможен вариант, в котором данные об обнаруженных вредоносных страницах собирают с помощью межсетевого экрана. При этом в таблицу результатов исследования URL, которая хранится на центральном сервере, отправляются данные о вредоносных страницах, доменное имя и IP-адрес узла сети, содержащий вредоносное ПО. Недостающая информация, необходимая для заполнения таблицы 212 результатов исследования URL, собирается центральным сервером или облаком 200 аналогично тому, как было описано выше. При необходимости системный администратор сети может увеличить степень защиты, если включит на межсетевом экране режим исследования узла 210, т.е. сбора всей информации, в том числе использование сервисов WHOIS, nslookup, traceroute. Собранная таким образом информация для таблицы результатов исследования URL будет в большей степени соответствовать действительной архитектуре сети.A variant is possible in which data on detected malicious pages is collected using a firewall. At the same time, data on malicious pages, domain name and host IP address containing malware are sent to the URL research results table, which is stored on the central server. The missing information needed to populate the URL exploration result table 212 is collected by a central server or cloud 200 in the same manner as described above. If necessary, the system administrator of the network can increase the degree of protection if he turns on the firewall mode of the
Ниже приведен примерный вид регистрационной информации владельца доменного имени www.kaspersky.com согласно базе данных WHOISBelow is an example form of registration information of the domain name owner www.kaspersky.com according to the WHOIS database
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=91,103.64.6&do_search=Searchhttp://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=91,103.64.6&do_search=Search
В приведенном примере отражена регистрационная информация владельца доменного имени www.kaspersky.com. В соответствующем поле указан e-mail: ripencc@kaspersky.com. Изначально целью появления системы WHOIS на свет было дать возможность системным администраторам искать контактную информацию других администраторов IP-адресов или доменных имен. Базы данных, имеющие WHOIS-интерфейс, бывают централизованными и распределенными.The example shows the registration information of the owner of the domain name www.kaspersky.com. The corresponding field contains the e-mail: ripencc@kaspersky.com. Initially, the goal of the advent of the WHOIS system was to enable system administrators to search for contact information of other administrators of IP addresses or domain names. Databases with a WHOIS interface are centralized and distributed.
Полученная таблица 212 результатов исследования URL используется модулем анализа 214 для формирования графов связи узлов в сети. Схема модуля анализа приведена на Фиг.6. На следующем этапе по информации из таблицы 212 результатов исследования URL модуль 602 построения графов строит граф по одному из следующих принципов определения силы связи между узлами.The resulting table 212 of the results of the study URL is used by the analysis module 214 to generate graphs of communication nodes in the network. The circuit of the analysis module is shown in Fig.6. At the next stage, according to the information from the URL research table 212, the graph module 602 builds a graph according to one of the following principles for determining the strength of communication between nodes.
Первый вариант построения графа отражает действительную структуру информационных каналов между узлами сети и строится в соответствии с трассами маршрутов следования данных в сети. В узлах графа помещают IP-адреса промежуточных узлов по маршруту следования данных в сети к сайту по указанному URL, полученные путем использования утилит tracert или traceroute. Дуги между узлами обозначают наличие канала связи между соответствующими узлами, а вес дуги - частоту использования этого канала связи для передачи информации. Частота использования канала связи отражает, насколько часто данный канал связи используется для доступа к вредоносному сайту. Вес дуги может быть представлен относительной величиной в процентном отношении, или абсолютным значением количества использований этого канала связи для доступа к вредоносному сайту. Пример такого графа приведен на Фиг.7 (вес дуги соответствует количеству зафиксированных фактов использования данного канала связи для доступа к вредоносному узлу Фиг.7).The first version of the graph construction reflects the actual structure of information channels between network nodes and is constructed in accordance with the routes of data routes in the network. In the nodes of the graph, IP addresses of intermediate nodes are placed along the route of data on the network to the site at the specified URL, obtained by using the tracert or traceroute utilities. Arcs between nodes indicate the presence of a communication channel between the respective nodes, and the weight of the arc indicates the frequency of use of this communication channel to transmit information. The frequency of use of the communication channel reflects how often this communication channel is used to access a malicious site. The weight of the arc can be represented by a relative value in percentage terms, or by the absolute value of the number of uses of this communication channel to access a malicious site. An example of such a graph is shown in Fig. 7 (the weight of the arc corresponds to the number of recorded facts of using this communication channel to access the malicious node of Fig. 7).
