RU2580032C2 - Система и способ определения категории доверенности приложения - Google Patents

Система и способ определения категории доверенности приложения Download PDF

Info

Publication number
RU2580032C2
RU2580032C2 RU2014131808/08A RU2014131808A RU2580032C2 RU 2580032 C2 RU2580032 C2 RU 2580032C2 RU 2014131808/08 A RU2014131808/08 A RU 2014131808/08A RU 2014131808 A RU2014131808 A RU 2014131808A RU 2580032 C2 RU2580032 C2 RU 2580032C2
Authority
RU
Russia
Prior art keywords
application
overlap
protected
information
status
Prior art date
Application number
RU2014131808/08A
Other languages
English (en)
Other versions
RU2014131808A (ru
Inventor
Константин Михайлович Филатов
Ольга Олеговна Иноземцева
Виктор Владимирович Яблоков
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2014131808/08A priority Critical patent/RU2580032C2/ru
Priority to US14/498,224 priority patent/US9282112B2/en
Priority to DE202014011086.7U priority patent/DE202014011086U1/de
Priority to EP14191829.2A priority patent/EP2980721A1/en
Publication of RU2014131808A publication Critical patent/RU2014131808A/ru
Application granted granted Critical
Publication of RU2580032C2 publication Critical patent/RU2580032C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Изобретение относится к информационной безопасности. Технический результат заключается в обеспечении определения категории доверия приложения, осуществившего перекрытие защищенного приложения. Система определения категории доверия приложения содержит средство мониторинга защищенного приложения для обнаружения перекрытия элемента интерфейса защищенного приложения элементом интерфейса другого приложения; средство сбора защищенного приложения для сбора информации о приложении, элемент интерфейса которого перекрыл элемент интерфейса защищенного приложения; средство анализа защищенного приложения для определения категории доверия приложения, которое перекрыло интерфейс защищенного приложения; базу данных для хранения статуса опасности приложений. 2 н. и 16 з.п. ф-лы, 5 ил.

