RU2661533C1 - System and method of detecting the signs of computer attacks - Google Patents
System and method of detecting the signs of computer attacks Download PDFInfo
- Publication number
- RU2661533C1 RU2661533C1 RU2017133842A RU2017133842A RU2661533C1 RU 2661533 C1 RU2661533 C1 RU 2661533C1 RU 2017133842 A RU2017133842 A RU 2017133842A RU 2017133842 A RU2017133842 A RU 2017133842A RU 2661533 C1 RU2661533 C1 RU 2661533C1
- Authority
- RU
- Russia
- Prior art keywords
- information
- objects
- security
- computer
- database
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000001514 detection method Methods 0.000 claims abstract description 77
- 230000000694 effects Effects 0.000 claims abstract description 72
- 238000005516 engineering process Methods 0.000 claims abstract description 11
- 230000004224 protection Effects 0.000 claims description 60
- 230000008569 process Effects 0.000 claims description 33
- 230000001681 protective effect Effects 0.000 claims description 15
- 230000006870 function Effects 0.000 claims description 11
- 241000700605 Viruses Species 0.000 claims description 10
- 238000012360 testing method Methods 0.000 claims description 8
- 230000035515 penetration Effects 0.000 claims description 6
- 238000011084 recovery Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 4
- 230000026676 system process Effects 0.000 claims description 4
- 239000000126 substance Substances 0.000 abstract 1
- 230000009471 action Effects 0.000 description 20
- 230000006399 behavior Effects 0.000 description 12
- 230000000875 corresponding effect Effects 0.000 description 9
- 244000035744 Hura crepitans Species 0.000 description 7
- 238000011835 investigation Methods 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 6
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 230000001010 compromised effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 241001377938 Yara Species 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000002085 persistent effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 229920005669 high impact polystyrene Polymers 0.000 description 2
- 239000004797 high-impact polystyrene Substances 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000012407 engineering method Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000005923 long-lasting effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 230000001012 protector Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
В настоящее время помимо традиционного вредоносного программного обеспечения (которыми являются, например, вирусы, сетевые черви, клавиатурные шпионы, шифровальщики и пр.) широкое распространения получили компьютерные атаки и, в частности, направленные атаки (называются также целевыми или целенаправленными атаками, от англ. targeted attack - ТА), а также сложные атаки (англ. Advanced Persistent Threat - APT) на информационную систему (совокупность вычислительных устройств и используемых для их связи коммуникаций, информационную систему также называют корпоративной инфраструктурой. Злоумышленники могут иметь различные цели - от простой кражи личных данных сотрудников до промышленного шпионажа. Зачастую злоумышленники обладают информацией об архитектурах корпоративных сетей, о принципах внутреннего документооборота, об используемых средствах защиты сетей и компьютерных устройств или любой другой специфичной для информационной системы информацией. Данная информация позволяет злоумышленникам обходить существующие средства защиты, которые зачастую не обладают гибкостью настроек для удовлетворения всех потребностей информационной системы.Currently, in addition to traditional malicious software (which, for example, viruses, network worms, keyloggers, ransomware, etc.), computer attacks and, in particular, targeted attacks (also called targeted or targeted attacks) are widely used. targeted attack (TA), as well as complex attacks (Advanced Persistent Threat - APT) on an information system (a set of computing devices and communications used to communicate them, an information system is also called a corporation It’s a huge infrastructure, cybercriminals can have various goals - from simple theft of personal data of employees to industrial espionage.Often, cybercriminals have information about corporate network architectures, principles of internal document management, the means used to protect networks and computer devices, or any other information specific to an information system. This information allows attackers to circumvent existing security features, which often do not have the flexibility to configure etvoreniya all the needs of an information system.
Существующие технологии защиты от вредоносного программного обеспечения (ПО) и компьютерных угроз, такие как: сигнатурный анализ, эвристический анализ, эмуляция и другие имеют ряд недостатков, которые не позволяют обеспечить должный уровень защиты от направленных атак и других компьютерных атак. Например, они не позволяют обнаружить и расследовать неизвестные ранее угрозы, компьютерные атаки без применения вредоносного программного обеспечения, сложные атаки (с применением технологий обхода средств защиты) и долго протекающие атаки (от нескольких дней до нескольких лет), признаки которых стали известны спустя продолжительное время.Existing technologies for protection against malicious software (software) and computer threats, such as signature analysis, heuristic analysis, emulation, and others, have a number of disadvantages that do not allow ensuring the proper level of protection against targeted attacks and other computer attacks. For example, they do not allow detecting and investigating previously unknown threats, computer attacks without the use of malicious software, complex attacks (using protection bypass technologies) and long-running attacks (from several days to several years), the signs of which became known after a long time .
Таким образом, возникает техническая проблема, заключающаяся в низком качестве определения признаков компьютерных атак на информационную систему.Thus, a technical problem arises, consisting in the low quality of determining signs of computer attacks on an information system.
Из уровня техники известен способ обнаружения направленных атак (патент США US 9530016), заключающийся в обнаружении подозрительных исполняемых файлов на компьютерах пользователей и в последующей отправке данных файлов средству статического обнаружения. Средство статического обнаружения идентифицирует источник и приемник потенциальной атаки, далее декомпилирует исполняемый файл и исполняет декомпилированный файл для идентификации потоков данных между источником и приемником. Поток данных может содержать, например, конфиденциальные данные. В этом случае, подтверждается обнаружение направленной атаки.The prior art method for detecting directed attacks (US patent US 9530016), which consists in detecting suspicious executable files on users' computers and in the subsequent sending of these files to the static detection tool. The static detection tool identifies the source and receiver of the potential attack, then decompiles the executable file and executes the decompiled file to identify the data flows between the source and receiver. The data stream may contain, for example, confidential data. In this case, the detection of a directed attack is confirmed.
Однако известная из уровня техники технология во многих случаях не позволяет идентифицировать компьютерную атаку и ее признаки, т.к. для этого требуется передача исполняемого файла на сервер, и, кроме того, многие компьютерные и, в частности, направленные атаки проходят без использования вредоносного программного обеспечения. Таким образом, представленная выше технология не позволяет решить заявленную техническую проблему. Например, современные направленные атаки могут использовать PowerShell для динамического создания вредоносного кода и загрузки его непосредственно в память компьютера без оставления каких-либо артефактов на жестком диске - в этом случае нет образцов вредоносного ПО, а сам интерпретатор PowerShell вредоносным ПО не является. Другим примером может служить использование легитимных инструментов во вредоносных целях: утилит удаленного администрирования (LiteManager, TeamViewer и т.п.) - для удаленного управления скомпрометированным компьютеров, легальных утилит Windows (bitsadmin, certutil и т.п.) - для загрузки вредоносного ПО на скомпрометированные компьютеры, инструментов администрирования (wmic, psexec и т.п.) для удаленного запуска команд, атака типа «боковое перемещение» (англ. lateral movement, lateral movement attack - атака, в которой злоумышленник последовательно взламывает учетные данные пользователей сети для получения учетных данных администратора домена) и закрепления в скомпрометированной инфраструктуре.However, the technology known from the prior art in many cases does not allow identification of a computer attack and its signs, because this requires the transfer of the executable file to the server, and, in addition, many computer and, in particular, targeted attacks take place without the use of malicious software. Thus, the technology presented above does not allow to solve the claimed technical problem. For example, modern targeted attacks can use PowerShell to dynamically create malicious code and load it directly into the computer’s memory without leaving any artifacts on the hard drive — in this case, there are no malware samples, and the PowerShell interpreter itself is not malware. Another example is the use of legitimate tools for malicious purposes: remote administration utilities (LiteManager, TeamViewer, etc.) - for remotely managing compromised computers, legal Windows utilities (bitsadmin, certutil, etc.) - for downloading malware onto compromised computers, administration tools (wmic, psexec, etc.) for remote command launch, lateral movement attack (English lateral movement, lateral movement attack - an attack in which an attacker sequentially breaks user credentials network for obtaining domain administrator credentials) and securing it in a compromised infrastructure.
Раскрытие сущности изобретенияDisclosure of the invention
Первый технический результат заключается в реализации назначения.The first technical result is the implementation of the appointment.
Второй технический результат заключается в повышении качества определения признаков компьютерных атак на информационную систему по сравнению с известными аналогами.The second technical result is to improve the quality of determining the signs of computer attacks on an information system in comparison with well-known analogues.
Согласно варианту реализации, используется способ обнаружения признаков компьютерной атаки, в котором: с использованием по меньшей мере одного средства защиты, расположенного в информационной системе, собирают информацию по меньшей мере об одном объекте на компьютере; с использованием средства защиты передают средству обнаружения уведомление безопасности, включающее, в частности, информацию об упомянутом средстве защиты и собранную информацию об объекте, при этом средство обнаружения сохраняет полученное уведомление безопасности в базу данных объектов; с помощью средства обнаружения находят по меньшей мере один объект содержащийся в полученном уведомлении безопасности, в базе данных угроз; и с помощью средства обнаружения добавляют в базе данных объектов к упомянутому объекту метку, соответствующую упомянутому объекту в базе данных угроз; с использованием средства обнаружения выполняют поиск признаков подозрительной активности, содержащихся в базе данных подозрительной активности, на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в упомянутом уведомлении безопасности; при нахождении признака подозрительной активности, добавляют в базе данных объектов, в частности, к уведомлению безопасности метку, содержащуюся в базе данных подозрительной активности; выполняют обнаружение признаков компьютерной атаки путем выявления по крайней мере одной сигнатуры компьютерных атак из базы данных компьютерных атак среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов.According to an embodiment, a method for detecting signs of a computer attack is used, in which: using at least one security device located in the information system, information is collected about at least one object on the computer; using the protection means, a security notification is transmitted to the detection means, including, in particular, information about the said protection means and collected information about the object, while the detection means stores the received security notification in the object database; using the detection tool, find at least one object contained in the received security notification in the threat database; and using the detection tool, add a label in the object database to the said object corresponding to the object in the threat database; using the detection tool, they search for signs of suspicious activity contained in the database of suspicious activity based on the received security notification and the added tags of the object contained in the said security notification; when a sign of suspicious activity is found, they add to the object database, in particular, a label contained in the database of suspicious activity to the security notification; detect signs of a computer attack by detecting at least one computer attack signature from the computer attack database among the received objects, and security notifications, and marks of said objects, and security notification marks from the object database.
