RU2673407C1 - System and method for identifying malicious files - Google Patents

System and method for identifying malicious files Download PDF

Info

Publication number
RU2673407C1
RU2673407C1 RU2017136610A RU2017136610A RU2673407C1 RU 2673407 C1 RU2673407 C1 RU 2673407C1 RU 2017136610 A RU2017136610 A RU 2017136610A RU 2017136610 A RU2017136610 A RU 2017136610A RU 2673407 C1 RU2673407 C1 RU 2673407C1
Authority
RU
Russia
Prior art keywords
file
call log
local
computing device
network
Prior art date
Application number
RU2017136610A
Other languages
Russian (ru)
Inventor
Сергей Владимирович Гордейчик
Сергей Владимирович Солдатов
Константин Владимирович Сапронов
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2017136610A priority Critical patent/RU2673407C1/en
Application granted granted Critical
Publication of RU2673407C1 publication Critical patent/RU2673407C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

FIELD: information technology.SUBSTANCE: invention relates to computer security. This method for determining a malicious file in which at least the calls of API functions are recorded in the local call log of each computing device during the execution of the same files, during the execution of the file, the local log of calls for matching registered at least API function calls to behavioral rules from the local threat database is searched, in the case when no match to the behavioral rules is found, the local call log is transmitted to the detector, using the detection tool, the local call logs of the same files are combined into the combined call log, so that for each local call log, in the combined call log, there is at least one entry that is not in the local call log, entries from the combined call log matching at least one behavioral rule from the threat database are searched, when entries from the combined call log matching at least one behavioral rule from the threat database are found, the file is identified as malicious according to the found behavioral rule.EFFECT: improving the identification of a malicious file using behavioral rules.15 cl, 5 dwg

Description

Область техникиTechnical field

Изобретение относится к области компьютерной безопасности, а более конкретно к системам и способам определения вредоносного кода.The invention relates to the field of computer security, and more particularly to systems and methods for determining malicious code.

Уровень техникиState of the art

Традиционный сигнатурный анализ не всегда позволяет обнаружить вредоносные файлы, особенно полиморфные вирусы, обфусцированные (англ. obfuscated) файлы, а также шелл-код (англ. shellcode, код запуска оболочки).Traditional signature analysis does not always detect malicious files, especially polymorphic viruses, obfuscated (English obfuscated) files, as well as shell code (English shellcode, shell launch code).

Поэтому современные антивирусные приложения дополнительно используют проверку с использованием т.н. «песочницы» (от англ. «sandbox» - специально выделенная изолированная от остальной системы среда, ограничивающая выполняемым в ней процессам доступ и использование ресурсов). «Песочница» может быть реализована, например, в виде виртуальной машины, на основе частичной виртуализации файловой системы и реестра, на основе правил доступа к файловой системе и реестру или на основе смешанного подхода. Проверяемый файл исполняется в «песочнице». В ходе выполнения файла, информация о вызовах API-функций, системных событиях записывается в журнал вызовов. Антивирусное приложение далее анализирует полученный журнал вызовов. В журнале вызовов обычно сохраняют информацию о вызовах API-функций (англ. application programming interface, API), произведенных упомянутым файлом во время выполнения, а также информацию о возвратах из вызванных API-функций (передача управления по адресу возврата). Выполнение файла в песочнице обычно происходит в течение ограниченного промежутка времени (до нескольких десятков секунд). В то же время, при выполнении в «песочнице» файла, содержащего шелл-код, его обнаружение путем анализа журналов вызовов API-функций может быть затруднительным. Т.к. шелл-код мог быть загружен в память процесса, но выполнение процесса в песочнице прекратилось раньше, чем управление должно было быть передано на участок памяти, содержащей шелл-код.Therefore, modern anti-virus applications additionally use a scan using the so-called “Sandboxes” (from the English “sandbox” - a specially allocated environment isolated from the rest of the system, restricting access and use of resources to the processes performed in it). A “sandbox” can be implemented, for example, in the form of a virtual machine, based on partial virtualization of the file system and registry, based on access rules to the file system and registry, or based on a mixed approach. The file being checked is executed in the sandbox. During the execution of the file, information about calls to API functions and system events is recorded in the call log. The anti-virus application further analyzes the received call log. The call log usually stores information about calls to API functions (English application programming interface, API) made by the mentioned file at runtime, as well as information about returns from called API functions (transfer of control to the return address). File execution in the sandbox usually occurs within a limited period of time (up to several tens of seconds). At the same time, when executing a file containing shellcode in the sandbox, it can be difficult to detect it by analyzing the API function call logs. Because the shell code could be loaded into the process memory, but the execution of the process in the sandbox stopped before the control had to be transferred to the piece of memory containing the shell code.

Еще одной технологией обнаружения вредоносного кода в файле является эмуляция, которая заключается в имитации гостевой системы во время выполнения кода в эмуляторе.Another technology for detecting malicious code in a file is emulation, which consists in simulating the guest system while the code is running in the emulator.