Description

Область техники
Изобретение относится к системам и способам защиты приложений от атак посредством перекрытия их интерфейса интерфейсом других приложений.
Уровень техники
Использование мобильных приложений для доступа к сервисам требующих, ввода конфиденциальных данных, приобрело массовый характер. Это происходит при оплате продуктов и услуг, при доступе к сервисам требующих ввода регистрационных данных и т.д. При этом оплата с использованием банковских приложений применяется так же и на стационарных ПК. Результатом развития этой сферы стало появление вредоносного программного обеспечения, похищающего конфиденциальные данные пользователя, использующиеся при оплате продуктов и услуг, а также при регистрации на сервисах и ресурсах в сети Интернет.
Одним из способов похищения данных, вводимых пользователем, является подмена интерфейса или элемента интерфейса веб-страницы или приложения, через которое осуществляется оплата или регистрация. Программа, созданная злоумышленником, подменяет, например, поля для регистрации, и пользователь вводит данные не в оригинальное поле, а в элемент интерфейса, предоставленный программой злоумышленника.
Перед антивирусной индустрией встала задача защитить пользователя от подобных вредоносных программ, решением данной задачи стало создание различных систем, позволяющих отследить момент перекрытия интерфейса защищенного приложения интерфейсом вредоносной программы. Так, патент US 8205260 B2 описывает систему и способ обнаружения подмены окна оригинального приложения окном вредоносного программного обеспечения путем подсчета времени, в течение которого окно защищенного приложения перекрыто окном другого приложения, если этот интервал времени больше некоторого критического интервала, пользователю выдается предупреждение. Другая публикация WO 2012101623 A1 описывает метод проверки веб-элементов на предмет подмены путем сравнения структуры проверяемых элементов веб-страниц с заранее известными и безопасными шаблонами структур.
Анализ предшествующего уровня техники позволяет сделать вывод, что представленные решения не позволяют защититься от частичного перекрытия окна защищенного приложения без воздействия на окно защищенного приложения (закрытие окна, изменение размера и т.д.) и его процесс (например, внедрение в активный процесс).
Раскрытие изобретения
Настоящее изобретение относится к системам и способам защиты приложений от атак посредством перекрытия их интерфейса интерфейсом других приложений.
Технический результат настоящего изобретения заключается в обеспечении определения категории доверия приложения, осуществившего перекрытие защищенного приложения.
Система определения категории доверия приложения, осуществившего перекрытие защищенного приложения, содержит: средство мониторинга защищенного приложения, предназначенное для обнаружения перекрытия, по меньшей мере, одного элемента интерфейса защищенного приложения, по меньшей мере, одним элементом интерфейса другого приложения; средство сбора защищенного приложения, предназначенное для сбора информации о приложении, по меньшей мере, один элемент интерфейса которого перекрыл, по меньшей мере, один элемент интерфейса защищенного приложения, где в качестве информации выступает, по меньшей мере, статус опасности перекрывшего приложения, хранящийся в базе данных, который определяет опасность приложения, осуществившего перекрытие для защищенного приложения; средство анализа защищенного приложения, предназначенное для определения категории доверия приложения, которое перекрыло интерфейс защищенного приложения, на основании анализа информации, полученной средством сбора; базу данных, предназначенную для хранения, по меньшей мере, статуса опасности приложений.
В частном случае средство мониторинга защищенного приложения предназначено для обнаружения перекрытия, по меньшей мере, одного активного элемента интерфейса защищенного приложения, по меньшей мере, одним элементом интерфейса другого приложения. Также средство мониторинга может обнаруживать перекрытие, сравнивая информацию об окне защищенного приложения, с информацией об активном окне в системном журнале операционной системы.
Опасность приложения, осуществившего перекрытие, для защищенного приложения может заключаться в краже данных, обрабатываемых защищенным приложением и подмене этих данных.
В частном случае средство анализа защищенного приложения признает приложение, осуществившее перекрытие, недоверенным, если у приложения, осуществившего перекрытие, статус опасное, и доверенным, если у приложения, осуществившего перекрытие, статус безопасное.
В другом частном случае средство сбора определяет информацию о принадлежности приложения, осуществившего перекрытие, к предустановленным системным приложениям и средство анализа признает приложение, осуществившее перекрытие, доверенным, если приложение, осуществившее перекрытие, относится к предустановленным системным.
Способ определения категории доверия приложения, осуществившего перекрытие защищенного приложения, в котором средством мониторинга защищенного приложения обнаруживают перекрытие, по меньшей мере, одного элемента интерфейса защищенного приложения, по меньшей мере, одним элементом интерфейса другого приложения, средством сбора защищенного приложения собирают информацию о приложении, по меньшей мере, один элемент интерфейса которого перекрыл, по меньшей мере, один элемент интерфейса защищенного приложения, где в качестве информации выступает, по меньшей мере, статус опасности приложения, хранящийся в базе данных, и средством анализа защищенного приложения определяют категорию доверия приложения, которое перекрыло интерфейс защищенного приложения, на основании анализа информации, полученной средством сбора.
В частном случае средством мониторинга защищенного приложения обнаруживают перекрытие, по меньшей мере, одного активного элемента интерфейса защищенного приложения, по меньшей мере, одним элементом интерфейса другого приложения, где активным элементом является элемент, с которым пользователь взаимодействует в текущий момент времени. Перекрытие может обнаруживаться путем сравнения информации об окне защищенного приложения с информацией об активном окне в системном журнале операционной системы.
В частном случае категорию приложения определяют на основании статуса приложения, хранящегося в базе данных, где приложение признается недоверенным, если статус приложения опасное, и приложение признается доверенным, если статус приложения безопасное.
В другом частном случае средством сбора получают дополнительную информацию о приложении, если статус приложения неизвестен базе данных. Дополнительной информацией может являться принадлежность приложения, осуществившего перекрытие, к предустановленным системным приложениям, где приложение признается доверенным, если оно относится к предустановленным системным приложениям.
Краткое описание чертежей
Сопровождающие чертежи включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.
Заявленное изобретение поясняется следующими чертежами, на которых:
Фиг. 1 показывает пример графического интерфейса банковского приложения для оплаты покупок или услуг;
Фиг. 2 показывает пример системы защиты защищенного приложения;
Фиг. 3 показывает способ определения категории доверия приложения, осуществившего перекрытие защищенного приложения;
Фиг. 4 показывает способ определения статуса приложения, осуществившего перекрытие защищенного приложения;
Фиг. 5 показывает пример компьютерной системы общего назначения.
Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено в приложенной формуле.
Описание изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Приведенное описание предназначено для помощи специалисту в области техники для исчерпывающего понимания изобретения, которое определяется только в объеме приложенной формулы.
Принцип работы вредоносных приложений, осуществляющих перехват путем замены элементов интерфейса, представлены ниже. В контексте данной заявки под интерфейсом понимается графический пользовательский интерфейс (GUI), который является разновидностью пользовательского интерфейса, где элементы интерфейса (меню, кнопки, значки, списки и т. п. ), представленные пользователю на дисплее, исполнены в виде графических изображений. Сами элементы интерфейса - это примитивы графического интерфейса пользователя. К элементам интерфейса, по меньшей мере, относятся:
- кнопка (button)
- сдвоенная кнопка (split button) - кнопка, вызывающая список со вторичным(и) действием(и) (кнопками)
- радиокнопка (radio button)