Согласно Фиг.6 модуль 604 оценки связи узлов анализирует связь между узлами, при этом связь отражает степень использования канала связи между узлами для передачи вредоносного ПО. Модуль 602 построения графов аккумулирует информацию об актуальных каналах связи между узлами сети Интернет. Если по данным истории 606 обращения к узлу-посреднику оказывается, что доступ к известному вредоносному сайту регулярно осуществляется через один и тот же узел-посредник, то такой узел-посредник блокируется. При блокировке адрес узла-посредника помещается в антифишинговую базу данных 608, следовательно, все пользователи решений компьютерной защиты получают информацию о таком узле. Весь трафик, отправляемый по адресам узлов из антифишинговой базы данных, блокируется всеми работающими подсистемами защиты: системой предотвращения вторжений, фильтром пути к объектам сети (блокирует доступ к ресурсам по заданной в антифишинговой базе данных маске) и фильтром адресов ресурсов сети (блокирует доступ к узлу сети при совпадении формализованного адреса ресурса сети с записью в антифишинговой базе данных 216).6, a node communication evaluation module 604 analyzes the connection between the nodes, and the communication reflects the degree of use of the communication channel between the nodes for transmitting malware. The graphing module 602 accumulates information on the actual communication channels between the nodes of the Internet. If, according to the history of 606 access to the intermediary node, it turns out that access to a known malicious site is regularly carried out through the same intermediary node, then such an intermediary node is blocked. When blocking, the address of the intermediary node is placed in the anti-phishing database 608, therefore, all users of computer protection solutions receive information about such a node. All traffic sent to host addresses from the anti-phishing database is blocked by all working protection subsystems: an intrusion prevention system, a filter for the path to network objects (blocks access to resources by the mask specified in the anti-phishing database) and a filter for network resource addresses (blocks access to the host network when the formalized address of the network resource matches the entry in the anti-phishing database 216).
На этом этапе построение графа не останавливается, статистика по интенсивности использования узлов-посредников продолжает собираться. Если по итогам собираемой статистики видно, что уровень интенсивности использования канала связи для распространения вредоносного ПО опускается ниже заданного порога, или перестал представлять угрозу сайт, то снимается блокировка с узла-посредника, через который распространялось вредоносное ПО. Статистика, которая учитывается для оценки интенсивности использования канала связи, выбирается по принципу скользящего окна, ограничивая временной промежуток, когда канал связи был использован для распространения вредоносного ПО или доступа к вредоносному узлу.At this stage, graph construction does not stop; statistics on the intensity of use of intermediary nodes continues to be collected. If according to the results of the collected statistics it is clear that the level of intensity of the use of the communication channel for the distribution of malware falls below a predetermined threshold, or the site ceases to pose a threat, then the blocking is removed from the intermediary node through which the malware was distributed. The statistics that are taken into account to assess the intensity of use of the communication channel are selected according to the principle of a sliding window, limiting the time interval when the communication channel was used to distribute malware or access a malicious site.
В альтернативном варианте реализации предусмотрена возможность оценки всей истории статистики наблюдений за каналом связи с применением относительного критерия оценки интенсивности (количество передач вредоносного ПО или обращений к вредоносному узлу, поделенное на общее количество всех попыток установки соединения через данный канал связи). Таким образом, удаляется запись в антифишинговой базе данных, соответствующая узлу-посреднику, и подсистемы безопасности открывают доступ к соответствующему узлу сети.In an alternative embodiment, it is possible to evaluate the entire history of statistics on observations of a communication channel using a relative criterion for assessing intensity (the number of malware transfers or accesses to a malicious node, divided by the total number of all attempts to establish a connection through this communication channel). Thus, the entry in the anti-phishing database corresponding to the intermediary node is deleted, and the security subsystems open access to the corresponding network node.
Аналогичным образом выполняется разблокировка нескольких промежуточных узлов-посредников, если интенсивность распространения вредоносного ПО через заблокированные узлы-посредники опустилась ниже заданного порога или перестал представлять угрозу сайт, с которого распространялось вредоносное ПО.Similarly, several intermediate intermediary nodes are unblocked if the intensity of malware distribution through blocked intermediary nodes has dropped below a predetermined threshold or the website from which the malware was distributed is no longer a threat.