Согласно одному из частных вариантов реализации объектом является, в частности, один из: файл; процесс; URL-адрес.According to one particular embodiment, the object is, in particular, one of: a file; process; Url
Согласно другому частному варианту реализации средство защиты является, в частности, одним из следующих: средство защиты компьютера; средство защиты от направленных атак.According to another particular embodiment, the security measure is, in particular, one of the following: computer security measure; means of protection against targeted attacks.
Согласно еще одному частному варианту реализации с помощью средств защиты собирают, в частности, информацию о следующих объектах: поведение процессов; события в операционной системе; информация о межсетевом взаимодействии; показатели компрометации; вердикты средства защиты.According to another particular embodiment, with the help of protective equipment, information is collected, in particular, on the following objects: process behavior; events in the operating system; interworking information; indicators of compromise; verdicts of remedy.
Согласно одному из частных вариантов реализации признаки подозрительного поведения зависят от: тактик, технологий и процедур известных направленных атак; информации о направленных атаках, полученная при проведении тестов на проникновение.According to one particular implementation, the signs of suspicious behavior depend on: tactics, technologies, and procedures of known targeted attacks; information about targeted attacks obtained during penetration tests.
Согласно другому частному варианту реализации содержатся, в частности, следующие признаки подозрительного поведения: пользователь впервые выполнил аутентификацию на компьютере; произведен удаленный запуск объекта; выполнена очистка журнала операционной системы; осуществлена загрузка файла по сети от приложения, не являющегося браузером; выполнен запуск файлов, отсутствующих в белых списках, из подозрительных директорий; произведено удаление теневых копий; обнаружены переименованные утилиты удаленного администрирования; выполнено копирование файлов в сетевую папку администратора; использованы утилиты bcdedit.exe для отключения компонента ОС «восстановление системы»; системный процесс lsass.exe запустил файл или модифицировал файл на диске; выполнен обфусцированный сценарий PowerShell; произведен вызов функции Windows API; с помощью библиотеки Rundll32 запущены файлы из подозрительных путей.According to another particular embodiment, in particular, the following signs of suspicious behavior are contained: the user first authenticated to the computer; remote start of the object; The operating system log was cleared A file was downloaded over the network from an application that is not a browser; launched files that are not in the white lists from suspicious directories; Deleted shadow copies; renamed remote administration utilities detected; Copy files to the network administrator folder bcdedit.exe utilities were used to disable the system recovery OS component; lsass.exe system process launched a file or modified a file on disk; Run an obfuscated PowerShell script a call to the Windows API function was made; Using the Rundll32 library, files from suspicious paths were launched.
Согласно еще одному частному варианту реализации при нахождении признака подозрительной активности, дополнительно добавляют метку из базы данных подозрительной активности к средству защиты, содержащемуся в упомянутом уведомлении безопасности, а при выполнении обнаружения компьютерной атаки дополнительно основываются на сравнении выставленных меток к упомянутому средству защиты с сигнатурами компьютерных атак из базы данных направленных атак.According to another particular embodiment, when a sign of suspicious activity is found, an additional label is added from the database of suspicious activity to the security tool contained in the security notification, and when a computer attack is detected, it is additionally based on a comparison of the security tags with the computer security signatures from a database of targeted attacks.
Согласно одному из частных вариантов реализации информация об объекте дополнительно содержит, в частности, одно из: контрольная сумма объекта или контрольная сумма его части; источник появления объекта; результаты эмуляции исполнения объекта; журнал вызовов API-функций операционной системы со стороны объекта; время появления объекта в рамках вычислительного устройства; данные, передаваемые по сети объектом.According to one particular embodiment, the information about the object further comprises, in particular, one of: the checksum of the object or the checksum of its part; the source of the appearance of the object; emulation results of object execution; call log of API functions of the operating system from the side of the object; the time the object appeared in the framework of the computing device; data transmitted over the network by an entity.
Согласно другому частному варианту реализации при добавлении к объекту метки, из базы данных угроз, указывающей на необходимость предоставления объекта или дополнительной информации об указанном объекте, с помощью средства обнаружения запрашивают объект или дополнительную информацию об указанном объекте по меньшей мере у одного средства защиты, при этом после получения от средства защиты запрошенного объекта или дополнительной информации об указанном объекте выполняют шаги способа по отношению к вновь полученному объекту или дополнительной информации об указанном объекте.According to another particular embodiment, when a tag is added to an object, from the threat database indicating the need to provide the object or additional information about the specified object, the object or additional information about the specified object is requested from at least one security tool using the detection tool, while after receiving the requested object from the protective equipment or additional information about the specified object, the method steps are performed with respect to the newly received object or additional itelnoy information about the specified object.
Согласно еще одному частному варианту реализации при добавлении к уведомлению безопасности метки, указывающей на необходимость предоставления по меньшей мере одного объекта, содержащегося в уведомлении безопасности, или дополнительной информации об указанном объекте, с помощью средства обнаружения запрашивают объект или дополнительную информацию об указанном объекте по меньшей мере у одного средства защиты, при этом после получения от средства защиты запрошенного объекта или дополнительной информации об указанном объекте выполняют шаги способа по отношению к вновь полученному объекту или дополнительной информации об указанном объекте.According to another particular embodiment, when a label is added to the security notification indicating that it is necessary to provide at least one object contained in the security notification or additional information about the specified object, at least one object or additional information about the specified object is requested using the detection tool I have one remedy, and after receiving from the remedy the requested object or additional information about the specified object t steps of the method with respect to the newly received object or additional information about the specified object.
Согласно одному из частных вариантов реализации осуществляют с помощью средства обнаружения поиск в базе данных объектов среди объектов, содержащихся по меньшей мере на двух компьютерах, вирусной сигнатуры из базы данных угроз и, при совпадении вирусной сигнатуры с записями базы данных объектов, определяет объект как вредоносный и добавляет к упомянутому объекту в базе данных объектов метку, указывающую на то, что объект является вредоносным.According to one particular embodiment, using the detection tool, a search in the database of objects among objects contained in at least two computers searches for the virus signature from the threat database and, when the virus signature matches the records of the object database, determines the object as malicious and Adds a label to the mentioned object in the object database indicating that the object is malicious.
Согласно другому частному варианту реализации формируют с помощью средства обнаружения уведомление безопасности для обнаруженного вредоносного объекта, содержащее информацию об объекте и информацию о средствах защиты, на компьютерах которых содержится объект.According to another particular embodiment, a security notification for the detected malicious object is generated using the detection means, containing information about the object and information about the security features on which computers the object is contained.
Согласно еще одному частному варианту реализации собирают с помощью средства защиты информацию по меньшей мере об одном из следующих объектов: из списка вредоносных объектов; если объект отсутствует в списке безопасных объектов и в списке вредоносных объектов; из списка, сформированного администратором информационной системы.According to another particular embodiment, information is collected using at least one of the following objects using a security measure: from a list of malicious objects; if the object is not in the list of safe objects and in the list of malicious objects; from the list generated by the administrator of the information system.
Согласно одному из частных вариантов реализации дополнительно добавляют с использованием средства защиты к объекту на компьютере метку, в зависимости от информации об упомянутом объекте, собранной упомянутым средством защиты и, включают добавленную метку в уведомление безопасности.According to one particular embodiment, a label is additionally added using security features to an object on a computer, depending on the information about said object collected by said security means and the added label is included in the security notification.
Согласно другому частному варианту реализации добавляют с использованием средства защиты одну из следующих меток: вердикт средства защиты; запуск процесса из списка подозрительных запусков; объект отсутствует в списке безопасных объектов и отсутствует в списке вредоносных объект; удаленный запуск объекта; объект очистил записи системного журнала или журнала безопасности ОС; информация о несовпадении имени объекта и его контрольной суммы; метки, связанные с результатами поиска объекта по внешним источникам разведки компьютерных атак; объект есть на компьютерах, на которых обнаружены файлы, классифицированные как клавиатурный шпион, средство удаленного администрирования, средство мониторинга, и встречающийся на небольшом числе компьютеров; уникальные в рамках информационной системы задачи планировщика или настройки автозапуска или сервиса ОС или драйвера, отсутствующие в списка разрешенных задач; нарушение профиля аутентификации на компьютере; нарушения профиля сетевой активности процесса.According to another particular embodiment, one of the following marks is added using the security feature: the security judgment; starting a process from the list of suspicious starts; the object is not in the list of safe objects and is not in the list of malicious objects; remote start of the object; The object cleared the system log or OS security log entries. information about the mismatch of the name of the object and its checksum; tags related to the results of the object’s search for external sources of computer attack intelligence; the object is on computers on which files are classified as a keylogger, remote administration tool, monitoring tool, and found on a small number of computers; Unique tasks of the scheduler or settings for autorun or OS or driver service that are not in the list of allowed tasks; violation of the authentication profile on the computer; violations of the network activity profile of the process.
Согласно еще одному из частных вариантов реализации собирают с использованием средства защиты информацию об объектах на компьютере в течение заданного промежутка времени.According to another particular embodiment, information about objects on a computer is collected using a security tool for a specified period of time.
Согласно одному из частных вариантов реализации собирают с использованием средства защиты информацию о следующих объектах: из списка вредоносных и подозрительных объектов; которые отсутствуют в списке безопасных объектов и в списке вредоносных и подозрительных объектов; из списка объектов, сформированных администратором информационной системы.According to one of the private implementation options, information is collected using the protection tool about the following objects: from a list of malicious and suspicious objects; which are not in the list of safe objects and in the list of malicious and suspicious objects; from the list of objects generated by the administrator of the information system.