- флаговая кнопка (check box)
- значок (иконка, icon)
- список (list box)
- дерево - иерархический список (tree view)
- раскрывающийся список (combo box, drop-down list)
- метка (label)
- поле редактирования (textbox, edit field)
- элемент для отображения табличных данных (grid view)
- меню (menu)
- главное меню окна (main menu или menu bar)
- контекстное меню (popup menu)
- ниспадающее меню (pull down menu)
- окно (window)
- диалоговое окно (dialog box)
- модальное окно (modal window)
- панель (panel)
- вкладка (tab)
- панель инструментов (toolbar)
- полоса прокрутки (scrollbar)
- ползунок (slider)
- строка состояния (status bar)
- всплывающая подсказка (tooltip, hint)
На Фиг. 1 изображен пример графического интерфейса банковского приложения для оплаты покупок или услуг. Вредоносное приложение в частном случае заменяет полностью интерфейс банковского приложения на свое. В другом частном случае вредоносное приложение заменяет отдельные элементы интерфейса, например поле для ввода номера кредитной карты 100б и CVV кода, также окно 100а вредоносного приложения может быть невидимым, оно активно, но для пользователя оно не отрисовывается. Во всех описанных случаях пользователь вводит свои конфиденциальные данные не в оригинальный интерфейс банковского приложения, а в элементы интерфейса 100, созданные вредоносным приложением. Вредоносное приложение для осуществления перекрытия отслеживает работу интересующих его приложений, например приложений, работающих с банковскими сервисами, в момент запуска или в периоды работы этих приложений перекрывает элементы интерфейса 100 банковского приложения своими элементами.
Для защиты от описанной выше атаки приложению (защищенное приложение), необходимо обнаруживать факт перекрытия собственных элементов интерфейса 100. Обнаружение осуществляется различными путями. В одном случае защищенное приложение в момент своей активности (пользователь вводит данные, работает с интерфейсом) постоянно опрашивает систему на предмет нахождения своего окна поверх всех остальных окон и других элементов интерфейса, т.е. на предмет активности своего окна. Активным, в данном контексте, понимается элемент интерфейса приложения, с которым работает пользователь. Если приложение получает от системы сообщение о том, что поверх находится элемент интерфейса приложения, отличного от защищенного приложения (окно защищенного приложения перестало быть активным), окно защищенного приложения считается перекрытым. Далее дополнительно могут определяться координаты элементов интерфейса, перекрывших защищенное приложение, определяться их видимость и т.д. В другом частном случае факт перекрытия определяется путем отслеживания событий системы, связанных с созданием или активацией элементов интерфейса, и, если эти события инициированы приложением, отличным от защищенного приложения, защищенное приложение считается перекрытым. Например, появление в системе события EVENT_SYSTEM_FOREGROUND (us/library/windows/desktop/dd318066%28v=vs.85%29.aspx) говорит о том, что активное окно было изменено. Также защищенное приложение определяет перекрытие, отслеживая появление окон с определенным заголовком, например с заголовком KasperskyBank.
Перекрытие может осуществляться не только вредоносным приложением, но и безопасным приложением. Определение приложения, осуществившего перекрытие, производят несколькими путями. В одном случае это осуществляется путем определения идентификатора процесса через описатель элемента интерфейса, осуществившего перекрытие, т.е. получают описатель (handle) элемента интерфейса, осуществившего перекрытие, имея описатель элемента интерфейса, получают идентификатор процесса, создавшего окно. Зная идентификатор процесса, определяют сам процесс и создавшее его приложение. В другом случае, например в операционной системе типа Android, отслеживают события в системном журнале ОС Android (logcat). Показ окна любого приложения записывается операционной системой в logcat. Системный журнал анализируют и определяют приложение, окно которого сейчас активно. Ниже представлен пример записей из системного журнала с описанной информацией:
Figure 00000001
Из записи определяют идентификатор процесса (pid 727), далее по идентификатору процесса определяют приложение. Также анализируется манифест приложение, в частном случае осуществляется сканирование антивирусным программным обеспечением.
После определения конкретного приложения, осуществившего перекрытие, получают информацию о приложении. Информация представляет из себя различные характеристики приложения и различных его компонентов (файлов, элементов интерфейса и т.д.). Информация о приложении позволит сделать вывод о степени доверия приложению. В качестве информации может выступать хэш-сумма приложения или отдельных файлов, а также установщика (инсталлятора), версия приложения, имя приложения, источник приложения, размер, путь к приложению на устройстве, типы ресурсов приложения и их хэш-суммы и гистограммы и т. д. Это фактические характеристики, которые возможно собрать непосредственно с устройства. Другая группа информации - статистические характеристики, которые получают на основании фактических характеристик, обращением к внешней или внутренней базе данных, в качестве такой информации выступает статус опасности приложения или отдельного файла приложения в репутационной базе данных (база, хранящая оценки опасности для объектов, в частном случае файлов), количество установок приложения в мире или отдельном регионе и т.д. Полученные фактические и статистические характеристики используют для последующего анализа приложения. Отдельно выделяются фактические характеристики приложения, характеризующие ресурсы приложения, в частности элементы интерфейса приложения (кнопки, окна). В качестве характеристик может выступать форма окна, заголовок окна, имя кнопки и т. д. Информация об элементах интерфейса получается, например, в виде хэш-сумм и гистограмм.
Полученную информацию используют для определения категории доверия приложения, осуществившего перекрытия. Понятие категория и категория доверия в рамках данной заявки равнозначны. Под категорией доверия приложения подразумевается степень доверия к приложению (доверенное или недоверенное) со стороны системы защиты защищенного приложения (будет описана ниже). В одном из вариантов реализации категории приложений могут быть две: доверенные приложения и недоверенные приложения. В рамках текущей заявки следует отделять понятие категории приложения от понятия статуса опасности приложения. Статус приложения в рамках данной заявки может быть следующим: опасное, безопасное. Также есть неизвестные приложения - это те приложения, статус которых не определен. Статус опасности приложения определяет опасность приложения, осуществившего перекрытие для защищенного приложения. Опасность приложения, осуществившего перекрытие, для защищенного приложения заключается, в частном случае, в краже данных, обрабатываемых защищенным приложением, подмене данных.
К доверенным приложениям относятся приложения, перекрытие которыми интерфейса защищенного приложения, по мнению системы защиты, является безопасным. Система защиты защищенного приложения, присваивая категорию доверия приложению, делает это локально, в рамках текущего состояния на устройстве и на основании информации о приложении, элементы интерфейса которого перекрыли элементы интерфейса защищенного приложения. В частном случае такой информацией является статус приложения, осуществившего перекрытие. Статус приложения может быть общим, т.е. использоваться при проверке приложений на вредоносность в различном контексте (например, при выполнении полнодисковой проверки устройства на вредоносное программное обеспечение), или частным, т.е. статус актуален только при определении категории приложения при перекрытии. Статус также может быть еще более частным и относится лишь к определенным типам приложений при определении категории, например приложение, осуществившее перекрытие, имеет статус опасное лишь при анализе системой защиты защищенного банковского приложения, для других типов защищенных приложений (игровых, почтовых и т. д.), приложение, осуществившее перекрытие, имеет статус безопасное. В частном случае тип приложения определяется его назначением. Статус приложения определяют, используя хэш-сумму приложения или отдельного файла приложения. Для этого организуют запрос к репутационной базе данных, база располагается в одном частном случае на исследуемом устройстве, в другом частном случае база располагается удаленно. Если исследуемое приложение известно (хэш-сумма содержится в репутационной базе), то, соответственно, приложение, осуществившее перекрытие, уже имеет статус безопасное или опасное, в зависимости от того, какой хэш-сумме из репутационной базы соответствует проверяемая хэш-сумма приложения. Если хэш-сумма приложения или отдельного файла приложения не содержится в базе данных, приложение или отдельный файл приложения считаются неизвестными, т.е. приложение, осуществившее перекрытие, не имеет статуса. Если приложение или файл имеют статус безопасный, то в частном случае приложение, осуществившее перекрытие, получает категорию доверенное. В другом частном случае категория приложения определяется исходя из другой фактической и статистической информации о приложении, например, по пути установки приложения на устройстве или принадлежности его к предустановленным системным приложениям. Если приложение является системным (на это указывает путь установки), при этом статус его неизвестен, приложение признается доверенным.