Следующий принцип формирования графов связи между узлами состоит в использовании ссылок и перенаправлений (redirection), которые встречаются на веб-сайтах. Нередко случается так, что загруженная страница сайта в Интернет содержит множество ссылок. Часть этих ссылок ведет на тот же ресурс того же сервера. Другая часть ссылок может вести на партнерские сайты или сайты других организаций, например, через баннерообменную сеть. Ранее упоминалось, что при исследовании списка URL адресов посредством виртуальных машин глубина вложенности переходов по ссылкам от начального URL-адреса может быть ограничена, например не превышает 5 (см. Фиг.8).The next principle for creating graphs of communication between nodes is to use links and redirections that are found on websites. It often happens that a loaded page of a site on the Internet contains many links. Some of these links lead to the same resource on the same server. Another part of the links may lead to partner sites or sites of other organizations, for example, through a banner exchange network. It was previously mentioned that when examining a list of URL addresses using virtual machines, the nesting depth of clicks from links from the starting URL can be limited, for example, not exceed 5 (see Fig. 8).
Согласно Фиг.8 вокруг каждого сайта из списка URL адресов формируется граф переходов по ссылкам и автоматическими переадресациями между узлами. Узел графа - это сайт, при этом переход от одного сайта к другому отражен на графе дугой между соответствующими этим сайтам узлами графа. Как видно на Фиг.8, количество узлов для исследования на современном сайте может расти достаточно быстро. Еще больше перекрестных ссылок на другие сайты можно наблюдать в случае, если ресурс участвует в баннерообменной сети.According to Fig. 8, around each site from the list of URL addresses, a graph of clicks on links and automatic redirects between nodes is formed. A graph node is a site, and the transition from one site to another is reflected on the graph by an arc between the nodes of the graph corresponding to these sites. As can be seen in Fig. 8, the number of nodes for research on a modern site can grow quite quickly. Even more cross-references to other sites can be observed if the resource participates in the banner exchange network.
Если обход какого-то количества из списка URL-адресов привел к заражению вредоносным ПО с одного и того же вредоносного веб-сайта на одной и более виртуальных машинах, то исследуют совместно все те графы переходов по ссылкам и автоматические переадресации, в которых присутствует вредоносный узел. Один граф накладывают на другой путем применения привил объединения графов соответствующего раздела теории графов дискретной математики и выявляют совпадения узлов и связей (см. Фиг.4). Если на вредоносный сайт регулярно происходит переадресация с одного и того же узла-посредника, то такой узел посредник блокируют путем добавления адреса узла-посредника в антифишинговую базу данных 608. Дополнительным необходимым условием блокировки узла является детальное исследование узла-посредника, например минимум десятикратное его посещение и зафиксированная в 90% случаев попытка заражения или успешное заражение вредоносным ПО виртуальной машины. Далее узел-посредник блокируется всеми работающими подсистемами защиты у пользователей антивирусных продуктов: системой предотвращения вторжений, фильтром пути к объектам сети и фильтром адресов ресурсов сети.If crawling a certain amount from the list of URLs has led to malware infection from the same malicious website on one or more virtual machines, then all the link graphs and automatic redirects that contain the malicious node are examined together . One graph is superimposed on another by applying grafted union of graphs of the corresponding section of the theory of graphs of discrete mathematics and revealing the coincidence of nodes and relationships (see Figure 4). If redirection from the same intermediary site is regularly redirected to the malicious website, then the intermediary node is blocked by adding the address of the intermediary node to the anti-phishing database 608. An additional necessary condition for blocking the node is a detailed study of the intermediary node, for example, visiting it for at least ten times and in 90% of cases, an attempted infection or successful infection with malware from a virtual machine. Further, the intermediary node is blocked by all working protection subsystems for users of anti-virus products: an intrusion prevention system, a filter for the path to network objects and a filter for addresses of network resources.