В современных антивирусах упомянутые технологии применяются совместно. Обычно, вначале производится сигнатурный анализ файла, затем, если не было обнаружено вредоносное поведение, производится выполнение файла в эмуляторе или «песочнице». В случае, если вредоносное поведение не было обнаружено, файл будет выполнен непосредственно на компьютере пользователя (не в изолированной среде, как в случае «песочницы»). На этом этапе начинает работу еще один важный антивирусный модуль - поведенческий анализатор, который собирает и анализирует журнал вызовов API-функций в ходу выполнения файла на компьютере пользователя. С использованием установленных драйверов-перехватчиков, поведенческий анализатор выполняет перехват вызовов API-функций, производимых во время выполнения вредоносного кода, а также возвратов из вызванный API-функций и сохраняет их в журнал вызовов. Затем поведенческий анализатор производит поиск в журнале вызовов шаблонов известного вредоносного поведения и выдает вердикт (например, вирус, червь, троянская программа или условно нежелательное ПО). Принцип анализа журнала вызовов поведенческим анализатором схож с работой «песочницы» и эмулятора. Но у поведенческого анализатора отсутствуют недостатки, присущие упомянутым модулям - нет ограничений на время выполнения файла, не работают техники обнаружения и обхода эмулятора и «песочницы», т.к. файл выполняется на компьютере пользователя, а не в изолированной среде и не в эмуляторе.In modern antiviruses, these technologies are used together. Usually, a signature analysis of the file is performed first, then, if no malicious behavior has been detected, the file is executed in an emulator or sandbox. If no malicious behavior was detected, the file will be executed directly on the user's computer (not in an isolated environment, as in the case of the sandbox). At this stage, another important antivirus module starts working - a behavioral analyzer that collects and analyzes the call log of API functions during the execution of the file on the user's computer. Using the installed driver-interceptors, the behavioral analyzer intercepts calls to API functions made during the execution of malicious code, as well as returns from the called API functions and stores them in the call log. The behavioral analyzer then searches the call log for patterns of known malicious behavior and issues a verdict (for example, a virus, a worm, a trojan, or conditionally unwanted software). The principle of analyzing the call log by the behavioral analyzer is similar to the work of the sandbox and the emulator. But the behavioral analyzer has no drawbacks inherent in the mentioned modules - there are no restrictions on the file execution time, the techniques for detecting and bypassing the emulator and the sandbox do not work, because the file is executed on the user's computer, and not in an isolated environment and not in the emulator.

Но в то же время, поведение файла может отличаться в зависимости от среды выполнения или даже при запуске на одном компьютере с различными входными параметрами. Таким образом, поведение вредоносного файла при каждом запуске может не подпадать под известный шаблон вредоносного поведения. Техническая проблема заключается в низком качестве определения вредоносных файлов, поведение которых не подпадает под известные шаблоны вредоносного поведения.But at the same time, the behavior of the file may differ depending on the runtime or even when running on the same computer with different input parameters. Thus, the behavior of the malicious file at each start may not fall under the known pattern of malicious behavior. The technical problem is the low definition quality of malicious files whose behavior does not fall within the known patterns of malicious behavior.

Известен метод обнаружения вредоносного программного обеспечения в реальной среде выполнения (ЕР 3140732 А1). Метод заключается в регистрации производимых программным обеспечением операций в журнал и в поиске в данном журнале известных шаблонов вредоносного поведения. Однако, данные метод не позволяет решить заявленную техническую проблему, т.е. не сможет определить вредоносный файл, поведение которого не подпадает под известные шаблоны вредоносного поведения.A known method for detecting malicious software in a real runtime (EP 3140732 A1). The method consists in registering the operations performed by the software in a log and in searching in this log for known patterns of malicious behavior. However, these methods do not allow to solve the claimed technical problem, i.e. it will not be able to identify a malicious file whose behavior does not fall within known patterns of malicious behavior.

Раскрытие сущности изобретенияDisclosure of the invention

Технический результат заключается в реализации назначения.The technical result consists in the implementation of the appointment.

Технический результат заключается в повышении качества определения вредоносного файла с использованием поведенческих правил за счет осуществления поиска соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, где объединенный журнал вызовов получен путем объединения различных локальных журналов вызовов для одинаковых файлов по меньшей мере с двух вычислительных устройств.The technical result consists in improving the quality of determining a malicious file using behavioral rules by searching for matching entries from the combined call log to at least one behavioral rule from the threat database, where the combined call log is obtained by combining different local call logs for the same files at least at least two computing devices.