Согласно варианту реализации используется система обнаружения признаков компьютерной атаки, содержащая: информационную систему, в которой содержится по меньшей мере один компьютер; по меньшей мере одно средство защиты, установленное на по меньшей мере одном упомянутом компьютере, и предназначенное для: сбора информации по меньшей мере об одном объекте на компьютере; передачи средству обнаружения уведомления безопасности, включающего, в частности, информацию об упомянутом средстве защиты и собранную информацию об объекте; средство обнаружения, связанное по сети с информационной системой и предназначенное для: сохранения уведомлений безопасности в базу данных объектов; поиска объекта из уведомления безопасности в базе данных угроз; добавления в базу данных объектов к объекту метки, соответствующей упомянутому объекту в базе данных угроз; выполнения поиска признаков подозрительной активности, содержащихся в базе данных подозрительной активности, на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в упомянутом уведомлении безопасности; добавления в базу данных объектов, в частности, к уведомлению безопасности метки, содержащейся в базе данных подозрительной активности при нахождении признака подозрительной активности; выполнения обнаружения признаков компьютерной атаки путем выявления сигнатуры компьютерных атак из базы данных компьютерных атак среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов.According to an embodiment, a system for detecting signs of a computer attack is used, comprising: an information system that contains at least one computer; at least one security device installed on at least one of the aforementioned computer, and designed to: collect information about at least one object on the computer; transmitting to the detecting means a security notification including, in particular, information about said means of protection and collected information about the object; detection tool connected over the network with the information system and designed to: save security notifications to the database of objects; search for an object from a security notification in the threat database; adding to the database of objects to the object a label corresponding to the mentioned object in the threat database; performing a search for signs of suspicious activity contained in the database of suspicious activity based on the received security notification and the added tags of the object contained in the said security notification; adding objects to the database, in particular, to the security notification of the label contained in the database of suspicious activity when a sign of suspicious activity is found; performing detection of signs of a computer attack by detecting the signature of computer attacks from the database of computer attacks among the received objects, and security notifications, and marks of the mentioned objects, and security notification marks from the database of objects.
Краткое описание чертежейBrief Description of the Drawings
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present invention will be apparent from reading the following description of an embodiment of the invention with reference to the accompanying drawings, in which:
на Фиг. 1 представлена схема настоящего изобретения;in FIG. 1 is a schematic diagram of the present invention;
на Фиг. 2 приведен возможный пример модулей средства защиты компьютера;in FIG. 2 shows a possible example of modules for computer protection;
на Фиг. 3 приведен возможный пример модулей средства защиты от направленных атак;in FIG. Figure 3 shows a possible example of modules for defending against targeted attacks;
на Фиг. 4 представлена схема, иллюстрирующая процесс добавления меток к объектам и уведомлениям безопасности;in FIG. 4 is a diagram illustrating the process of adding labels to objects and security notifications;
на Фиг. 5 представлен вариант способа осуществления настоящего изобретения;in FIG. 5 shows an embodiment of a method for implementing the present invention;
на Фиг. 6а и 6б представлен пример добавления меток к объектам и уведомлениям безопасности;in FIG. 6a and 6b show an example of adding labels to objects and security notifications;
Фиг. 7 представляет пример компьютерной системы общего назначения.FIG. 7 is an example of a general purpose computer system.
Осуществление изобретенияThe implementation of the invention
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details provided to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined in the scope of the attached claims.
ГлоссарийGlossary
Определим ряд терминов, которые будут использоваться при описании вариантов осуществления изобретения.Define a number of terms that will be used to describe embodiments of the invention.
Показатели компрометации (англ. indicator of compromise, IOC, реже - индикаторы заражения) - в компьютерно-технической экспертизе так называют артефакты или остаточные признаки вторжения в информационную системы, наблюдаемые на компьютере или в сети. Типичными показателями компрометации являются, например, вирусные сигнатуры, IP-адреса, контрольные суммы файлов, URL-адреса, доменные имена командных центров ботнетов, которые были замечены в известных компьютерных атаках. Существует ряд стандартов показателей компрометации, в частности: OpenIOC (http://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/, http://openioc.org/), STIX (https://stix.mitre.org/), CybOX (https://cybox.mitre.org) и др.Indicators of compromise (English indicator of compromise, IOC, less commonly infection indicators) - in computer-technical examination, this is the name for artifacts or residual signs of an intrusion into an information system that are observed on a computer or on a network. Typical indicators of compromise are, for example, virus signatures, IP addresses, file checksums, URLs, domain names of botnet command centers that have been detected in known computer attacks. There are a number of standards of indicators of compromise, in particular: OpenIOC (http://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/, http://openioc.org/), STIX (https: //stix.mitre.org/), CybOX (https://cybox.mitre.org), etc.
Компьютерная атака - множество скрытых и продолжительных мероприятий, проводимых злоумышленником и направленных на информационную систему организации или физического лица с целью проникновения в сеть и нанесения различного рода ущерба организации или физическому лицу.Computer attack - a lot of hidden and long-term activities carried out by an attacker and aimed at the information system of an organization or individual in order to penetrate the network and cause various kinds of damage to the organization or individual.
Направленная атака (также целевая или целенаправленная атака, от англ. targeted attack - ТА) - компьютерная атака на информационную систему конкретной организации или конкретного физического лица с целью проникновения в сеть и нанесения различного рода ущерба организации или физическому лицу.Directed attack (also targeted or targeted attack, from the English targeted attack - TA) - a computer attack on the information system of a specific organization or a specific individual with the aim of penetrating the network and causing various kinds of damage to the organization or individual.
Сложная атака (англ. Advanced Persistent Threat - APT, также развитая устойчивая угроза или также целевая атака) - сложная, продолжительная, хорошо спланированная многоходовая компьютерная атака, использующая сложное вредоносное программное обеспечение (ПО), методы социальной инженерии и данные об информационной системе атакуемого.A sophisticated attack (Advanced Persistent Threat - APT, also a developed persistent threat or also a targeted attack) is a complex, long-lasting, well-planned multi-path computer attack that uses sophisticated malicious software (software), social engineering methods, and information about the information system of the attacked.
Неточный хеш (англ. fuzzy hash) или гибкая свертка - свертка файла, которая формируется таким образом, что небольшое изменения файла не повлечет за собой изменение свертки. То есть при обнаружении вредоносного файла при помощи значения его свертки также будут обнаружены множество похожих (возможно неизвестных) вредоносных файлов. Главная особенность такой свертки - инвариантность к небольшим изменениям файла. См., например, RU 2580036, RU 2614561.An inaccurate hash (English fuzzy hash) or flexible convolution is a convolution of a file, which is formed in such a way that a small change to the file does not entail a change in convolution. That is, when a malicious file is detected using its convolution value, many similar (possibly unknown) malicious files will also be detected. The main feature of such a convolution is the invariance to small file changes. See, for example, RU 2580036, RU 2614561.
Неточный вердикт - срабатывание средства защиты (антивирусного приложения) при обнаружении подозрительных действий файла, характерных для вредоносного файла. Неточный вердикт срабатывает, например, при обнаружении файла при помощи гибкой свертки. Неточный вердикт свидетельствует, что найденный файл является вредоносным с некоторой долей вероятности.Inaccurate verdict - triggering of a protection tool (anti-virus application) upon detection of suspicious file actions specific to a malicious file. An inaccurate verdict is triggered, for example, when a file is detected using flexible convolution. An inaccurate verdict indicates that the file found is malicious with some probability.
На Фиг. 1 представлена схема настоящего изобретения. Информационная система 100 (также - корпоративная инфраструктура) включает совокупность компьютеров 101, связанных между собой компьютерной сетью 105. Под компьютерами 101 в общем случае понимаются любые вычислительные устройства и сенсоры, в частности, персональные компьютеры, ноутбуки, смартфоны, а также коммуникационные устройства, такие как: маршрутизаторы, коммутаторы, концентраторы и пр. При этом информационная система 100 может быть организована с использованием любой известной из уровня техники топологии сети 105, например одного из следующих типов: полносвязная, шина, звезда, кольцо, ячеистая или смешанного типа. На части компьютеров 101 установлены средства защиты компьютеров 102. Стоит отметить, что на некоторых компьютерах 101 может быть не установлено средство защиты 102. Информационная система 100 может включать средство защиты от направленных атак 103, которое может быть расположено, например, на отдельном сервере. Сервер репутации 104 может располагаться в информационной системе 100 или в облачном сервисе поставщика услуги (т.е. быть связанным со средством обнаружения 110). Стоит отметить, что компьютер 101 может быть, как физическим устройством, так и виртуальной машиной. Для подключения компьютеров 101 посредством сети 105 к Интернету и средству обнаружения 110 может быть использованы прокси-серверы (на фигуре не указаны).In FIG. 1 is a schematic diagram of the present invention. The information system 100 (also corporate infrastructure) includes a set of
Средства защиты компьютера 102 и, опционально, средство защиты от направленных атак 103 служат для сбора информации об объектах на компьютере 101 и в сети 105 - то есть информации о подозрительных событиях, которые связаны с упомянутыми объектами на компьютерах 102 и в сети 105, и последующей передачи по сети 105 средству обнаружения 110 (облачный сервис поставщика услуг) уведомления безопасности, включающего, в частности, информацию о самом средстве защиты (идентификатор и пр.) и собранную информацию об объектах. В частном примере реализации уведомление безопасности может также включать метку времени (момент времени или интервал времени, в течение которого была собрана упомянутая информация об объекте). В частном варианте реализации объектом может быть, например, файл (хэш данного файла), процесс, URL-адрес, IP-адрес, сертификат, журнал исполнения файла или любой другой объект, обнаруженный на компьютере 101.The security features of the computer 102 and, optionally, the protection against targeted
В частном примере реализации с помощью средств защиты 102-103 собирают, в частности, следующую информацию об объектах:In a particular implementation example, using the means of protection 102-103, in particular, the following information about the objects is collected:
- поведение процессов (например, трасса выполнения);- the behavior of processes (for example, the execution path);
- события в операционной системе (ОС) - записи журнала событий ОС;- events in the operating system (OS) - entries in the OS event log;
- информация о межсетевом взаимодействии;- information about the interworking;
- показатели компрометации;- indicators of compromise;
- вердикты средства защиты или модулей средства защиты (в т.ч. числе неточные вердикты) или тестовые сигнатуры;- verdicts of the protective equipment or modules of the protective equipment (including inaccurate verdicts) or test signatures;
- метаданные объекта, в т.ч. контрольная сумма объекта.- object metadata, incl. object checksum.