На этом этапе построение графа не останавливается, статистика по интенсивности использования узлов-посредников продолжает собирать модуль 604 оценки связи узлов. Если по итогам собираемой статистики видно, что использование канала связи для распространения вредоносного ПО опускается ниже заданного порога, или перестал представлять угрозу сайт, то снимают блокировку с узла-посредника, через который распространялось вредоносное ПО. Таким образом, удаляют запись в антифишинговой базе данных 608, соответствующую узлу-посреднику, а подсистемы безопасности открывают доступ к соответствующему узлу сети.At this stage, the graph construction does not stop, statistics on the intensity of use of intermediary nodes continues to collect the module 604 evaluation of the connection nodes. If, based on the results of the statistics collected, it is clear that the use of the communication channel for the distribution of malware falls below a predetermined threshold, or the site ceases to pose a threat, then the lock is removed from the intermediary node through which the malware was distributed. Thus, the entry in the anti-phishing database 608 corresponding to the intermediary node is deleted, and the security subsystems open access to the corresponding network node.
В дополнение следует отметить, что узлы-посредники могут выстраиваться в цепочку последовательно, передавая вредоносное ПО один другому. В таком случае сначала будет заблокирован узел-посредник, ближайший к вредоносному узлу (см. Фиг.9, позиции 901, 903). Далее будет блокирован следующий узел-посредник (см. Фиг.9, позиция 905) при условии, что следующий узел-посредник также регулярно применяется для доступа к уже заблокированному узлу-посреднику (см. Фиг.9, позиция 907). Таким образом, рекурсивно блокируются все промежуточные узлы-посредники, через которые интенсивно распространяется вредоносное ПО (см. Фиг.9).In addition, it should be noted that intermediary nodes can be arranged in a chain sequentially, transferring malware one to another. In this case, the intermediary node closest to the malicious node will be blocked first (see Fig. 9, positions 901, 903). Next, the next intermediary node will be blocked (see Fig. 9, position 905), provided that the next intermediary node is also regularly used to access an already blocked intermediary node (see Fig. 9, position 907). Thus, all intermediate intermediary nodes are blocked recursively, through which malware is intensively distributed (see Figure 9).
Блокировка всех адресов в антифишинговой базе данных выполняется с помощью фильтра пути. Фильтр пути проверяет адреса узлов, к которым отправляется запрос через сеть или от которых пришел из сети ответ, т.е. сравнивает адрес узла с данными в антифишинговой базе данных. При совпадении адресов блокируется информационный обмен с каждым из адресов, указанных в антифишинговой базе данных.All addresses in the anti-phishing database are blocked using the path filter. The path filter checks the addresses of the nodes to which the request is sent via the network or from which the response came from the network, i.e. compares the host address with the data in the anti-phishing database. If the addresses match, the information exchange with each of the addresses specified in the anti-phishing database is blocked.
Одним из вариантов добавления адресов узлов в антифишинговую базу данных с последующей блокировкой доступа к узлу фильтром пути является анализ регистрационной информации обо всех узлах (см. Фиг.5, позиция 501). Регистрационная информация, которая получена с использованием сервиса WHOIS и сохранена в таблице результатов исследования URL, содержит указание на e-mail адрес владельца домена (см. Фиг.5, позиция 503). Поскольку e-mail адрес применяется владельцем для переписки с провайдером и управления узлом в сети или комплексом узлов в сети, то такой e-mail адрес может служить признаком злоумышленника и может быть использован для выявления подконтрольных злоумышленнику доменов. Целесообразно на начальном этапе исследования после составления графа переходов по ссылкам и автоматических переадресаций выполнить проверку e-mail адреса владельца на наличие в антифишинговой базе данных (см. Фиг.5, позиция 505) и в случае совпадения e-mail адресов добавить в антифишинговую БД адрес узла сети, который также принадлежит злоумышленнику (см. Фиг.5, позиция 507).One of the options for adding host addresses to the anti-phishing database with subsequent blocking of access to the host by the path filter is the analysis of registration information about all hosts (see Figure 5, position 501). Registration information that was obtained using the WHOIS service and stored in the URL research results table contains an e-mail address of the domain owner (see Figure 5, position 503). Since the e-mail address is used by the owner to correspond with the provider and manage a node in the network or a complex of nodes in the network, such an e-mail address can serve as a sign of an attacker and can be used to identify domains controlled by an attacker. It is advisable at the initial stage of the study after compiling a graph of referrals and automatic redirects to check the owner’s e-mail address for presence in the anti-phishing database (see Figure 5, position 505) and, if the e-mail addresses match, add the address to the anti-phishing database host, which also belongs to the attacker (see Figure 5, position 507).