Приложению, осуществившему перекрытие, может быть присвоен статус одновременно с определением категории доверия. Например, осуществляется сравнение элементов интерфейса защищенного приложения с элементами интерфейса приложения, осуществившего перекрытие, если элементы признаются похожими, то приложению, осуществившему перекрытие, присваивается статус опасное. В другом частном случае информация об элементах интерфейса приложения, осуществившего перекрытие, сравнивается с информацией об элементах интерфейса приложений, находящихся в черном списке. Черный список содержит информацию об элементах интерфейса, которым запрещено перекрывать элементы интерфейса защищенных приложений. Такими элементами могут быть кнопки с названием ″введите код″, окна с заголовками, содержащими слово ″Банк″, и т.д. Черный список в одном случае может находиться на локальном устройстве, в другом случае располагается удаленно. В частном случае черный список структурирован в зависимости от типа защищенного приложения. Например, защищенное приложение относится к банковским приложениям и перекрытие окна защищенного приложения окном, содержащим в заголовке название банка, является опасным, поэтому для банковских приложений подобное окно будет находиться в черном списке, в другом случае защищенное приложение относится к игровым и перекрытие окна данного приложения окном, содержащим в заголовке название банка, является безопасным и в черном списке находиться не будет. Черный список содержит, по меньшей мере, характеристики элементов интерфейса, являющихся копиями элементов интерфейса защищенного приложения.
На Фиг. 2 изображена система защиты 202 защищенного приложения 201. Система защиты 202 является частью защищенного приложения 201. Само приложение 201 со всеми его компонентами хранится в системной памяти 22. Система защиты 202 включает в себя средство мониторинга 203, предназначенное для обнаружения перекрытия элементов интерфейса защищенного приложения элементами интерфейса другого приложения. Средство мониторинга 203 связано с базой данных 204, которая содержит информацию о статусах приложений, установленных на устройстве, и список запрещенных элементов интерфейса и может располагаться удаленно на устройстве 49. Средство мониторинга 203 также связано со средством сбора 205, предназначенным для сбора информации о приложении, осуществившем перекрытие. Средство мониторинга 203 и средство сбора 205 связаны со средством анализа 206, предназначенным для анализа собранной информации средством 205. В результате анализа собранной информации средство анализа 206 определяет категорию доверия приложения, осуществившего перекрытие. Также средство анализа 206 определяет статус приложения, осуществившего перекрытие. В частном случае реализации все средства системы защиты 202 защищенного приложения связаны с программной и аппаратной частью устройства, пример которой изображен на Фиг. 5 (фигура описана ниже), посредством установленной связи средства системы защиты 202 осуществляют настройку и модификацию: операционной системы 35, под управлением которой работает устройство, файловой системы 36, приложений 37 и других компонентов, хранящихся в системной памяти 22, а также настройку компонентов аппаратной части устройства.
На Фиг. 3 изображен способ определения категории приложения, осуществившего перекрытие защищенного приложения. На этапе 301 защищенное приложение обнаруживает перекрытие одного из активных элементов своего интерфейса (элемент, с которым пользователь взаимодействует в текущий момент времени), по меньшей мере, одним элементом интерфейса другого приложения. В частном случае перекрытие обнаруживается путем сравнения информации об окне защищенного приложения с информацией об активном окне в системном журнале операционной системы. Далее на этапе 302 защищенное приложение собирает информацию о приложении, осуществившем перекрытие, где в качестве информации выступает, по меньшей мере, статус приложения, хранящийся в базе данных 204. Собранная информация анализируется на этапе 303 и на основании анализа определяется категория доверия приложения, осуществившего перекрытие, в частном случае категорию приложения определяют на основании статуса приложения, хранящегося в базе данных 204, где приложение признается недоверенным, если статус приложения «опасное», и, наоборот, приложение признается доверенным, если статус приложения «безопасное». В том случае, когда статус приложения неизвестен, собирается дополнительная информация, такой информацией, например, является принадлежность приложения, осуществившего перекрытие, к предустановленным системным приложениям, где приложение признается доверенным, если оно относится к предустановленным системным приложениям. Как указывалось выше, в частном случае статус актуален только для определения категории доверия приложения, осуществившего перекрытие защищенного приложения, а в другом частном случае статус актуален только для системы защиты того типа приложений, который соответствует типу защищенного приложения 201, система защиты 202 которого установила статус ранее.
На Фиг. 4 изображен способ определения статуса приложения, осуществившего перекрытие защищенного приложения, где на этапе 401 защищенное приложение обнаруживает перекрытие своих элементов интерфейса элементами интерфейса приложения, статус которого неизвестен, где приложением с неизвестным статусом является приложение, статус которого не содержится в базе данных 204. Далее на этапе 402 собирают информацию о приложении с неизвестным статусом и на этапе 403 анализируют полученную информацию путем сравнения информации о приложении, статус которого неизвестен, с информацией из базы данных 204, содержащей запрещенные и безопасные характеристики для приложений, осуществляющих перекрытие защищенного приложения. Где запрещенные характеристики - это такие характеристики, которые не должно иметь перекрывающее приложение, а безопасные характеристики - это такие характеристики, наличие которых у перекрывающего приложения допустимо. На заключительном этапе 404 определяют статус приложения, осуществившего перекрытие защищенного приложения, где приложение, перекрывшее защищенное приложение, характеристики которого по результатам сравнение схожи с запрещенными характеристиками, получает статус опасное, статус заносится в базу данных 204. В частном случае приложение, характеристики которого не похожи на запрещенные характеристики, получает статус безопасного, характеристики по результатам сравнения считают похожими, если степень сходства между характеристиками превышает установленный порог. В частном случае реализации изобретения степень сходства определяют в соответствии с мерой Дайса, в другом частном случае реализации степень сходства определяют в соответствии с одной из метрик: Хэмминга, Левенштейна, Жаккара.
В частном случае средством анализа 206 защищенного приложения сравнивают характеристики, по меньшей мере, одного элемента интерфейса неизвестного приложения, осуществившего перекрытие, с характеристиками элементов интерфейса, хранящимися в базе данных 204, которым запрещено осуществлять перекрытие элементов интерфейса защищенного приложения. Запрещенными могут являться только для конкретного типа приложений, соответствующего типу защищенного приложения, где тип приложения определяется, например, назначением приложения.
Фиг. 5 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47 персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 5. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Claims (18)