Согласно варианту реализации используется способ определения вредоносного файла, в котором: с использованием средств защиты, работающих по меньшей мере на двух вычислительных устройствах, регистрируют в локальный журнал вызовов каждого вычислительного устройства по меньшей мере вызовы API-функций во время выполнения одинаковых файлов; на каждом вычислительном устройстве с помощью средства защиты во время выполнения файла осуществляют поиск в локальном журнале вызовов соответствия зарегистрированных по меньшей мере вызовов API-функций поведенческим правилам из локальной базы данных угроз, расположенной на вычислительном устройстве, при этом в случае, когда не найдено ни одного соответствия поведенческим правилам, то средство защиты передает локальный журнал вызовов средству обнаружения, находящемуся на удаленном сервере; с помощью средства обнаружения объединяют локальные журналы вызовов одинаковых файлов, полученные по меньшей мере от двух средств защиты, в объединенный журнал вызовов, таким образом, что для каждого локального журнала вызовов, в объединенном журнале вызовов содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов; с помощью средства обнаружения осуществляют поиск соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, при этом упомянутая база данных угроз расположена на удаленном сервере и содержит по меньшей мере все правила локальной базы данных угроз каждого упомянутого вычислительного устройства; при нахождении соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, определяют файл как вредоносный согласно найденному поведенческому правилу.According to an embodiment, a method for determining a malicious file is used, in which: using security tools operating on at least two computing devices, at least calls to API functions are recorded in the local call log of each computing device during the execution of identical files; on each computing device, using a protection tool, during file execution, a search is made in the local call log for correspondence of at least API function calls registered to the behavioral rules from the local threat database located on the computing device, while in the case when no compliance with behavioral rules, the security tool transmits the local call log to the detection tool located on the remote server; using the detection tool, combine local call logs of the same files received from at least two security means into a combined call log, so that for each local call log, the combined call log contains at least one entry that is not in the local call log using the detection tool, they search for matching records from the combined call log for at least one behavioral rule from the threat database, while the said threat database is located on the remote server and contains at least all the rules of the local threat database of each mentioned computing device; when matching records from the combined call log to at least one behavioral rule from the threat database, the file is determined to be malicious according to the found behavioral rule.

Согласно одному из частных вариантов реализации с помощью средств защиты дополнительно регистрируют, в частности, следующую информацию: процедуры передачи управления по адресу возврата из API-функций; прямые вызовы Windows NT Native API-функций; возвраты из Windows NT Native API-функций; события выключения или перезагрузки компьютерной системы; события в операционной системе; показатели компрометации; системные вызовы; вердикты средства защиты; контрольную сумму от файла или контрольную сумму от части файла; источник появления файла; результаты эмуляции выполнения файла; время появления файла на вычислительном устройстве; данные, получаемые по сети файлом; данные, передаваемые по сети файлом; подмена DNS-сервера на компьютере; отключение автоматического обновления операционной системы; отключение сетевого экрана; отключение средства защиты; отключение компоненты «Контроль учетных записей пользователей»; отключение компонента операционной системы «восстановление системы»; отключение опции «показывать скрытые файлы, папки и диски» в файловом менеджере; изменение правил сетевого экрана; изменение файла hosts; удаление файлом самого себя.According to one particular embodiment, the following information is additionally recorded using security features, in particular, the following information: control transfer procedures to the return address from the API functions; Direct calls to Windows NT Native API functions Returns from Windows NT Native API Functions computer shutdown or reboot events; events in the operating system; indicators of compromise; system calls remedy verdicts; a checksum from a file or a checksum from a part of a file; the source of the file; file execution emulation results; the time the file appeared on the computing device; data received over the network by a file; data transmitted over the network by a file; spoofing a DNS server on a computer; disabling automatic updating of the operating system; disable the firewall; disable protection; disabling the "User Account Control" component; disabling the system recovery component of the system recovery; disabling the option “show hidden files, folders and drives” in the file manager; Change firewall rules Modify the hosts file deleting the file itself.

Согласно другому частному варианту реализации дополнительно регистрируют информацию, аналогичную приведенной ранее и связанную с дочерними процессами и новыми файлами, созданными упомянутым файлом.According to another particular embodiment, information similar to the one given above and associated with child processes and new files created by the said file is additionally recorded.

Согласно еще одному частному варианту реализации дополнительно с помощью средства защиты от направленных атак, которое расположено на отдельном удаленном сервере и связано посредством компьютерной сети по меньшей мере с одним вычислительным устройством, регистрируют в локальный журнал вызовов упомянутого средства защиты от направленных атак информацию, связанную с файлом, выполняемым на упомянутом вычислительном устройстве и проходящую через компьютерную сеть, после чего передают упомянутый локальный журнал вызовов средству обнаружения.According to another particular embodiment, additionally, using the means of protection against targeted attacks, which is located on a separate remote server and connected via a computer network to at least one computing device, information related to the file is recorded in the local call log of said protection against targeted attacks executed on said computing device and passing through a computer network, after which the said local call log is transmitted to the caller fishing

Согласно одному из частных вариантов реализации с помощью средства защиты от направленных атак регистрируют, в частности, следующую информацию: показатели компрометации; вердикты средства защиты; контрольную сумму от файла или контрольную сумму от части файла; источник загрузки файла на вычислительное устройство; данные, передаваемые по сети файлом; данные, получаемые по сети файлом; подмена DNS-сервера на компьютере.According to one particular embodiment, using the means of protection against directed attacks, the following information is recorded, in particular: compromise indicators; remedy verdicts; a checksum from a file or a checksum from a part of a file; file download source to the computing device; data transmitted over the network by a file; data received over the network by a file; spoofing a DNS server on a computer.