Средство защиты от направленных атак 103 связано посредством сети 105 со средствами защиты компьютеров 102 и выполняет анализ сетевой активности информационной системы 100, а также функцию обнаружения направленных атак в информационной системе путем обнаружения объектов компьютеров 101 с использованием, в частности, «песочницы» (от англ. «sandbox» - компьютерная среда для безопасного исполнения процессов) и других детектирующих технологий (см. подробнее на Фиг. 2-3).The means of protection against directed
Средство защиты от целевых атак 103 собирает информацию, передаваемую в сетевом трафике. Таким образом средство защиты от целевых атак 103 собирает информацию о всех передаваемых по сети 105 объектах с компьютеров 101, в том числе с тех компьютеров 101, на которых не установлено средство защиты 102.The means of protection against targeted
Информация об объектах в сети 105 может включать вердикты средства защиты от направленных атак 103, подозрительное поведение в сетевом трафике, в DNS-трафике, результаты эмуляции объектов из почты или Интернета.Information about objects on the network 105 may include verdicts of means of protection against targeted
В частном варианте реализации средства защиты 102-103 собирают информацию о всех указанных выше объектах. В другом варианте реализации средства защиты 102-103 могут содержать список безопасных (легитимных) объектов (о которых точно известно, что они не являются вредоносными и подозрительными) и список вредоносных и подозрительных объектов (на фигуре не показано). В этом примере средства защиты 102-103 собирают информацию не только об объектах из списка вредоносных и подозрительных объектов, но также информацию о неизвестных объектах (которые отсутствуют в списке вредоносных и подозрительных объектов, а также в списке безопасных объектов).In a particular embodiment, the protective equipment 102-103 collect information about all of the above objects. In another embodiment, the protection means 102-103 may contain a list of safe (legitimate) objects (of which it is known for certain that they are not malicious and suspicious) and a list of malicious and suspicious objects (not shown in the figure). In this example, protection means 102-103 collect information not only about objects from the list of malicious and suspicious objects, but also information about unknown objects (which are not in the list of malicious and suspicious objects, as well as in the list of safe objects).
В еще одном примере реализации средства защиты 102-103 могут содержать список дополнительных объектов, о которых необходимо собирать информацию. Такой список объектов может быть сформирован, например, администратором 106. В еще одном частном примере реализации, администратор 106 может сформировать список вредоносных и подозрительных объектов и список безопасных объектов, добавляя или исключая объекты из указанных списков.In another example implementation, the protective equipment 102-103 may contain a list of additional objects about which it is necessary to collect information. Such a list of objects can be generated, for example, by the
Например, администратор 106 может указать список запрещенных действий и список разрешенных действий. Например, в информационной системе 100 может быть запрещено на части компьютеров 101 использование утилиты psexec, т.к. она может быть использована злоумышленниками для удаленного администрирования. Информация об объектах, связанных с запрещенными действиями, собирается средствами защиты 102-103. Таким образом, если на каком-либо компьютере 101 или в сети 105 было зафиксировано использование утилиты psexec, информация об использовании будет передана средству обнаружения 110, на котором будет добавлена соответствующая метка. При этом списки разрешенных и запрещенных действий могут храниться как в информационной системе 100, так и у средства обнаружения 110. Если средство защиты 103 обнаружило использование утилиты psexec на компьютере 110, на котором не установлено средство защиты 102, проверка допустимости использования psexec на данном компьютере и добавление соответствующей метки может быть произведено как средством защиты 103, так и средством обнаружения 110 с использованием списка запрещенных действий. В еще одном частном примере реализации, в случае отсутствия информации в списке запрещенных действий и в списке разрешенных действий, аналитический центр 115 может уточнить у администратора 106, допустимо ли обнаруженное действие и, в случае, если такое действие не допустимо, добавить соответствующую метку.For example,
Средство обнаружения 110 сохраняет полученное уведомление безопасности в базу данных объектов 112, и затем осуществляет поиск объектов из базы данных угроз 111 в полученных уведомлениях безопасности. При нахождении объекта из уведомления безопасности в базе данных угроз 111, средство обнаружения 111 добавляет в базу данных объектов 112 к найденному объекту метку, соответствующую ему в базе данных угроз 111. Соответствие может быть определено, например, по совпадению контрольной суммы объекта в базе данных угроз 111 и в базе данных объектов 112.
Метка объекта является характеристикой произошедшего на компьютере 101 события, связанного с найденным объектом или действия, произведенного объектом или над объектом. Таким образом, метка объекта будет добавлена к объекту в том и только том случае, когда на компьютере 101 произошло определенное событие или произведено определенное действие, связанное с объектом. В частном варианте реализации метки объекта характеризуют, например, вердикты средства защиты 102-103 и информацию о подозрительном поведении объекта (на основании информации об объекте). Таким образом, метка объекта включает, в частности, следующие события (здесь и далее подразумевается, что метка будет добавлена к объекту лишь в том случае, когда на компьютере 101 произошли указанные события, связанные с данным объектом, обнаруженные на основании полученной информации об объекте):An object label is a characteristic of an event occurring on a
- подмену DNS-сервера на компьютере;- substitution of the DNS server on the computer;
- отключение автоматического обновления операционной системы;- disabling automatic updating of the operating system;
- отключение сетевого экрана;- disable the firewall;
- отключение средства защиты;- disable protection;
- отключение UAC (англ. User Account Control, UAC - компонент ОС Windows, Контроль учетных записей пользователей).- Disabling UAC (Eng. User Account Control, UAC - component of the Windows OS, User Account Control).
В еще одном частном примере реализации метки объекта, добавляемые к объекту средством обнаружения 110 могут дополнительно включать следующие события:In yet another particular implementation example, object labels added to the object by the
- информация о несовпадении имени объекта и его контрольной суммы (например, исполняемый файл, являющийся приложением для удаленного доступа - TeamViewer, был переименован);- information about the mismatch of the name of the object and its checksum (for example, the executable file, which is an application for remote access - TeamViewer, has been renamed);
- нарушение профиля аутентификации на компьютере (в течение заданного периода времени (один, два и более дней), в течении которого осуществлялся сбор информации об объекте, на компьютере 101 была выполнена аутентификация определенного списка пользователей, а сейчас на компьютере 101 был аутентифицирован пользователь, отсутствующий в указанном списке);- violation of the authentication profile on the computer (within a specified period of time (one, two or more days), during which information about the object was collected, a certain list of users was authenticated on
- нарушение профиля сетевой активности процесса (в течение заданного периода времени (один, два и более дней), в течении которого осуществлялся сбор информации об объекте, процесс взаимодействовал по сети с определенным списком IP-адресов сети Интернет, после чего процесс связался по сети с IP-адресом, отсутствующим в указанном списке);- violation of the profile of the network activity of the process (for a specified period of time (one, two or more days), during which information about the object was collected, the process interacted over the network with a specific list of Internet IP addresses, after which the process contacted the network with IP address not in the specified list);
- уникальные в рамках данной информационной системы 100 задачи планировщика/настройки автозапуска/сервиса ОС/драйвера, отсутствующие в списке разрешенных задач;- tasks of the scheduler / autostart settings / OS service / driver settings that are unique within this information system 100 and are not in the list of allowed tasks;
- метки, связанные с результатами поиска объекта по внешним источникам разведки компьютерных атак (англ. cyber threat intelligence или threat intelligence);- tags associated with the object’s search results by external sources of computer attack intelligence (eng. cyber threat intelligence or threat intelligence);
- компьютеры 101, на которых обнаружены файлы, классифицированные как клавиатурный шпион (англ. keylogger), средство удаленного администрирования (англ. remote admin tool), средство мониторинга (англ. monitor), и встречающиеся на небольшом количестве компьютеров 101.-
В частном примере реализации, если объект не содержится в списке вредоносных объектов, для него средством обнаружения 110 может быть вычислена гибкая свертка. Затем может быть проверено, соответствует ли данной гибкой свертке какие-либо вредоносные объекты, и при положительном ответе исходный объект будет также помечен как вредоносный. Кроме того, для данного файла может быть создан и передан вердикт для средства защиты 102.In a particular implementation example, if the object is not contained in the list of malicious objects, a flexible convolution can be calculated for it using
С использованием средства обнаружения 110 выполняют поиск признаков подозрительной активности (т.е. характерных признаков компьютерных атак) в базе данных подозрительной активности 113 на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в упомянутом уведомлении безопасности. При нахождении признака подозрительной активности добавляют с помощью средства обнаружения 110, в частности к уведомлению безопасности, метку, содержащуюся в базе данных подозрительной активности 113. Метка указывает на наличие найденного признака подозрительной активности. Затем выполняют обнаружение признаков компьютерной атаки путем выявления сигнатуры компьютерных атак из базы данных компьютерных атак 114 среди полученных объектов и уведомлений безопасности и меток упомянутых объектов и уведомлений безопасности из базы данных объектов 112.Using the
Под признаком компьютерной атаки понимается выполнение условий, необходимых для инициации подробного расследования и подтверждения или опровержения направленной атаки аналитическим центром 115. В частном примере реализации при выявлении сигнатуры компьютерных атак можно однозначно утверждать не только о выявлении признаков компьютерной атаки, но также можно подтвердить выявление компьютерной атаки без необходимости проведения расследования аналитическом центром 115. В другом примере реализации при выявлении сигнатуры компьютерных атак нельзя однозначно подтвердить направленную атаки, и в этом случае потребуется дополнительное расследование аналитическом центром 115.A sign of a computer attack means the fulfillment of the conditions necessary to initiate a detailed investigation and confirm or refute a targeted attack by the
Как к объектам, так и к уведомлениям безопасности добавляют метки, которые являются характеристикой произошедшего события на компьютере 101 (компьютер 101, с которого собрана информация, содержащаяся в уведомлении безопасности) или действия, произошедшего на компьютере. Таким образом, метка будет добавлена к уведомлению безопасности в том и только том случае, когда на компьютере 101 произошло определенное событие или произведено определенное действие, которое подпадает под признак подозрительной активности.Both objects and security notifications are appended with tags that are characteristics of the event that occurred on computer 101 (
Метки к уведомлениям безопасности могут включать признаки подозрительной активности, которые в свою очередь являются, в частности, следующими:Labels for security notifications may include signs of suspicious activity, which in turn are, in particular, the following:
- пользователь впервые выполнил аутентификацию на компьютере; пример сценария наступления такого подозрительного события следующий. В течение месяца средство защиты 102 собирает список учетных записей пользователей (аккаунтов), успешно аутентифицированных на компьютере 101. Затем на компьютере 101 аутентифицируется пользователь с учетной записью, которая отсутствует в сформированном списке учетных записей;- the user first performed authentication on the computer; An example of a scenario for the occurrence of such a suspicious event is as follows. Within a month, the protection means 102 collects a list of user accounts (accounts) successfully authenticated on the
- произведен удаленный запуск объекта (файла/процесса);- made remote start of the object (file / process);
пример сценария наступления такого подозрительного события следующий. Был выполнен удаленный запуск объекта с использованием инфраструктуры Windows Management Instrumentation (WMI) или через службы ОС Windows;An example of a scenario for the occurrence of such a suspicious event is as follows. The object was launched remotely using the Windows Management Instrumentation (WMI) infrastructure or through Windows OS services;
- произведено удаление записей в журнале событий;- Deleted entries in the event log;
- осуществлена загрузка файла по сети от приложения, не являющегося браузером;- a file was downloaded over the network from an application that is not a browser;
- выполнен запуск файлов, отсутствующих в белых списках, из подозрительных каталогов;- Launched files that are not in the white lists from suspicious directories;
- произведено удаление теневых копий (например, с помощью утилиты vssadmin.exe - это свойственно многим вредоносным приложениям-шифровальщикам, для затруднения восстановления системы);- Shadow copies were deleted (for example, using the vssadmin.exe utility - this is typical of many malicious encryption programs to make system recovery difficult);
- обнаружены переименованные утилиты удаленного администрирования (AmmyyAdmin, Team Viewer и др.);- Found renamed remote administration utilities (AmmyyAdmin, Team Viewer, etc.);
- выполнено копирование файлов в сетевую папку администратора (С$, ADMIN$);- files were copied to the administrator’s network folder (C $, ADMIN $);
- использованы утилиты bcdedit.exe для отключения компонента ОС «восстановление системы» (англ. System startup repair);- bcdedit.exe utilities were used to disable the OS system recovery component (Eng. System startup repair);
- системный процесс lsass.exe запустил файл или модифицировал файл на диске;- the system process lsass.exe launched the file or modified the file on disk;
- выполнен обфусцированный сценарий PowerShell;- executed obfuscated PowerShell script;
- произведен вызов функции Windows API;- a call was made to the Windows API function;
была выполнена подозрительная команда PowerShell - вызов функций Windows API;a suspicious PowerShell command was executed - a call to the Windows API functions;
- с помощью библиотеки Rundll32 запущены файлы из подозрительных путей.- Using the Rundll32 library, files from suspicious paths were launched.