Фиг.1 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.Figure 1 represents an example of a general purpose computer system, a personal computer or server 20 comprising a
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn contains a
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который, в свою очередь, подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47 персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.Computer 20 has a
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.1. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or more
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the
Настоящее описание излагает основной изобретательский замысел автора, который не может быть ограничен теми аппаратными устройствами, которые упоминались ранее. Следует отметить, что аппаратные устройства прежде всего предназначены для решения узкой задачи. С течением времени и с развитием технического прогресса такая задача усложняется или эволюционирует. Появляются новые средства, которые способны выполнить новые требования. В этом смысле следует рассматривать данные аппаратные устройства с точки зрения класса решаемых ими технических задач, а не чисто технической реализации на некой элементной базе.The present description sets forth the main inventive concept of the author, which cannot be limited to those hardware devices that were mentioned earlier. It should be noted that hardware devices are primarily designed to solve a narrow problem. Over time and with the development of technological progress, such a task becomes more complicated or evolves. New tools are emerging that are able to fulfill new requirements. In this sense, these hardware devices should be considered from the point of view of the class of technical problems they solve, and not purely technical implementation on a certain elemental base.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.In conclusion, it should be noted that the information provided in the description are examples that do not limit the scope of the present invention defined by the claims. One skilled in the art will recognize that there may be other embodiments of the present invention consistent with the spirit and scope of the present invention.
Claims (17)
а) в контролируемой среде исполнения получают URL адрес для анализа;
б) в контролируемой среде исполнения анализируют URL адрес путем запроса объекта информации по URL адресу посредством сетевого интерфейса с последующей загрузкой объекта информации с узла сети по полученному URL адресу;
в) действия по загрузке объекта информации из сети записывают в журнал событий;
г) исследуют URL адрес путем получения информации из сервисов, доступных в сети, полученные ответы на запросы к сервисам сохраняют в таблицу результатов исследования URL адресов, заполняют таблицу результатов исследования URL адресов с использованием журнала событий;
д) повторяют этапы а)-г) по крайней мере один раз;
е) если в контролируемой среде после исследования сайта по указанному URL не обнаружено вредоносных файлов и изменений системного реестра, то сайт считается безопасным;
ж) иначе сайт по указанному URL распространяет вредоносное ПО и является вредоносным узлом сети, строят граф распространения вредоносных данных от вредоносного узла к контролируемой среде исполнения, согласно информации из таблицы результатов исследования URL, при этом узлы графа - это адреса промежуточных узлов сети, а дуги - канал связи между узлами, имеющий вес, соответствующий частоте использования канала для передачи вредоносного трафика от узла сети, который известен как вредоносный;
з) обнаруживают узел-посредник, через который распространяется вредоносное ПО, если частота использования канала связи от известного вредоносного узла сети к узлу-посреднику превышает соответствующую частоту использования канала связи для передачи вредоносного трафика, заносят в антифишинговую базу данных адрес обнаруженного узла-посредника, соединенного с каналом связи, используемым для передачи вредоносного трафика от узла сети, который известен как вредоносный;
и) рекурсивно повторяют этап з) обнаружения узлов-посредников в сети и заносят в антифишинговую базу данных адрес узла-посредника, связанного с каналом связи, используемым для передачи вредоносного трафика от ранее обнаруженного узла-посредника.1. A method for detecting intermediary nodes in a computer network through which malware is distributed, while the intermediary nodes are connected to the Internet, to which malicious nodes are also connected, the method consists of the steps:
a) in a controlled execution environment receive a URL for analysis;
b) in a controlled execution environment, analyze the URL by querying the information object at the URL address through the network interface, followed by downloading the information object from the network node to the received URL;
c) actions for loading an information object from the network are recorded in the event log;
d) examine the URL address by obtaining information from services available on the network, the received responses to service requests are stored in the table of URL address research results, fill in the table of URL address research results using the event log;
e) repeat steps a) to d) at least once;
f) if in a controlled environment after examining the site at the specified URL no malicious files and registry changes were found, then the site is considered safe;
g) otherwise, the site distributes malware at the specified URL and is a malicious network node, build a malicious data distribution graph from the malicious node to the controlled execution environment, according to the information from the URL research results table, while the nodes of the graph are addresses of intermediate network nodes, and arcs - a communication channel between nodes having a weight corresponding to the frequency of using the channel to transmit malicious traffic from a network node that is known as malicious;
h) detect the intermediary node through which the malware is distributed, if the frequency of using the communication channel from a known malicious network node to the intermediary node exceeds the corresponding frequency of using the communication channel to transmit malicious traffic, enter the address of the detected intermediary node connected to the anti-phishing database with a communication channel used to transmit malicious traffic from a network node that is known as malicious;
i) recursively repeat step h) of detecting intermediary nodes in the network and enter into the anti-phishing database the address of the intermediary node associated with the communication channel used to transmit malicious traffic from the previously detected intermediary node.