Согласно варианту реализации используется способ определения вредоносного файла, в котором: получают от каждого из по меньшей мере двух средств защиты, установленных на различных вычислительных устройствах, локальные журналы вызовов, которые содержат по меньшей мере записи о вызовах API-функций во время выполнения одинаковых файлов на каждом из упомянутых вычислительных устройств; объединяют упомянутые локальные журналы вызовов в объединенный журнал вызовов, таким образом, что для каждого локального журнала вызовов, в объединенном журнале вызовов содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов; с помощью средства обнаружения осуществляют поиск соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз; при нахождении соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, определяют файл как вредоносный согласно найденному поведенческому правилу.According to an embodiment, a method for determining a malicious file is used, in which: from each of at least two security devices installed on different computing devices, local call logs that contain at least records of API function calls during the execution of identical files on each of said computing devices; combining said local call logs into a combined call log, so that for each local call log, the combined call log contains at least one entry that is not in the said local call log; using the detection tool, they search for matching records from the combined call log for at least one behavioral rule from the threat database; when matching records from the combined call log to at least one behavioral rule from the threat database, the file is determined to be malicious according to the found behavioral rule.

Согласно одному из частных вариантов реализации с помощью средств защиты дополнительно регистрируют, в частности, следующую информацию: процедуры передачи управления по адресу возврата из API-функций; прямые вызовы Windows NT Native API-функций; возвраты из Windows NT Native API-функций; события выключения или перезагрузки компьютерной системы; события в операционной системе; показатели компрометации; системные вызовы; вердикты средства защиты; контрольную сумму от файла или контрольную сумму от части файла; источник появления файла; результаты эмуляции выполнения файла; время появления файла на вычислительном устройстве; данные, получаемые по сети файлом; данные, передаваемые по сети файлом; подмена DNS-сервера на компьютере; отключение автоматического обновления операционной системы; отключение сетевого экрана; отключение средства защиты; отключение компоненты «Контроль учетных записей пользователей»; отключение компонента операционной системы «восстановление системы»; отключение опции «показывать скрытые файлы, папки и диски» в файловом менеджере; изменение правил сетевого экрана; изменение файла hosts; удаление файлом самого себя.According to one particular embodiment, the following information is additionally recorded using security features, in particular, the following information: control transfer procedures to the return address from the API functions; Direct calls to Windows NT Native API functions Returns from Windows NT Native API Functions computer shutdown or reboot events; events in the operating system; indicators of compromise; system calls remedy verdicts; a checksum from a file or a checksum from a part of a file; the source of the file; file execution emulation results; the time the file appeared on the computing device; data received over the network by a file; data transmitted over the network by a file; spoofing a DNS server on a computer; disabling automatic updating of the operating system; disable the firewall; disable protection; disabling the "User Account Control" component; disabling the system recovery component of the system recovery; disabling the option “show hidden files, folders and drives” in the file manager; Change firewall rules Modify the hosts file deleting the file itself.

Согласно одному из частных вариантов реализации дополнительно регистрируют информацию, аналогичную приведенной ранее и связанную с дочерними процессами и новыми файлами, созданными упомянутым файлом.According to one particular embodiment, information similar to that given earlier and associated with child processes and new files created by the said file is additionally recorded.

Согласно другому частному варианту реализации дополнительно получают локальный журнал вызовов от средства защиты от направленных атак, которое расположено на отдельном удаленном сервере и связано посредством компьютерной сети по меньшей мере с одним вычислительным устройством, при этом упомянутый локальный журнал вызовов содержит информацию, связанную с файлом, выполняемым на упомянутом вычислительном устройстве и проходящую через компьютерную сеть.According to another particular embodiment, a local call log is additionally obtained from means of protection against directed attacks, which is located on a separate remote server and is connected via a computer network to at least one computing device, said local call log containing information related to a file being executed on said computing device and passing through a computer network.

Согласно еще одному частному варианту реализации локальный журнал вызовов от средства защиты от направленных атак содержит, в частности, следующую информацию: показатели компрометации; вердикты средства защиты; контрольную сумму от файла или контрольную сумму от части файла; источник загрузки файла на вычислительное устройство; данные, передаваемые по сети файлом; данные, получаемые по сети файлом; подмена DNS-сервера на компьютере.According to yet another particular embodiment, the local call log from the means of protection against directed attacks contains, in particular, the following information: indicators of compromise; remedy verdicts; a checksum from a file or a checksum from a part of a file; file download source to the computing device; data transmitted over the network by a file; data received over the network by a file; spoofing a DNS server on a computer.