В частном примере реализации часть меток к объектам и меток к уведомлениям безопасности (и соответственно признаков подозрительной активности) могут совпадать. Например, несовпадение имени объекта и его контрольной суммы может являться как признаком подозрительной активности, так и может быть добавлено в качестве метки к объекту.In a particular implementation example, part of the labels for objects and labels for security notifications (and, accordingly, signs of suspicious activity) may coincide. For example, a mismatch between the name of the object and its checksum may be a sign of suspicious activity, or it may be added as a label to the object.
Сигнатура компьютерных (в частном примере - направленных) атак представляет собой набор следующих записей: список объектов, уведомления безопасности и метки упомянутых объектов и уведомлений безопасности, которые характерны для конкретных компьютерных атак и, в частности, для направленных атак. Таким образом, при нахождении определенной комбинации записей из сигнатуры направленной атаки можно утверждать об обнаружении атаки (или ее признаков). В одном частном примере реализации сигнатура компьютерной атаки содержит одновременно по меньшей мере одну запись об объекте, по меньшей мере одну запись об уведомлении безопасности, по меньшей мере одну метку объекта и по меньшей мере одну метку уведомления безопасности. В другом частном примере реализации сигнатура компьютерной атаки может содержит только одну или несколько из упомянутых записей - например, запись об одном объекте или запись об объекте и метке объекта. В еще одном частном примере реализации, сигнатура компьютерной атаки содержит по меньшей мере одну метку уведомления безопасности.The signature of a computer (in a particular example, targeted) attack is a set of the following entries: a list of objects, security notices, and labels of the mentioned objects and security notifications that are characteristic of specific computer attacks and, in particular, for targeted attacks. Thus, when finding a certain combination of records from the signature of a directed attack, it is possible to claim the detection of an attack (or its signs). In one particular embodiment, the computer attack signature contains at least one object record, at least one security notification record, at least one object label, and at least one security notification label. In another particular implementation example, a computer attack signature may contain only one or more of the mentioned records — for example, a record about one object or a record about an object and an object’s label. In yet another particular embodiment, the computer attack signature comprises at least one security notification label.
Для обнаружения всех видов признаков подозрительной активности (нарушение профиля сетевой активности процесса, компьютера, нарушение профиля сетевых входов и т.п.) может быть использована система машинного обучения без учителя - система сама обучается на основе поступающих уведомлений безопасности и проставленных меток. После обучения система будет ставить метки уведомлениям безопасности, для которых отсутствует метка в базе данных подозрительной активности 113. Кроме того, может быть использована система машинного обучения с учителем для решения задачи классификации поведения процесса или компьютера. При этом факторами являются признаки подозрительной активности, а обучение проводится на данных для известных обнаруженных компьютерных атаках.To detect all kinds of signs of suspicious activity (violation of the network activity profile of a process, computer, violation of the network inputs profile, etc.), a machine-learning system without a teacher can be used - the system itself is trained on the basis of incoming security notifications and affixed tags. After training, the system will label security notifications for which there is no label in the database of
База данных объектов 112 служит для хранения уведомлений безопасности, содержащих информацию об объектах, а также добавленные метки к объектам и метки к уведомлениям безопасности.The database of
База данных угроз 111 содержит данные об известных угрозах. В частности в базе данных угроз 111 содержатся идентификаторы и информация об объектах, являющихся признаками угроз. Каждый объект в базе данных угроз 111 помечен соответствующей меткой. Например, вредоносным объектам может соответствовать метка «вредоносный объект». Если объект использовался в конкретной направленной атаке, ему будет присвоена соответствующая метка.
Рассмотрим для примера известную направленную атаку "Turla". С ней связаны известные URL-адреса. И, таким образом, если объект, являющийся исполняемым файлом, обращался к упомянутому адресу, к данному объекту будет добавлена метка, указывающая на соответствующее действие. Например, метка «обращение к URL-адресу, связанному с APT Turla».For example, consider the well-known directional attack "Turla". Known URLs are associated with it. And thus, if the object, which is the executable file, accessed the mentioned address, a label indicating the corresponding action will be added to this object. For example, the label "access to the URL associated with APT Turla."
В еще одном примере с направленной атакой "Naikon APT" связан известный набор IP-адресов, и, если объект обращался к данному адресу, к объекту будет добавлена метка «обращение к IP-адресу, связанному с Naikon АРТ».In another example, a known set of IP addresses is associated with the Naikon APT targeted attack, and if the object accessed this address, the label “access the IP address associated with Naikon ART” will be added to the object.
База данных подозрительной активности 113 содержит список признаков подозрительной активности. При этом каждый признак подозрительной активности помечен специальной меткой, указывающей на то, с какой направленной атакой указанный признак подозрительной активности связан (примеры признаков подозрительной активности были приведены ранее).
В частном примере реализации, если объект помечен определенной совокупностью меток, к указанному объекту может быть добавлена дополнительная метка, указывающая на данную особенность. Таким образом, совокупность меток может быть также помечена меткой.In a particular implementation example, if an object is marked with a certain set of labels, an additional label can be added to the specified object, indicating this feature. Thus, a plurality of tags can also be tagged.
База данных компьютерных атак 114 содержит список сигнатур компьютерных или направленных атак.The database of
На Фиг. 2 приведен возможный пример модулей средства защиты компьютера. Средство защиты компьютера 102 может содержать модули, предназначенные для обеспечения безопасности компьютера 101: сканер по доступу, сканер по требованию, почтовый антивирус, веб-антивирус, модуль проактивной защиты, модуль HIPS (англ. Host Intrusion Prevention System - система предотвращения вторжений), DLP-модуль (англ. data loss prevention - предотвращение утечки данных), сканер уязвимостей, эмулятор, сетевой экран и др. В частном примере реализации указанные модули могут быть составной частью средства защиты 102. В еще в одном примере реализации данные модули могут быть реализованы в виде отдельных программных компонент.In FIG. Figure 2 shows a possible example of modules for computer protection. The computer protection tool 102 may contain modules designed to ensure the security of the computer 101: an on-access scanner, an on-demand scanner, mail antivirus, web antivirus, proactive protection module, HIPS module (Host Intrusion Prevention System), DLP -module (born data loss prevention), vulnerability scanner, emulator, firewall, etc. In a particular implementation example, these modules can be an integral part of security tool 102. In another example implementation, these modules could These are implemented as separate software components.
Сканер по доступу содержит функционал обнаружения вредоносной активности всех открываемых, запускаемых и сохраняемых файлов на компьютерной системе пользователя. Сканер по требованию отличается от сканера по доступу тем, что сканирует заданные пользователем файлы и директории по требованию пользователя.The access scanner contains functionality for detecting malicious activity of all opened, launched and saved files on the user's computer system. The on-demand scanner differs from the access scanner in that it scans user-specified files and directories on demand.