1. Система определения категории доверия приложения, осуществившего перекрытие защищенного приложения, которая содержит:
а) средство мониторинга защищенного приложения, предназначенное для обнаружения перекрытия, по меньшей мере, одного элемента интерфейса защищенного приложения, по меньшей мере, одним элементом интерфейса другого приложения;
б) средство сбора защищенного приложения, предназначенное для сбора информации о приложении, по меньшей мере, один элемент интерфейса которого перекрыл, по меньшей мере, один элемент интерфейса защищенного приложения, где в качестве информации выступает, по меньшей мере, статус опасности перекрывшего приложения, хранящийся в базе данных, который определяет опасность приложения, осуществившего перекрытие для защищенного приложения;
в) средство анализа защищенного приложения, предназначенное для определения категории доверия приложения, которое перекрыло интерфейс защищенного приложения, на основании анализа информации, полученной средством сбора;
г) базу данных, предназначенную для хранения, по меньшей мере, статуса опасности приложений.
2. Система по п. 1, в которой средство мониторинга защищенного приложения предназначено для обнаружения перекрытия, по меньшей мере, одного активного элемента интерфейса защищенного приложения, по меньшей мере, одним элементом интерфейса другого приложения.
3. Система по п. 1, в которой опасность приложения, осуществившего перекрытие, для защищенного приложения заключается в краже данных, обрабатываемых защищенным приложением, подмене данных.
4. Система по п. 1, в которой средство мониторинга обнаруживает перекрытие, сравнивая информацию об окне защищенного приложения с информацией об активном окне в системном журнале операционной системы.
5. Система по п. 3, в которой средство анализа защищенного приложения признает приложение, осуществившее перекрытие, недоверенным, если у приложения, осуществившего перекрытие, статус опасное.
6. Система по п. 3, в которой средство анализа защищенного приложения признает приложение, осуществившее перекрытие, доверенным, если у приложения, осуществившего перекрытие, статус безопасное.
7. Система по п. 1, в которой средство сбора определяет информацию о принадлежности приложения, осуществившего перекрытие, к предустановленным системным приложениям.
8. Система по п. 6, в которой средство анализа признает приложение, осуществившее перекрытие, доверенным, если приложение, осуществившее перекрытие, относится к предустановленным системным.
9. Способ определения категории доверия приложения, осуществившего перекрытие защищенного приложения, в котором:
а) средством мониторинга защищенного приложения обнаруживают перекрытие, по меньшей мере, одного элемента интерфейса защищенного приложения, по меньшей мере, одним элементом интерфейса другого приложения;
б) средством сбора защищенного приложения собирают информацию о приложении, по меньшей мере, один элемент интерфейса которого перекрыл, по меньшей мере, один элемент интерфейса защищенного приложения, где в качестве информации выступает, по меньшей мере, статус опасности приложения, хранящийся в базе данных;
в) средством анализа защищенного приложения определяют категорию доверия приложения, которое перекрыло интерфейс защищенного приложения, на основании анализа информации, полученной средством сбора.
10. Способ по п. 9, в котором средством мониторинга защищенного приложения обнаруживают перекрытие, по меньшей мере, одного активного элемента интерфейса защищенного приложения, по меньшей мере, одним элементом интерфейса другого приложения.
11. Способ по п. 9, в котором активным элементом является элемент, с которым пользователь взаимодействует в текущий момент времени.
12. Способ по п. 9, в котором перекрытие обнаруживается путем сравнения информации об окне защищенного приложения с информацией об активном окне в системном журнале операционной системы.
13. Способ по п. 9, в котором категорию приложения определяют на основании статуса приложения, хранящегося в базе данных.
14. Способ по п. 13, в котором приложение признается недоверенным, если статус приложения опасное.
15. Способ по п. 13, в котором приложение признается доверенным, если статус приложения безопасное.
16. Способ по п. 13, в котором средством сбора получают дополнительную информацию о приложении, если статус приложения неизвестен базе данных.
17. Способ по п. 16, в котором дополнительной информацией является принадлежность приложения, осуществившего перекрытие, к предустановленным системным приложениям.
18. Способ по п. 17, в котором приложение признается доверенным, если оно относится к предустановленным системным приложениям.
RU2014131808/08A 2014-08-01 2014-08-01 Система и способ определения категории доверенности приложения RU2580032C2 (ru)