Согласно варианту реализации используется система определения вредоносного файла, содержащая: по меньшей мере два вычислительных устройства, на каждом из которых содержится локальная база данных угроз и установлено средство защиты, с использованием которого: регистрируют в локальный журнал вызовов каждого вычислительного устройства по меньшей мере вызовы API-функций во время выполнения одинаковых файлов; во время выполнения файла осуществляют поиск в локальном журнале вызовов соответствия зарегистрированных по меньшей мере вызовов API-функций поведенческим правилам из локальной базы данных угроз, расположенной на вычислительном устройстве; передают локальный журнал вызовов средству обнаружения, находящемуся на удаленном сервере в случае, когда не найдено ни одного поведенческого правила; удаленный сервер, содержащий базу данных угроз, которая содержит по меньшей мере все записи локальной базы данных угроз каждого упомянутого вычислительного устройства; средство обнаружения, связанное с базой данных угроз и предназначенное для: объединения локальных журналов вызовов одинаковых файлов, полученных по меньшей мере от двух средств защиты, в объединенный журнал вызовов, таким образом, что для каждого локального журнала вызовов, в объединенном журнале вызовов содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов; осуществления поиска соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз; определения файла как вредоносный при нахождении соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз.According to an embodiment, a malicious file detection system is used, comprising: at least two computing devices, each of which contains a local threat database and a security tool is installed, using which: at least API calls are recorded in the local call log of each computing device functions at runtime of identical files; during the execution of the file, they search in the local call log for correspondence of at least API function calls registered to the behavioral rules from the local threat database located on the computing device; transmitting the local call log to the discovery tool located on the remote server in the case when no behavioral rule is found; a remote server containing a threat database, which contains at least all entries of the local threat database of each of the computing devices; detection tool associated with the threat database and intended for: combining local call logs of the same files received from at least two security means into a combined call log, so that for each local call log, the combined call log contains at least at least one entry that is not in the said local call log; search for matching entries from the combined call log to at least one behavioral rule from the threat database; determining the file as malicious when matching entries from the combined call log to at least one behavioral rule from the threat database.

Согласно одному из частных вариантов реализации средства защиты дополнительно предназначены для регистрации, в частности, следующую информацию: процедуры передачи управления по адресу возврата из API-функций; прямые вызовы Windows NT Native API-функций; возвраты из Windows NT Native API-функций; события выключения или перезагрузки компьютерной системы; события в операционной системе; показатели компрометации; системные вызовы; вердикты средства защиты; контрольную сумму файла или его части; источник появления файла; результаты эмуляции выполнения файла; время появления файла на вычислительном устройстве; данные, получаемые по сети файлом; данные, передаваемые по сети файлом; подмена DNS-сервера на компьютере; отключение автоматического обновления операционной системы; отключение сетевого экрана; отключение средства защиты; отключение компоненты «Контроль учетных записей пользователей»; отключение компонента операционной системы «восстановление системы»; отключение опции «показывать скрытые файлы, папки и диски» в файловом менеджере; изменение правил сетевого экрана; изменение файла hosts; удаление файлом самого себя.According to one particular embodiment, the security features are additionally designed for registration, in particular, the following information: control transfer procedures to the return address from the API functions; Direct calls to Windows NT Native API functions Returns from Windows NT Native API Functions computer shutdown or reboot events; events in the operating system; indicators of compromise; system calls remedy verdicts; checksum of a file or its part; the source of the file; file execution emulation results; the time the file appeared on the computing device; data received over the network by a file; data transmitted over the network by a file; spoofing a DNS server on a computer; disabling automatic updating of the operating system; disable the firewall; disable protection; disabling the "User Account Control" component; disabling the system recovery component of the system recovery; disabling the option “show hidden files, folders and drives” in the file manager; Change firewall rules Modify the hosts file deleting the file itself.

Согласно одному из частных вариантов реализации средство защиты дополнительно предназначено регистрации информации, аналогичной приведенной ранее и связанной с дочерними процессами и новыми файлами, созданными упомянутым файлом.According to one particular embodiment, the security measure is additionally designed to register information similar to that given earlier and associated with child processes and new files created by the said file.

Согласно другому частному варианту реализации система определения вредоносного файла дополнительно содержит средство защиты от направленных атак, которое расположено на отдельном удаленном сервере и связано посредством компьютерной сети по меньшей мере с одним вычислительным устройством, при этом предназначено для регистрации в локальный журнал вызовов упомянутого средства защиты от направленных атак информации, связанной с упомянутым файлом и проходящей через компьютерную сеть, а также для передачи упомянутого локального журнала вызовов средству обнаружения.According to another particular embodiment, the malicious file detection system further comprises a means of protection against targeted attacks, which is located on a separate remote server and is connected via a computer network to at least one computing device, and is designed to register the said means of protection against directed to a local call log attacks of information related to the file and passing through the computer network, as well as to transmit the said local log call detection means.