Почтовый антивирус необходим для контроля входящей и исходящей электронной почты на предмет содержания вредоносных объектов. Веб-антивирус служит для предотвращения исполнения вредоносного кода, который может содержаться на веб-сайтах при их посещении пользователем, а также для блокирования открытия веб-сайтов. Модуль HIPS служит для обнаружения нежелательной и вредоносной активности программ и блокирования ее в момент исполнения. DLP-модуль служит для обнаружения и предотвращения утечки конфиденциальных данных за пределы компьютера или сети. Сканер уязвимостей необходим для обнаружения уязвимостей на компьютере 101 (например, отключены некоторые компоненты средства защиты 102, устаревшие вирусные базы, закрыт сетевой порт и пр.). Сетевой экран осуществляет контроль и фильтрацию сетевого трафика в соответствии с заданными правилами. Работа эмулятора заключается в имитации гостевой системы во время исполнения кода в эмуляторе. Модуль проактивной защиты использует поведенческие сигнатуры для обнаружения поведения исполняемых файлов и их классификации по уровню доверия.Mail antivirus is required to control incoming and outgoing e-mail for the content of malicious objects. Web antivirus is used to prevent the execution of malicious code that may be contained on websites when they are visited by the user, as well as to block the opening of websites. The HIPS module serves to detect unwanted and malicious activity of programs and block it at the time of execution. The DLP module is used to detect and prevent confidential data from leaking out of a computer or network. Vulnerability scanner is required to detect vulnerabilities on computer 101 (for example, some components of protection tool 102 are disabled, outdated virus databases, the network port is closed, etc.). The firewall monitors and filters network traffic in accordance with the specified rules. The emulator works by simulating the guest system while the code is running in the emulator. The proactive defense module uses behavioral signatures to detect the behavior of executable files and classify them by trust level.
Приведенные модули при обнаружении вредоносного программного обеспечения (подозрительного поведения, спама и др. признаков компьютерной угрозы), создают соответствующее уведомление (которое далее может быть преобразовано в вердикт средства защиты 102), указывающее средству защиты об обнаруженной угрозе и необходимости выполнить действия по устранению угрозы (например, удаление или изменение файла, запрет исполнения и пр.). В частном примере реализации сам модуль, обнаруживший вредоносное ПО, может выполнить действия по устранению угрозы. В еще одном примере вердикт может быть неточным или тестовым (т.к. данный вердикт может давать ложные срабатывания) - в этом случае средство защиты не будет выполнять действий по устранению угрозы, но передаст уведомление далее, средству обнаружения 110. Стоит отметить, что вердикт средства защиты 102 является частью информации об объекте (файле, процессе), которая затем будет передана средству обнаружения 110 в виде уведомления безопасности.When the detected modules detect malicious software (suspicious behavior, spam, and other signs of a computer threat), they create a corresponding notification (which can then be converted to the verdict of protection means 102), indicating to the protection means about the detected threat and the need to take actions to eliminate the threat ( for example, deleting or modifying a file, prohibition of execution, etc.). In a particular implementation example, the module itself that detects malware can take actions to eliminate the threat. In another example, the verdict may be inaccurate or test (since this verdict can give false positives) - in this case, the security measure will not take action to eliminate the threat, but will send a notification to the
На Фиг. 3 приведен возможный пример модулей средства защиты от направленных атак. Средство защиты от направленных атак 103 может содержать, например, следующие модули защиты: «песочницу», систему обнаружения вторжений (англ. - Intrusion Detection System, IDS), репутационный сервис, модуль проверки YARA правил и другие модули обнаружения.In FIG. Figure 3 shows a possible example of protection against attack modules. The means of protection against targeted
Модуль «песочница» имеет функционал, аналогичный эмулятору средства защиты компьютера 102 с тем отличием, что «песочница» может использовать дополнительные вычислительные мощности и работать большее время, так как у средства защиты от направленных атак 103 отсутствуют ограничения по времени, присущие средству защиты компьютера 102.The sandbox module has a functionality similar to the emulator of the computer protection tool 102 with the difference that the sandbox can use additional computing power and work longer, since the protection against directed
«Песочница» является компьютерной средой для безопасного исполнения процессов и служит для определения подозрительной активности при исполнении процесса, запущенного из файла.The Sandbox is a computer environment for the safe execution of processes and is used to determine suspicious activity during the execution of a process launched from a file.
«Песочница» может быть реализована, например, в виде виртуальной машины, на основе частичной виртуализации файловой системы и реестра, на основе правил доступа к файловой системе и реестру или на основе смешанного подхода.A “sandbox” can be implemented, for example, in the form of a virtual machine, based on partial virtualization of the file system and registry, based on access rules to the file system and registry, or based on a mixed approach.
Система обнаружения вторжений является средством выявления фактов неавторизованного доступа в компьютерную систему 101 или сеть 105 либо несанкционированного управления ими.An intrusion detection system is a means of detecting unauthorized access to a
Сервер репутации может быть зеркалом или кэшированной копией сервера репутации 104 и, кроме того, содержит информацию о популярности объектов на компьютерах 101 (количество компьютеров 101, на которых имеется объект, количество запусков объекта и пр.).The reputation server can be a mirror or a cached copy of the
Модуль проверки YARA правил служит для проверки сигнатур YARA - открытого формата сигнатур (см. http://yararules.com/).The YARA rule validation module is used to validate YARA signatures, an open signature format (see http://yararules.com/).
DLP-модуль служит для обнаружения и предотвращения утечки конфиденциальных данных за пределы компьютера или сети.The DLP module is used to detect and prevent confidential data from leaking out of a computer or network.
Анализатор TI (англ. threat intelligence - разведка угроз) - модуль, выполняющий соотнесение объектов из отчетов о компьютерных атаках с информацией об объектах и с признаками подозрительного поведение. Например, анализатор TI может определить список IP-адресов командных центров, участвующих в известных компьютерных атаках. Полученную информацию анализатор TI передает модулю скоринга, который ранжирует информацию об объектах и признаки подозрительного поведения по значению вероятности принадлежности их к компьютерной атаке.TI analyzer (English threat intelligence - threat intelligence) is a module that compares objects from computer attack reports with information about objects and with signs of suspicious behavior. For example, the TI analyzer can determine the list of IP addresses of command centers involved in known computer attacks. The TI analyzer passes the received information to the scoring module, which ranks information about objects and signs of suspicious behavior by the probability of their belonging to a computer attack.
На Фиг. 4 представлена схема, иллюстрирующая процесс добавления меток к объектам и уведомлениям безопасности. Так, по меньшей мере одно из средств защиты 102-103 собирает информацию об объекте 401 и передает средству обнаружения 110 уведомление безопасности 402. Средство обнаружения 110 извлекает объект 401 из полученного уведомления безопасности 402 и выполняет поиск объекта 401 в базе данных угроз 111 (Уровень 1). При положительном результате поиска средство обнаружения 110 добавляет метку 410, соответствующую этому объекту 401, в базе данных угроз 111. В одном частном варианте реализации, при добавлении к упомянутому объекту 401 метки, учитывают собранную информацию о данном объекте. Например, если на компьютере был обнаружен объект 401, которому соответствуют определенные показатели компрометации (указанные в базе данных угроз 111), к нему будет добавлена метка, если же был обнаружен тот же объект 401, однако не были найдены определенные показатели компрометации, к нему не будет добавлена метка. Далее средство обнаружения 110 выполняет поиск признаков подозрительной активности (Уровень 2), содержащихся в базе данных подозрительной активности 113, на основании полученного уведомления безопасности 402 и добавленных меток 410 объекта 402. При нахождении признака подозрительной активности средство обнаружения 110 добавляет в базе данных объектов 112, в частности к уведомлению безопасности 402, метку 411, содержащуюся в базе данных подозрительной активности 113.In FIG. 4 is a diagram illustrating the process of adding labels to objects and security notifications. So, at least one of the protections 102-103 collects information about the object 401 and transmits a
В итоге, средство обнаружения 110 выполняет обнаружение направленной атаки (Уровень 3) 403 путем выявления сигнатуры направленных атак из базы данных компьютерных атак 114 среди полученных объектов 401, уведомлений безопасности 402 и меток к объектам 410 и к уведомлениям безопасности 411 из базы данных объектов 112.As a result, the
В частном примере реализации при подтверждении компьютерной атаки информация будет передана в аналитический центр 115, который, в свою очередь, уведомит администратора 106 информационной системы 100 об обнаруженной атаки с использованием, в частности, телекоммуникационной сети 120 или сети 105.In a particular implementation example, when a computer attack is confirmed, information will be transmitted to the
В другом частном примере реализации для подтверждения компьютерной атаки информация будет также передана в аналитический центр 115, который, в свою очередь, уведомит администратора 106 информационной системы 100 об обнаруженной атаки с использованием, в частности, телекоммуникационной сети 120 или сети 105. И, если администратор 106 сообщит о том, что действия, которые привели к выявлению сигнатуры компьютерной угрозы, являются легитимными, компьютерная атака будет опровергнута.In another particular implementation example, to confirm a computer attack, the information will also be transmitted to the
Однако в том случае, если администратор 106 сообщит, что действия, которые привели к выявлению сигнатуры компьютерной угрозы, не являются разрешенными, и если для выявления сигнатуры направленных атак из базы данных компьютерных атак 114 не хватает одной или нескольких записей из базы данных объектов 112, с использованием аналитического центра 115 может быть запрошена дополнительная информация у администратора 106. Дополнительная информация может включать, в частности, файлы одного или нескольких компьютеров 101, записи журналов средств защиты 102 (например, журнал сетевого экрана или журнал модуля проактивной защиты), дамп памяти одного или нескольких компьютеров 101, дамп диска одного или нескольких компьютеров 101.However, if the
Ниже, в таблице 1, приведены примеры запроса дополнительной информации аналитическим центром 115 у администратора 106.Table 1 below shows examples of requesting additional information by
Например, если вирусная сигнатура содержит неточный вердикт на память, то для подтверждения компьютерной атаки потребуется дамп памяти (пример 1). Остальные примеры подробно описаны в таблице 1. For example, if the virus signature contains an inaccurate verdict on the memory, then a memory dump will be required to confirm a computer attack (example 1). Other examples are described in detail in table 1.
В частном примере реализации признаки подозрительной активности зависят от тактик, технологий и процедур (англ. Tactics, Techniques and Procedures, TTP) компьютерных и, в частности, направленных атак.In a particular implementation example, the signs of suspicious activity depend on the tactics, technologies, and procedures (Tactics, Techniques and Procedures, TTP) of computer and, in particular, targeted attacks.