Priority Applications (4)

Application Number Priority Date Filing Date Title
RU2014131808/08A RU2580032C2 (ru) 2014-08-01 2014-08-01 Система и способ определения категории доверенности приложения
US14/498,224 US9282112B2 (en) 2014-08-01 2014-09-26 System and method for determining category of trust of applications performing interface overlay
DE202014011086.7U DE202014011086U1 (de) 2014-08-01 2014-11-05 System zur Bestimmung einer Vertrauenswürdigkeitskategorie von Anwendungen, die eine Schnittstellenüberlagerung durchführen
EP14191829.2A EP2980721A1 (en) 2014-08-01 2014-11-05 System and method for determining a category of trust of applications performing an interface overlay

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014131808/08A RU2580032C2 (ru) 2014-08-01 2014-08-01 Система и способ определения категории доверенности приложения

Publications (2)

Publication Number Publication Date
RU2014131808A RU2014131808A (ru) 2016-02-20
RU2580032C2 true RU2580032C2 (ru) 2016-04-10

Family

ID=55181274

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014131808/08A RU2580032C2 (ru) 2014-08-01 2014-08-01 Система и способ определения категории доверенности приложения

Country Status (3)

Country Link
US (1) US9282112B2 (ru)
DE (1) DE202014011086U1 (ru)
RU (1) RU2580032C2 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2724125C1 (ru) * 2019-08-09 2020-06-22 Бейджин Сяоми Мобайл Софтвеа Ко., Лтд. Способ и устройство для шифрования модели нейронной сети и носитель данных