Согласно еще одному частному варианту реализации с помощью средства защиты от направленных атак регистрируют, в частности, следующую информацию: показатели компрометации; вердикты средства защиты; контрольную сумму от файла или контрольную сумму от части файла; источник загрузки файла на вычислительное устройство; данные, передаваемые по сети файлом; данные, получаемые по сети файлом; подмена DNS-сервера на компьютере.According to another particular embodiment, using the means of protection against directed attacks, the following information is recorded, in particular: compromise indicators; remedy verdicts; a checksum from a file or a checksum from a part of a file; file download source to the computing device; data transmitted over the network by a file; data received over the network by a file; spoofing a DNS server on a computer.

Краткое описание чертежейBrief Description of the Drawings

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present invention will be apparent from reading the following description of an embodiment of the invention with reference to the accompanying drawings, in which:

На Фиг. 1 представлена схема настоящего изобретения.In FIG. 1 is a schematic diagram of the present invention.

На Фиг. 2 приведен возможный пример модулей средства защиты вычислительного устройства.In FIG. Figure 2 shows a possible example of modules for the protection of a computing device.

На Фиг. 3 приведен возможный пример модулей средства защиты от направленных атак.In FIG. Figure 3 shows a possible example of protection against attack modules.

На Фиг. 4 представлена схема способа определения вредоносного файла.In FIG. 4 is a diagram of a method for determining a malicious file.

Фиг. 5 представляет пример компьютерной системы общего назначения.FIG. 5 is an example of a general purpose computer system.

Осуществление изобретенияThe implementation of the invention

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако, настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details provided to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined in the scope of the attached claims.

ГлоссарийGlossary

Определим ряд терминов, которые будут использоваться при описании вариантов осуществления изобретения.Define a number of terms that will be used to describe embodiments of the invention.

Показатели компрометации (англ. indicator of compromise, ЮС, реже - индикаторы заражения) - артефакты или остаточные признаки вторжения в информационную систему, наблюдаемые на компьютере или в сети. Типичными показателями компрометации являются вирусные сигнатуры, IP-адреса, контрольные суммы файлов, URL-адреса, доменные имена командных центров ботнетов и др. Существует ряд стандартов показателей компрометации, в частности:Indicators of compromise (English indicator of compromise, US, less commonly infection indicators) - artifacts or residual signs of an intrusion into an information system, observed on a computer or on a network. Typical indicators of compromise are virus signatures, IP addresses, file checksums, URLs, domain names of botnet command centers, etc. There are a number of standards for indicators of compromise, in particular:

- ОреnIOC (http://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/, http://openioc.org/),- OrenIOC (http://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/, http://openioc.org/),

- STIX (https://stix.mitre.org/),- STIX (https://stix.mitre.org/),

- CybOX (https://cybox.mitre.org) и др.- CybOX (https://cybox.mitre.org), etc.

Компьютерная атака (также кибератака, от англ. cyber attack) - целенаправленное воздействие на информационные системы и информационно-телекоммуникационные сети программно-техническими средствами, осуществляемое в целях нарушения безопасности информации в этих системах и сетях (см. «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012 N 803)).A computer attack (also a cyber attack, from the English cyber attack) is a targeted impact on information systems and information and telecommunication networks by software and hardware, carried out in order to violate the security of information in these systems and networks (see. "The main directions of state policy in the field of ensuring security of automated control systems for production and technological processes of critical infrastructure of the Russian Federation ”(approved by the President of the Russian Federation 03.02.2012 N 803)).

Направленная атака (также целевая или целенаправленная атака, от англ. targeted attack - ТА) - частный случай компьютерной атаки, направленной на конкретную организацию или конкретного физического лица.Directed attack (also targeted or targeted attack, from the English targeted attack - TA) is a special case of a computer attack aimed at a specific organization or a specific individual.

Сложные атаки (англ. Advanced Persistent Threat - APT, также развитая устойчивая угроза или также целевая атака) - сложная, продолжительная, хорошо спланированная многоходовая компьютерная атака, использующая сложное вредоносное программное обеспечение (ПО), методы социальной инженерии и данные об информационной системе атакуемого.Complex attacks (Advanced Persistent Threat - APT, also a developed persistent threat or also a targeted attack) - a complex, long-lasting, well-planned multi-path computer attack using sophisticated malicious software (software), social engineering methods and information about the information system of the attacked.