Приведем пример ТТР. Пользователь получил офисный документ в виде вложения по почте. Документ содержал макрос, пользователь согласился с его запуском. Запущенный макрос запустил интерпретатор PowerShell, который загрузил с сайта содержимое, закодированное по Base64, и запустил его без создания каких-либо файлов на диске. Запущенный код выполнился в контексте процесса PowerShell и выполнил закрепление в компьютерной системе путем создания записи в реестр HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, обеспечив запуск данного кода всякий раз при входе пользователя. Данный код представлял собой переименованный клиент TeamViewer, посредством которого злоумышленник осуществлял удаленный вход в скомпрометированную систему.We give an example of TTR. The user received an office document as an attachment by mail. The document contained a macro, the user agreed to run it. The launched macro launched the PowerShell interpreter, which downloaded Base64 encoded content from the site and ran it without creating any files on the disk. The launched code was executed in the context of the PowerShell process and performed pinning in the computer system by creating an entry in the registry HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, ensuring that this code is run whenever the user logs in. This code was a renamed TeamViewer client, through which an attacker made remote access to a compromised system.
В данном примере сработают следующие признаки подозрительной активности:In this example, the following signs of suspicious activity will work:
- запуск интерпретатора PowerShell из офисного приложения;- launch of the PowerShell interpreter from the office application;
- эвристический неточный вердикт на обфускацию параметров PowerShell (сжатие, кодирование BASE64 и т.п.);- a heuristic inaccurate verdict on obfuscating PowerShell parameters (compression, BASE64 encoding, etc.);
- HTTP-запрос от интерпретатора PowerShell;- HTTP request from the PowerShell interpreter;
- сайт, с которого было загружено вложение, ранее был обнаружен в распространении вредоносного ПО (содержится в списке вредоносных объектов);- the site from which the attachment was downloaded was previously detected in the distribution of malware (contained in the list of malicious objects);
- сканер по доступу выдал неточный вердикт по загруженному вложению (например, по похожести - результат отработки гибкой свертки);- the access scanner issued an inaccurate verdict on the loaded attachment (for example, by similarity - the result of working out a flexible convolution);
- с использованием репутационного сервера получена низкая репутация или популярность загруженного вложения;- Using a reputation server, a low reputation or popularity of a downloaded attachment was obtained;
- средство защиты 102 выдало неточный/точный вердикт при сканировании памяти процесса PowerShell после загрузки с сайта вредоносного содержимого;- protection tool 102 issued an inaccurate / accurate verdict when scanning the PowerShell process memory after downloading malicious content from the site;
- PowerShell модифицировал ключи реестра для автозапуска;- PowerShell modified registry keys for autorun;
- для файла, прописанного в автозапуске, хеш не соответствует имени (например, хеш файла соответствует хешу приложения Team Viewer, а имя файла - иное).- for a file specified in autorun, the hash does not match the name (for example, the hash of the file corresponds to the hash of the Team Viewer application, and the file name is different).
В еще одном примере реализации признаки подозрительной активности зависят от информации о направленных атаках, полученных при проведении тестов на проникновение (англ. penetration test, сокращенно - pentest). Например, группа тестирования на проникновения через уязвимость в протоколе SMB получила привилегированный доступ на компьютер администратора, где с помощью легальной утилиты создала дамп памяти процесса lsass.exe. Из дампа были извлечены аутентификационные данные, которые затем использовались для доступа к другим компьютерам в сети, откуда также были получены дампы памяти и также извлечены аутентификационные данные. Процесс повторялся многократно, пока не был получен доступ к аутентификационным данным администратора домена Windows.In yet another example of implementation, the signs of suspicious activity depend on information about targeted attacks received during penetration tests (eng. Penetration test, in abbreviated form - pentest). For example, an SMB vulnerability penetration testing group received privileged access to the administrator’s computer, where it created a dump of the lsass.exe process using a legal utility. Authentication data was extracted from the dump, which was then used to access other computers on the network, from which memory dumps were also obtained, and authentication data was also extracted. The process was repeated many times until access to the authentication credentials of the Windows domain administrator was obtained.
Примеры признаков подозрительной активности перечислены ранее, в описании к Фиг. 1.Examples of signs of suspicious activity are listed previously in the description of FIG. one.
На Фиг. 5 представлен вариант способа осуществления настоящего изобретения. На шаге 501 средство защиты компьютера 102 и/или средство защиты от направленных атак 103 собирает информацию об объектах (например, файлах, процессах) на компьютере 101. Далее, на шаге 502, указанные средства защиты передают средству обнаружения 110 уведомление безопасности, которое включает, в частности, информацию о самом средстве защиты и собранную информацию об объекте. При этом средство обнаружения 110 сохраняет полученное уведомление безопасности в базу данных объектов 112.In FIG. 5 shows an embodiment of a method for implementing the present invention. At
На шаге 503 средство обнаружения 110 выполняет поиск объектов из уведомлений безопасности в базе данных угроз 111. К найденным объектам на шаге 504 средство обнаружения 110 добавляет в базе данных объектов 112 метки, соответствующие этому объекту в базе данных угроз 111. На шаге 505 средство обнаружения 110 выполняет поиск признаков подозрительной активности, содержащихся в базе данных подозрительной активности 113, на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в уведомлении безопасности. На шаге 506, при нахождении признака подозрительной активности, средство обнаружения 110 добавляет в базе данных объектов 112, в частности к уведомлению безопасности метку, содержащуюся в базе данных подозрительной активности 113.In
На шаге 507 средство обнаружения 110 выполняет обнаружение признаков компьютерной атаки путем выявления сигнатуры компьютерных атак из базы данных компьютерных атак 114 среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов 112. После обнаружения признаков компьютерной атаки последующее расследование атаки будет проводится специалистами по компьютерной безопасности из аналитического центра 115, взаимодействующих с администратором 106. В частном примере реализации при выявлении сигнатуры компьютерных атак можно однозначно утверждать о выявлении не только признаков компьютерной атаки, но и подтвердить выявление компьютерной атаки без необходимости проведения расследования аналитическом центром 115. В другом примере реализации при выявлении сигнатуры компьютерных атак нельзя однозначно подтвердить направленную атаки, и в этом случае потребуется дополнительное расследование аналитическом центром 115.At
Таким образом, будет решена техническая проблема, заключающаяся в низком качестве определения признаков компьютерных атак на информационную систему и достигнуты заявленные технические результаты. А именно, реализовано назначение, а также повышено качество определения признаков компьютерных атак на информационную систему по сравнению с известными аналогами за счет выявления сигнатуры компьютерных атак среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов.Thus, a technical problem will be solved, consisting in the low quality of determining the signs of computer attacks on an information system and the claimed technical results will be achieved. Namely, the purpose has been implemented, and the quality of determining the signs of computer attacks on the information system has been improved compared to well-known counterparts by identifying the signatures of computer attacks among received objects, and security notifications, and marks of the mentioned objects, and security notification marks from the database of objects.
Стоит отметить, что некоторые атаки, в том числе направленные атаки, могут быть обнаружены средствами защиты 102-103, и в этом случае способ по Фиг. 5 будет завершен, а атака будет предотвращена средствами защиты 102-103 (путем удаления используемых в атаке файлов, блокировании трафика и прочих действий).It is worth noting that some attacks, including targeted attacks, can be detected by means of protection 102-103, in which case the method of FIG. 5 will be completed, and the attack will be prevented by means of protection 102-103 (by deleting the files used in the attack, blocking traffic and other actions).
В частном варианте реализации на шаге 501 средства защиты 102-103 собирают, в частности, информацию о таких объектах:In a particular embodiment, at
- поведение процессов;- process behavior;
- события в операционной системе;- events in the operating system;
- информация о межсетевом взаимодействии;- information about the interworking;
- показатели компрометации (IOC);- indicators of compromise (IOC);
- вердикты средства защиты (примеры модулей приведены на Фиг. 2-3).- verdicts of the protective equipment (examples of modules are shown in Figs. 2-3).
В частном варианте реализации при нахождении признака подозрительной активности дополнительно добавляют метку из базы данных подозрительной активности к средству защиты, информация о котором содержится в упомянутом уведомлении безопасности, а при выполнении обнаружения направленной атаки дополнительно основываются на сравнении выставленных меток к упомянутому средству защиты с сигнатурами компьютерных атак из базы данных компьютерных атак 114In a particular embodiment, when a sign of suspicious activity is found, a label from the database of suspicious activity is additionally added to the security tool, the information about which is contained in the mentioned security notification, and when performing a directed attack detection, they are additionally based on comparing the issued tags to the said security tool with computer attack signatures from the database of
В другом частном варианте реализации информация об объекте дополнительно содержит, в частности, одно из:In another particular embodiment, the information about the object further comprises, in particular, one of:
- контрольная сумма объекта или его части (например, контрольная сумма файла или его части) - например, CRC, хеш-функции: MD5, SHA-1, SHA-2, Kessak, ГОСТ Р 34.11-2012 и др.;- the checksum of the object or its part (for example, the checksum of the file or its part) - for example, CRC, hash functions: MD5, SHA-1, SHA-2, Kessak, GOST R 34.11-2012 and others;
- источник появления объекта (например, IP-адрес ресурса, с которого была произведена загрузка объекта);- the source of the appearance of the object (for example, the IP address of the resource from which the object was downloaded);
- результаты эмуляции исполнения объекта;- The results of the emulation of the execution of the object;
- журнал вызовов API-функций операционной системы со стороны объекта (если объект - процесс);- a call log of API functions of the operating system from the side of the object (if the object is a process);
- время появления объекта в рамках вычислительного устройства;- the time of the appearance of the object within the computing device;
- данные, передаваемые по сети объектом.- data transmitted over the network by the object.