делают снимок результирующего состояния виртуальной машины и выявляют отличия от исходного состояния виртуальной машины;
если выявлены характерные для вредоносного ПО отличия результирующего состояния виртуальной машины, узел сети помечается как вредоносный.6. The method according to claim 5 of the formula, in which, after step g), the steps are additionally performed:
take a snapshot of the resulting state of the virtual machine and identify differences from the initial state of the virtual machine;
if the malware-specific differences in the resulting state of the virtual machine are detected, the host is marked as malicious.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2012113255/08A RU2523114C2 (en) | 2012-04-06 | 2012-04-06 | Method of analysing malicious activity on internet, detecting malicious network nodes and neighbouring intermediate nodes |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2012113255/08A RU2523114C2 (en) | 2012-04-06 | 2012-04-06 | Method of analysing malicious activity on internet, detecting malicious network nodes and neighbouring intermediate nodes |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2012113255A RU2012113255A (en) | 2013-10-27 |
RU2523114C2 true RU2523114C2 (en) | 2014-07-20 |
Family
ID=49446142
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2012113255/08A RU2523114C2 (en) | 2012-04-06 | 2012-04-06 | Method of analysing malicious activity on internet, detecting malicious network nodes and neighbouring intermediate nodes |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2523114C2 (en) |
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2610254C2 (en) * | 2015-06-30 | 2017-02-08 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of determining modified web pages |
RU2622870C2 (en) * | 2015-11-17 | 2017-06-20 | Общество с ограниченной ответственностью "САЙТСЕКЬЮР" | System and method for evaluating malicious websites |
RU2681699C1 (en) * | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Method and server for searching related network resources |
US10430588B2 (en) | 2016-07-06 | 2019-10-01 | Trust Ltd. | Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack |
US10581880B2 (en) | 2016-09-19 | 2020-03-03 | Group-Ib Tds Ltd. | System and method for generating rules for attack detection feedback system |
US10721271B2 (en) | 2016-12-29 | 2020-07-21 | Trust Ltd. | System and method for detecting phishing web pages |
US10721251B2 (en) | 2016-08-03 | 2020-07-21 | Group Ib, Ltd | Method and system for detecting remote access during activity on the pages of a web resource |
US10762352B2 (en) | 2018-01-17 | 2020-09-01 | Group Ib, Ltd | Method and system for the automatic identification of fuzzy copies of video content |
US10778719B2 (en) | 2016-12-29 | 2020-09-15 | Trust Ltd. | System and method for gathering information to detect phishing activity |
US10958684B2 (en) | 2018-01-17 | 2021-03-23 | Group Ib, Ltd | Method and computer device for identifying malicious web resources |
WO2021154114A1 (en) | 2020-01-27 | 2021-08-05 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Method and system for detecting an infrastructure of malware or a cybercriminal |
US11122061B2 (en) | 2018-01-17 | 2021-09-14 | Group IB TDS, Ltd | Method and server for determining malicious files in network traffic |
US11151581B2 (en) | 2020-03-04 | 2021-10-19 | Group-Ib Global Private Limited | System and method for brand protection based on search results |
US11153351B2 (en) | 2018-12-17 | 2021-10-19 | Trust Ltd. | Method and computing device for identifying suspicious users in message exchange systems |
RU2758041C2 (en) * | 2017-01-30 | 2021-10-25 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Constant training for intrusion detection |
US11250129B2 (en) | 2019-12-05 | 2022-02-15 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
US11356470B2 (en) | 2019-12-19 | 2022-06-07 | Group IB TDS, Ltd | Method and system for determining network vulnerabilities |
US11431749B2 (en) | 2018-12-28 | 2022-08-30 | Trust Ltd. | Method and computing device for generating indication of malicious web resources |