Неточный хеш (англ. fuzzy hash) или гибкая свертка (англ. locality sensitive hash) - свертка файла, устойчивая к изменениям файла по которому она формируется. То есть при обнаружении вредоносного файла при помощи значения его свертки также будет детектироваться множество похожих (возможно неизвестных) вредоносных файлов. Главная особенность такой свертки - инвариантность к небольшим изменениям файла. См, например: RU 2580036, RU 2614561.An inaccurate hash (English fuzzy hash) or flexible convolution (English locality sensitive hash) is a convolution of a file that is resistant to changes to the file by which it is generated. That is, when a malicious file is detected using the value of its convolution, a lot of similar (possibly unknown) malicious files will also be detected. The main feature of such a convolution is the invariance to small file changes. See, for example: RU 2580036, RU 2614561.

Неточный вердикт - срабатывание средства защиты (антивирусного приложения) при обнаружении подозрительных действий во время выполнения файла, характерных для вредоносного файла. Неточный вердикт срабатывает, например, при обнаружении файла при помощи гибкой свертки. Неточный вердикт свидетельствует, что найденный файл является вредоносным с некоторой долей вероятности.Inaccurate verdict - the operation of a protection tool (anti-virus application) when it detects suspicious actions during file execution that are characteristic of a malicious file. An inaccurate verdict is triggered, for example, when a file is detected using flexible convolution. An inaccurate verdict indicates that the file found is malicious with some probability.

На Фиг. 1 представлена компьютерная система, служащая для определения вредоносного файла с использованием поведенческих правил. Информационная система 100 (также - корпоративная инфраструктура) включает совокупность вычислительных устройств 101 (также, для краткости, компьютеры), связанных между собой компьютерной сетью 105. Под вычислительными устройствами 101 в общем случае понимаются любые вычислительные устройства и сенсоры, в частности, персональные компьютеры, ноутбуки, смартфоны, а также коммуникационные устройства, такие как: маршрутизаторы, коммутаторы, концентраторы и пр. Стоит отметить, что вычислительное устройство 101 может быть, как физическим устройством, так и виртуальной машиной. Информационная система 100 может быть организована с использованием любой известной из уровня техники топологии сети 105, например одного из следующих типов: полносвязная, шина, звезда, кольцо, ячеистая или смешанного типа. На части вычислительных устройств 101 установлены средства защиты вычислительных устройств 102. Стоит отметить, что на некоторых вычислительных устройствах 101 может быть не установлено средство защиты 102. Информационная система 100 может включать средство защиты от направленных атак 103, которое может быть расположено, например, на отдельном удаленном сервере и связано посредством компьютерной сети 105 по меньшей мере с одним вычислительным устройством 101. Для подключения вычислительных устройств 101 посредством сети 105 к Интернету и средству обнаружения 110, могут быть использованы прокси-серверы (на фигуре не указаны).In FIG. Figure 1 shows a computer system used to determine a malicious file using behavioral rules. The information system 100 (also the corporate infrastructure) includes a set of computing devices 101 (also, for brevity, computers) interconnected by a computer network 105. Computing devices 101 generally refer to any computing devices and sensors, in particular personal computers, laptops, smartphones, as well as communication devices such as routers, switches, hubs, etc. It is worth noting that computing device 101 can be like a physical device and virtual machine. The information system 100 can be organized using any topology of the network 105 known from the prior art, for example, one of the following types: fully connected, bus, star, ring, mesh, or mixed type. On the part of computing devices 101, protection devices for computing devices 102 are installed. It is worth noting that some computing devices 101 may not have security devices 102 installed. Information system 100 may include means of protection against targeted attacks 103, which can be located, for example, on a separate a remote server and is connected through a computer network 105 to at least one computing device 101. To connect computing devices 101 via a network 105 to the Internet and means about naruzheniya 110 can be used proxy servers (the figure is not shown).

В одном частном примере реализации дополнительно средства защиты от направленных атак 103 предназначено для регистрации в локальный журнал вызовов 109 информации, связанной с упомянутым файлом, который выполняется на упомянутом вычислительном устройстве 101, и проходящей через компьютерную сеть 105, в частности:In one particular implementation example, additional means of protection against targeted attacks 103 is designed to register in the local call log 109 information associated with said file, which is executed on said computing device 101 and passing through a computer network 105, in particular:

- показатели компрометации;- indicators of compromise;

- вердикты средства защиты (например, вердикт песочницы, IDS);- verdicts of remedies (e.g. sandbox verdict, IDS);

- контрольную сумму от файла или контрольную сумму от части файла;- the checksum from the file or the checksum from the part of the file;

- источник загрузки файла на вычислительное устройство 101 (например, IP-адрес источника, флеш-накопитель с которого файл был загружен на компьютер и др.);- the source for downloading the file to the computing device 101 (for example, the IP address of the source, the flash drive from which the file was downloaded to the computer, etc.);

- данные, передаваемые по сети файлом (например, по каким IP-адресам происходит обращение, какие пакеты передаются и пр.);- data transmitted over the network by a file (for example, what IP addresses are being accessed, what packets are transmitted, etc.);

- данные, получаемые по сети файлом (например, с каких IP-адресов происходит обращение, какие пакеты передаются и пр.);- data received over the network by a file (for example, from which IP addresses are being accessed, which packets are transmitted, etc.);

- подмена DNS-сервера на компьютере.- substitution of the DNS server on the computer.