В еще одном частном варианте реализации при добавлении на шаге 502 из базы данных угроз 111 к объекту метки, указывающей на необходимость предоставления объекта или дополнительной информации об указанном объекте, с помощью средства обнаружения 110 запрашивают объект или дополнительную информацию об указанном объекте по меньшей мере у одного средства защиты 102-103, при этом после получения от средства защиты запрошенного объекта или дополнительной информации об указанном объекте выполняют шаги 503-504 по отношению к вновь полученному объекту или дополнительной информации об указанном объекте.In yet another particular embodiment, when at
В еще одном частном варианте реализации при добавлении к уведомлению безопасности на шаге 506 метки, указывающей на необходимость предоставления по меньшей мере одного объекта, содержащегося в уведомлении безопасности, или дополнительной информации об указанном объекте, с помощью средства обнаружения запрашивают объект или дополнительную информацию об указанном объекте по меньшей мере у одного средства защиты информационной системы 100, при этом после получения от средства защиты запрошенного объекта или дополнительной информации об указанном объекте выполняют шаги 503-506 по отношению к вновь полученному объекту или дополнительной информации об указанном объекте.In another particular embodiment, when a label is added to the security notification in
На Фиг. 6а и 6б представлен пример добавления меток к объектам и уведомлениям безопасности согласно способу, описанному на Фиг. 5.In FIG. 6a and 6b show an example of adding labels to objects and security notifications according to the method described in FIG. 5.
Так, на шаге 502 после получения средством обнаружения 110 уведомлений безопасности от средства защиты, средство обнаружения 110 сохраняет уведомления безопасности в базу данных объектов 112. В данном примере были получены четыре уведомления безопасности о двух объектах (см. состояние 601 базы данных объектов 112 на Фиг. 6а).So, in
На шаге 503 средство обнаружения 110 выполняет поиск объектов из уведомлений безопасности в базе данных угроз 111. В данном примере только объект 1 содержится в базе данных угроз 111. Объекту 1 соответствуют метки объекта MO1, MO4, MO5, которые на шаге 504 будут добавлены в базу данных объектов 112 средством обнаружения 110. В итоге база данных объектов 112 примет состояние 602.In
На шаге 505 средство обнаружения 110 выполняет поиск признаков подозрительной активности, содержащихся в базе данных подозрительной активности 113, на основании полученного уведомления безопасности и добавленных меток объекта, информация о котором содержится в уведомлении безопасности (т.е. для базы данных объектов 112 в состоянии 602). В данном примере совпадение будет найдено для первого и второго признака подозрительной активности из базы данных подозрительной активности 113. Таким образом, на шаге 506 к уведомлению 2 для объекта 1 будет добавлена метка уведомления МУ1 из базы данных подозрительной активности 113, а для уведомления 4 - метка уведомления МУ2. База данных объектов 112 примет состояние 603 на Фиг. 6б.At
На шаге 507 средство обнаружения 110 выполняет обнаружение признаков компьютерной атаки путем выявления сигнатуры компьютерных атак из базы данных компьютерных атак 114 среди полученных объектов и уведомлений безопасности и меток упомянутых объектов и уведомлений безопасности из базы данных объектов 112 (состояние 603). В рассматриваемом примере, будет обнаружена первая сигнатура компьютерной атаки, т.к. в базе данных объектов 112 содержится одновременно объект 1 и метка MO1 и уведомление 2 и метка уведомления МУ1 (т.е. содержится первая сигнатура). Кроме того, будет обнаружена вторая сигнатура. Таким образом, в базе данных объектов 112 будут обнаружены сразу две сигнатуры, свидетельствующие о наличие признаков компьютерной атаки в информационной системе 100.At
Фиг. 7 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 7 is an example of a general purpose computer system, a personal computer or
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 7. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях (также - информационных системах), внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks (also - information systems), internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the
В соответствии с описанием, компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.In accordance with the description, components, execution steps, data structure described above can be performed using various types of operating systems, computer platforms, programs.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information provided in the description are examples that do not limit the scope of the present invention defined by the claims.
Claims (146)
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017133842A RU2661533C1 (en) | 2017-09-29 | 2017-09-29 | System and method of detecting the signs of computer attacks |
US15/923,581 US10873590B2 (en) | 2017-09-29 | 2018-03-16 | System and method of cloud detection, investigation and elimination of targeted attacks |
EP18171677.0A EP3462698B1 (en) | 2017-09-29 | 2018-05-10 | System and method of cloud detection, investigation and elimination of targeted attacks |
JP2018095395A JP7084778B2 (en) | 2017-09-29 | 2018-05-17 | Systems and methods for cloud-based detection, exploration and elimination of targeted attacks |
CN201810553206.5A CN109583193B (en) | 2017-09-29 | 2018-05-31 | System and method for cloud detection, investigation and elimination of target attacks |
US17/098,777 US11489855B2 (en) | 2017-09-29 | 2020-11-16 | System and method of adding tags for use in detecting computer attacks |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017133842A RU2661533C1 (en) | 2017-09-29 | 2017-09-29 | System and method of detecting the signs of computer attacks |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2661533C1 true RU2661533C1 (en) | 2018-07-17 |
Family
ID=62917253
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2017133842A RU2661533C1 (en) | 2017-09-29 | 2017-09-29 | System and method of detecting the signs of computer attacks |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2661533C1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2755252C2 (en) * | 2020-02-26 | 2021-09-14 | Акционерное общество "Лаборатория Касперского" | Method and system for assessing impact of software under study on availability of industrial automation systems |
RU2755606C2 (en) * | 2019-10-16 | 2021-09-17 | Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) | Method and system for classifying data for identifying confidential information in the text |
RU2757330C1 (en) * | 2020-06-19 | 2021-10-13 | Акционерное общество "Лаборатория Касперского" | Method for identifying inconsistent use of the resources of a user computing apparatus |
RU2769651C2 (en) * | 2020-08-24 | 2022-04-04 | Акционерное общество "Лаборатория Касперского" | Method for forming a signature for detecting unauthorised access to a computer obtained using remote administration means, and system implementing the method |
EP3918500B1 (en) * | 2019-03-05 | 2024-04-24 | Siemens Industry Software Inc. | Machine learning-based anomaly detections for embedded software applications |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU141239U1 (en) * | 2013-06-04 | 2014-05-27 | Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | DEVICE FOR DETECTING COMPUTER ATTACKS TO MILITARY INFORMATION-TELECOMMUNICATION NETWORKS |
RU2538292C1 (en) * | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of detecting computer attacks to networked computer system |
RU2587426C2 (en) * | 2013-12-27 | 2016-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of detecting directed attack on corporate infrastructure |
US9530016B1 (en) * | 2016-01-29 | 2016-12-27 | International Business Machines Corporation | Using source taint analysis to reduce false positives in an advanced persistent threat (APT) protection solution |
-
2017
- 2017-09-29 RU RU2017133842A patent/RU2661533C1/en active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU141239U1 (en) * | 2013-06-04 | 2014-05-27 | Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | DEVICE FOR DETECTING COMPUTER ATTACKS TO MILITARY INFORMATION-TELECOMMUNICATION NETWORKS |
RU2538292C1 (en) * | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of detecting computer attacks to networked computer system |
RU2587426C2 (en) * | 2013-12-27 | 2016-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of detecting directed attack on corporate infrastructure |
US9530016B1 (en) * | 2016-01-29 | 2016-12-27 | International Business Machines Corporation | Using source taint analysis to reduce false positives in an advanced persistent threat (APT) protection solution |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3918500B1 (en) * | 2019-03-05 | 2024-04-24 | Siemens Industry Software Inc. | Machine learning-based anomaly detections for embedded software applications |
RU2755606C2 (en) * | 2019-10-16 | 2021-09-17 | Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) | Method and system for classifying data for identifying confidential information in the text |
EA039466B1 (en) * | 2019-10-16 | 2022-01-31 | Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) | Method and system for classifying data in order to detect confidential information in a text |
RU2755252C2 (en) * | 2020-02-26 | 2021-09-14 | Акционерное общество "Лаборатория Касперского" | Method and system for assessing impact of software under study on availability of industrial automation systems |
RU2757330C1 (en) * | 2020-06-19 | 2021-10-13 | Акционерное общество "Лаборатория Касперского" | Method for identifying inconsistent use of the resources of a user computing apparatus |
RU2769651C2 (en) * | 2020-08-24 | 2022-04-04 | Акционерное общество "Лаборатория Касперского" | Method for forming a signature for detecting unauthorised access to a computer obtained using remote administration means, and system implementing the method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11489855B2 (en) | System and method of adding tags for use in detecting computer attacks | |
US11829473B2 (en) | System and method for detecting malicious files by a user computer | |
RU2661533C1 (en) | System and method of detecting the signs of computer attacks | |
Souppaya et al. | Guide to malware incident prevention and handling for desktops and laptops | |
US9223978B2 (en) | Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware | |
RU2697954C2 (en) | System and method of creating antivirus record | |
RU2762528C1 (en) | Method for processing information security events prior to transmission for analysis | |
Wong et al. | On the security of containers: Threat modeling, attack analysis, and mitigation strategies | |
Wong et al. | Threat modeling and security analysis of containers: A survey | |
Kardile | Crypto ransomware analysis and detection using process monitor | |
RU2750628C2 (en) | System and method for determining the file trust level | |
CN113824678B (en) | System, method, and non-transitory computer readable medium for processing information security events | |
Sheikh | Certified Ethical Hacker (CEH) Preparation Guide | |
RU2763115C1 (en) | Method for adjusting the parameters of a machine learning model in order to identify false triggering and information security incidents | |
Kumar et al. | A review on 0-day vulnerability testing in web application | |
RU2673407C1 (en) | System and method for identifying malicious files | |
Mullinix | An analysis of Microsoft event logs | |
Deep et al. | Security In Smartphone: A Comparison of Viruses and Security Breaches in Phones and Computers | |
Campbell | Security and Privacy Analysis of Employee Monitoring Applications | |
畑田充弘 | Toward Efficient Incident Handling Triage: Automated Threats Classification and Data-centric Talent Development | |
Jayarathna et al. | Hypervisor-based Security Architecture to Protect Web Applications. | |
CN117972676A (en) | Application detection method and device, electronic equipment and storage medium | |
Dunham | Malicious Code | |
Van Ruitenbeek et al. | The Common Misuse Scoring System (CMSS): Metrics for Software Feature Misuse Vulnerabilities (DRAFT) | |
Bass | Android security: Top to bottom—the reason Android needs standards |