US11451580B2 (en) | 2018-01-17 | 2022-09-20 | Trust Ltd. | Method and system of decentralized malware identification |
US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
US11503044B2 (en) | 2018-01-17 | 2022-11-15 | Group IB TDS, Ltd | Method computing device for detecting malicious domain names in network traffic |
US11526608B2 (en) | 2019-12-05 | 2022-12-13 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
RU2791824C1 (en) * | 2022-02-14 | 2023-03-13 | Групп-Ай Би Глобал Прайвет Лимитед | Method and computing device for detecting target malicious web resource |
US11755700B2 (en) | 2017-11-21 | 2023-09-12 | Group Ib, Ltd | Method for classifying user action sequence |
US11847223B2 (en) | 2020-08-06 | 2023-12-19 | Group IB TDS, Ltd | Method and system for generating a list of indicators of compromise |
US11934498B2 (en) | 2019-02-27 | 2024-03-19 | Group Ib, Ltd | Method and system of user identification |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3588348A1 (en) * | 2018-06-29 | 2020-01-01 | AO Kaspersky Lab | Systems and methods for detecting malicious activity in a computer system |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU91202U1 (en) * | 2009-10-01 | 2010-01-27 | ЗАО "Лаборатория Касперского" | UNKNOWN Malicious Software Detection System |
RU101235U1 (en) * | 2010-03-02 | 2011-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | VALVE Malware Check System with Variable Validation Settings |
RU2417429C2 (en) * | 2006-03-24 | 2011-04-27 | ЭйВиДжи ТЕКНОЛОДЖИЗ СиУай ЛИМИТЕД | Protection from exploitation of software vulnerability |
-
2012
- 2012-04-06 RU RU2012113255/08A patent/RU2523114C2/en active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2417429C2 (en) * | 2006-03-24 | 2011-04-27 | ЭйВиДжи ТЕКНОЛОДЖИЗ СиУай ЛИМИТЕД | Protection from exploitation of software vulnerability |
RU91202U1 (en) * | 2009-10-01 | 2010-01-27 | ЗАО "Лаборатория Касперского" | UNKNOWN Malicious Software Detection System |
RU101235U1 (en) * | 2010-03-02 | 2011-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | VALVE Malware Check System with Variable Validation Settings |
Cited By (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2610254C2 (en) * | 2015-06-30 | 2017-02-08 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of determining modified web pages |
RU2622870C2 (en) * | 2015-11-17 | 2017-06-20 | Общество с ограниченной ответственностью "САЙТСЕКЬЮР" | System and method for evaluating malicious websites |
US10430588B2 (en) | 2016-07-06 | 2019-10-01 | Trust Ltd. | Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack |
US10721251B2 (en) | 2016-08-03 | 2020-07-21 | Group Ib, Ltd | Method and system for detecting remote access during activity on the pages of a web resource |
US10581880B2 (en) | 2016-09-19 | 2020-03-03 | Group-Ib Tds Ltd. | System and method for generating rules for attack detection feedback system |
US10721271B2 (en) | 2016-12-29 | 2020-07-21 | Trust Ltd. | System and method for detecting phishing web pages |
US10778719B2 (en) | 2016-12-29 | 2020-09-15 | Trust Ltd. | System and method for gathering information to detect phishing activity |
RU2758041C2 (en) * | 2017-01-30 | 2021-10-25 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Constant training for intrusion detection |
US11689549B2 (en) | 2017-01-30 | 2023-06-27 | Microsoft Technology Licensing, Llc | Continuous learning for intrusion detection |
US11755700B2 (en) | 2017-11-21 | 2023-09-12 | Group Ib, Ltd | Method for classifying user action sequence |
US11475670B2 (en) | 2018-01-17 | 2022-10-18 | Group Ib, Ltd | Method of creating a template of original video content |
US11451580B2 (en) | 2018-01-17 | 2022-09-20 | Trust Ltd. | Method and system of decentralized malware identification |
US11122061B2 (en) | 2018-01-17 | 2021-09-14 | Group IB TDS, Ltd | Method and server for determining malicious files in network traffic |
US10762352B2 (en) | 2018-01-17 | 2020-09-01 | Group Ib, Ltd | Method and system for the automatic identification of fuzzy copies of video content |
US11503044B2 (en) | 2018-01-17 | 2022-11-15 | Group IB TDS, Ltd | Method computing device for detecting malicious domain names in network traffic |