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10395018B2 (en) 2010-11-29 2019-08-27 Biocatch Ltd. System, method, and device of detecting identity of a user and authenticating a user
US10917431B2 (en) 2010-11-29 2021-02-09 Biocatch Ltd. System, method, and device of authenticating a user based on selfie image or selfie video
US10069837B2 (en) 2015-07-09 2018-09-04 Biocatch Ltd. Detection of proxy server
US10069852B2 (en) 2010-11-29 2018-09-04 Biocatch Ltd. Detection of computerized bots and automated cyber-attack modules
US10298614B2 (en) * 2010-11-29 2019-05-21 Biocatch Ltd. System, device, and method of generating and managing behavioral biometric cookies
US10685355B2 (en) 2016-12-04 2020-06-16 Biocatch Ltd. Method, device, and system of detecting mule accounts and accounts used for money laundering
US10404729B2 (en) 2010-11-29 2019-09-03 Biocatch Ltd. Device, method, and system of generating fraud-alerts for cyber-attacks
US10164985B2 (en) 2010-11-29 2018-12-25 Biocatch Ltd. Device, system, and method of recovery and resetting of user authentication factor
US10970394B2 (en) 2017-11-21 2021-04-06 Biocatch Ltd. System, device, and method of detecting vishing attacks
US10055560B2 (en) 2010-11-29 2018-08-21 Biocatch Ltd. Device, method, and system of detecting multiple users accessing the same account
US11223619B2 (en) 2010-11-29 2022-01-11 Biocatch Ltd. Device, system, and method of user authentication based on user-specific characteristics of task performance
US10949514B2 (en) 2010-11-29 2021-03-16 Biocatch Ltd. Device, system, and method of differentiating among users based on detection of hardware components
US10747305B2 (en) 2010-11-29 2020-08-18 Biocatch Ltd. Method, system, and device of authenticating identity of a user of an electronic device
US10621585B2 (en) 2010-11-29 2020-04-14 Biocatch Ltd. Contextual mapping of web-pages, and generation of fraud-relatedness score-values
US10776476B2 (en) 2010-11-29 2020-09-15 Biocatch Ltd. System, device, and method of visual login
US11269977B2 (en) 2010-11-29 2022-03-08 Biocatch Ltd. System, apparatus, and method of collecting and processing data in electronic devices
US20190158535A1 (en) * 2017-11-21 2019-05-23 Biocatch Ltd. Device, System, and Method of Detecting Vishing Attacks
US9483292B2 (en) 2010-11-29 2016-11-01 Biocatch Ltd. Method, device, and system of differentiating between virtual machine and non-virtualized device
US10586036B2 (en) 2010-11-29 2020-03-10 Biocatch Ltd. System, device, and method of recovery and resetting of user authentication factor
US10037421B2 (en) 2010-11-29 2018-07-31 Biocatch Ltd. Device, system, and method of three-dimensional spatial user authentication
US11210674B2 (en) 2010-11-29 2021-12-28 Biocatch Ltd. Method, device, and system of detecting mule accounts and accounts used for money laundering
US10476873B2 (en) 2010-11-29 2019-11-12 Biocatch Ltd. Device, system, and method of password-less user authentication and password-less detection of user identity
US10834590B2 (en) 2010-11-29 2020-11-10 Biocatch Ltd. Method, device, and system of differentiating between a cyber-attacker and a legitimate user
US10083439B2 (en) 2010-11-29 2018-09-25 Biocatch Ltd. Device, system, and method of differentiating over multiple accounts between legitimate user and cyber-attacker
US10262324B2 (en) 2010-11-29 2019-04-16 Biocatch Ltd. System, device, and method of differentiating among users based on user-specific page navigation sequence
US10474815B2 (en) 2010-11-29 2019-11-12 Biocatch Ltd. System, device, and method of detecting malicious automatic script and code injection
US10897482B2 (en) 2010-11-29 2021-01-19 Biocatch Ltd. Method, device, and system of back-coloring, forward-coloring, and fraud detection
US10728761B2 (en) 2010-11-29 2020-07-28 Biocatch Ltd. Method, device, and system of detecting a lie of a user who inputs data
US12101354B2 (en) * 2010-11-29 2024-09-24 Biocatch Ltd. Device, system, and method of detecting vishing attacks
US10949757B2 (en) 2010-11-29 2021-03-16 Biocatch Ltd. System, device, and method of detecting user identity based on motor-control loop model
US10032010B2 (en) 2010-11-29 2018-07-24 Biocatch Ltd. System, device, and method of visual login and stochastic cryptography
US9716660B2 (en) * 2014-12-11 2017-07-25 Intel Corporation Hierarchical enforcement of service flow quotas
GB2539705B (en) 2015-06-25 2017-10-25 Aimbrain Solutions Ltd Conditional behavioural biometrics
RU2606564C1 (ru) * 2015-09-30 2017-01-10 Акционерное общество "Лаборатория Касперского" Система и способ блокировки выполнения сценариев
GB2552032B (en) 2016-07-08 2019-05-22 Aimbrain Solutions Ltd Step-up authentication
US10198122B2 (en) 2016-09-30 2019-02-05 Biocatch Ltd. System, device, and method of estimating force applied to a touch surface
US10579784B2 (en) 2016-11-02 2020-03-03 Biocatch Ltd. System, device, and method of secure utilization of fingerprints for user authentication
RU2634182C1 (ru) * 2016-12-12 2017-10-24 Акционерное общество "Лаборатория Касперского" Способ противодействия несправедливым оценкам приложений
US10489593B2 (en) * 2017-06-27 2019-11-26 Symantec Corporation Mitigation of malicious actions associated with graphical user interface elements
US10397262B2 (en) 2017-07-20 2019-08-27 Biocatch Ltd. Device, system, and method of detecting overlay malware
US10652277B1 (en) * 2017-09-29 2020-05-12 Ca, Inc. Identifying and blocking overlay phishing
US20190108355A1 (en) * 2017-10-09 2019-04-11 Digital Guardian, Inc. Systems and methods for identifying potential misuse or exfiltration of data
US11606353B2 (en) 2021-07-22 2023-03-14 Biocatch Ltd. System, device, and method of generating and utilizing one-time passwords

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU103643U1 (ru) * 2010-11-01 2011-04-20 Закрытое акционерное общество "Лаборатория Касперского" Система противодействия фишинг атакам

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7114185B2 (en) * 2001-12-26 2006-09-26 Mcafee, Inc. Identifying malware containing computer files using embedded text
US8225403B2 (en) 2005-06-02 2012-07-17 Microsoft Corporation Displaying a security element to help detect spoofing
JP2007249805A (ja) * 2006-03-17 2007-09-27 Internatl Business Mach Corp <Ibm> 電子認証方法及び電子認証システム
US8205255B2 (en) * 2007-05-14 2012-06-19 Cisco Technology, Inc. Anti-content spoofing (ACS)
US8205260B2 (en) 2007-12-19 2012-06-19 Symantec Operating Corporation Detection of window replacement by a malicious software program
EP2202662A1 (en) 2008-12-24 2010-06-30 Gemalto SA Portable security device protecting against keystroke loggers
EP2513810B1 (en) * 2009-12-14 2016-02-17 Citrix Systems, Inc. Methods and systems for communicating between trusted and non-trusted virtual machines
US9286449B2 (en) 2011-01-21 2016-03-15 Paypal, Inc. System and methods for protecting users from malicious content
US8732831B2 (en) 2011-07-14 2014-05-20 AVG Netherlands B.V. Detection of rogue software applications
US9286471B2 (en) * 2011-10-11 2016-03-15 Citrix Systems, Inc. Rules based detection and correction of problems on mobile devices of enterprise users
US20130328902A1 (en) 2012-06-11 2013-12-12 Apple Inc. Graphical user interface element incorporating real-time environment data
US9202044B2 (en) * 2013-11-21 2015-12-01 The Board Of Regents, The University Of Texas System System and method for retrofitting application code

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU103643U1 (ru) * 2010-11-01 2011-04-20 Закрытое акционерное общество "Лаборатория Касперского" Система противодействия фишинг атакам

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2724125C1 (ru) * 2019-08-09 2020-06-22 Бейджин Сяоми Мобайл Софтвеа Ко., Лтд. Способ и устройство для шифрования модели нейронной сети и носитель данных

Also Published As

Publication number Publication date
DE202014011086U1 (de) 2017-09-20
RU2014131808A (ru) 2016-02-20
US20160036834A1 (en) 2016-02-04
US9282112B2 (en) 2016-03-08

Similar Documents

Publication Publication Date Title
RU2580032C2 (ru) Система и способ определения категории доверенности приложения
US12026257B2 (en) Method of malware detection and system thereof
US11936666B1 (en) Risk analyzer for ascertaining a risk of harm to a network and generating alerts regarding the ascertained risk
US11240262B1 (en) Malware detection verification and enhancement by coordinating endpoint and malware detection systems
RU2530210C2 (ru) Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы
US9838405B1 (en) Systems and methods for determining types of malware infections on computing devices
US9977895B2 (en) Malicious software identification integrating behavioral analytics and hardware events
WO2017152742A1 (zh) 一种网络安全设备的风险评估方法和装置
US11328056B2 (en) Suspicious event analysis device and related computer program product for generating suspicious event sequence diagram
EP3337106B1 (en) Identification system, identification device and identification method
US11531748B2 (en) Method and system for autonomous malware analysis
WO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
RU2666644C1 (ru) Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами
US12013942B2 (en) Rootkit detection based on system dump sequence analysis
US9177146B1 (en) Layout scanner for application classification
US11886585B1 (en) System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
KR101081875B1 (ko) 정보시스템 위험에 대한 예비경보 시스템 및 그 방법
RU2580053C2 (ru) Система и способ определения статуса неизвестного приложения
RU2758359C1 (ru) Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами
EP2750066B1 (en) System and method for detecting malware that interferes with a user interface
EP2980721A1 (en) System and method for determining a category of trust of applications performing an interface overlay
Howard et al. An approach for detecting malicious keyloggers
RU2769651C2 (ru) Способ формирования сигнатуры для обнаружения неправомерного доступа к компьютеру, получаемого с помощью средств удаленного администрирования, и реализующая его система
US20160197946A1 (en) System and Method for Monitoring a Computer System Using Machine Interpretable Code
Teufl et al. Android-On-device detection of SMS catchers and sniffers