US10958684B2 (en) | 2018-01-17 | 2021-03-23 | Group Ib, Ltd | Method and computer device for identifying malicious web resources |
US11005779B2 (en) | 2018-02-13 | 2021-05-11 | Trust Ltd. | Method of and server for detecting associated web resources |
RU2681699C1 (en) * | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Method and server for searching related network resources |
US11153351B2 (en) | 2018-12-17 | 2021-10-19 | Trust Ltd. | Method and computing device for identifying suspicious users in message exchange systems |
US11431749B2 (en) | 2018-12-28 | 2022-08-30 | Trust Ltd. | Method and computing device for generating indication of malicious web resources |
US11934498B2 (en) | 2019-02-27 | 2024-03-19 | Group Ib, Ltd | Method and system of user identification |
US11526608B2 (en) | 2019-12-05 | 2022-12-13 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
US11250129B2 (en) | 2019-12-05 | 2022-02-15 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
US11356470B2 (en) | 2019-12-19 | 2022-06-07 | Group IB TDS, Ltd | Method and system for determining network vulnerabilities |
WO2021154114A1 (en) | 2020-01-27 | 2021-08-05 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Method and system for detecting an infrastructure of malware or a cybercriminal |
US11151581B2 (en) | 2020-03-04 | 2021-10-19 | Group-Ib Global Private Limited | System and method for brand protection based on search results |
US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
US11847223B2 (en) | 2020-08-06 | 2023-12-19 | Group IB TDS, Ltd | Method and system for generating a list of indicators of compromise |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
RU2791824C1 (en) * | 2022-02-14 | 2023-03-13 | Групп-Ай Би Глобал Прайвет Лимитед | Method and computing device for detecting target malicious web resource |
Also Published As
Publication number | Publication date |
---|---|
RU2012113255A (en) | 2013-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2523114C2 (en) | Method of analysing malicious activity on internet, detecting malicious network nodes and neighbouring intermediate nodes | |
RU2495486C1 (en) | Method of analysing and detecting malicious intermediate nodes in network | |
US11736499B2 (en) | Systems and methods for detecting injection exploits | |
Nawrocki et al. | A survey on honeypot software and data analysis | |
US8935750B2 (en) | System and method for restricting pathways to harmful hosts in computer networks | |
US9356950B2 (en) | Evaluating URLS for malicious content | |
US9942270B2 (en) | Database deception in directory services | |
Nobori et al. | {VPN} Gate: A {Volunteer-Organized} Public {VPN} Relay System with Blocking Resistance for Bypassing Government Censorship Firewalls | |
US9853995B2 (en) | System and method for restricting pathways to harmful hosts in computer networks | |
US8239951B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
Greschbach et al. | The effect of dns on tor's anonymity | |
US20230362205A1 (en) | Cyber-Security in Heterogeneous Networks | |
Yen | Detecting stealthy malware using behavioral features in network traffic | |
Marchese et al. | Monitoring unauthorized internet accesses through a ‘honeypot’system | |
Yagi et al. | Investigation and analysis of malware on websites | |
Cabaj et al. | HoneyPot systems in practice | |
Kaminsky | Explorations in namespace: white-hat hacking across the domain name system | |
US11632393B2 (en) | Detecting and mitigating malware by evaluating HTTP errors | |
Frank Jr | Mirai bot scanner summation prototype | |
Wala et al. | Unconstrained endpoint security system: UEPTSS | |
TWI761122B (en) | Cyber security protection system and related proactive suspicious domain alert system | |
Aarseth | Identifying vulnerable services using non-intrusive techniques | |
Komisarczuk et al. | Internet sensor grid: experiences with passive and active instruments | |
Hunter | A framework for Malicious Host Fingerprinting Using Distributed Network Sensors | |
Bennett | Search Engines That Scan For Internet-Connected Services: Classification and Empirical Study |