Средство защиты от направленный атак 103 также предназначено для передачи локального журнала вызовов 109 средство обнаружения 110.The means of protection against directed attacks 103 is also intended to transmit a local call log 109 means of detection 110.

Система включает по меньшей мере два вычислительных устройства 101 с работающими на них средствами защиты 102. Средства защиты 102 регистрируют в локальный журнал вызовов 107 каждого вычислительного устройства 101 по меньшей мере вызовы API-функций во время выполнения исследуемого файла (например, имя функции, передаваемые параметры, время вызова функции).The system includes at least two computing devices 101 with security devices 102 operating on them. Security devices 102 register in the local call log 107 of each computing device 101 at least API function calls during the execution of the file under investigation (for example, the name of the function, parameters passed function call time).

В частном варианте реализации каждая запись локального журнала вызовов 107 о вызовах API-функций содержит, в частности, следующую информацию:In a particular embodiment, each entry of the local call log 107 about calls to API functions contains, in particular, the following information:

- имя вызванной функции;- name of the called function;

- уникальный идентификатор процесса (process identifier, PID), запущенного из упомянутого файла 134;- a unique identifier of the process (process identifier, PID) launched from said file 134;

- уникальный идентификатор потока (thread identifier, TID), выполняющего инструкции адресного пространства процесса;- a unique thread identifier (TID) that executes the instructions of the process address space;

- набор аргументов упомянутой функции;- a set of arguments of the mentioned function;

- время вызова функции.- function call time.

Средство защиты 102 в процессе выполнения файла осуществляет поиск в локальном журнале вызовов 107 соответствия зарегистрированных по меньшей мере вызовов API-функций поведенческим правилам из локальной базы данных угроз 108. В частном варианте реализации локальный журнал вызовов 107 и локальная база данных угроз 108 расположены на вычислительном устройстве 101.The security tool 102, in the process of executing the file, searches the local call log 107 for the correspondence of at least registered API function calls to the behavioral rules from the local threat database 108. In a particular embodiment, the local call log 107 and the local threat database 108 are located on the computing device 101.

Поведенческое правило включает информацию о вызове по меньшей мере одной API-функции и вердикт (например, вирус, червь, троянская программа или условно нежелательное ПО), в случае, если это правило сработает. В частном примере реализации поведенческие правила состоят, в частности, из набора вызовов API-функций и логических выражений над ними. Например, если были вызваны определенные API-функции с определенными параметрами, заданные поведенческим правилом, то средство защиты 102 найдет упомянутое правило в журнале вызовов 107.A behavioral rule includes information about calling at least one API function and a verdict (for example, a virus, a worm, a Trojan, or conditionally unwanted software) if this rule works. In a particular implementation example, behavioral rules consist, in particular, of a set of calls to API functions and logical expressions above them. For example, if certain API functions were called with specific parameters defined by a behavioral rule, then security tool 102 will find the rule in the call log 107.

Поведенческому правилу также соответствует вердикт, который выдается при срабатывании этого правила - то есть наиболее вероятная категория вредоносного или нежелательного ПО, которой соответствует упомянутое правило. Вердикт может быть, например, следующим: вирус, червь, троянская программа или условно нежелательное ПО.The behavioral rule also corresponds to the verdict that is issued when this rule is triggered - that is, the most likely category of malware or unwanted software that the rule refers to. The verdict may be, for example, the following: a virus, a worm, a trojan, or conditionally unwanted software.

В частном примере реализации поведенческие правила включают, в частности, следующие:In a particular implementation example, behavioral rules include, but are not limited to:

- вызов API-функции из списка подозрительных API-функций (например, список может содержать следующие API-функции: WinExec, CreateProcess, GetFileSize, CreateFile);- calling an API function from the list of suspicious API functions (for example, the list may contain the following API functions: WinExec, CreateProcess, GetFileSize, CreateFile);

- вызов API-функции GetFileSize был совершен 10 раз;- the GetFileSize API function call was made 10 times;

- после вызова API-функции WriteFile (запись в файл) будет следовать вызов API-функции WinExec (запуск файла на выполнение);- after calling the WriteFile API function (writing to a file), a call to the WinExec API function (starting the file for execution) will follow;

- подмену DNS-сервера на компьютере;- substitution of the DNS server on the computer;

- отключение автоматического обновления операционной системы;- disabling automatic updating of the operating system;

- отключение сетевого экрана;- disable the firewall;

- отключение средства защиты;- disable protection;

- отключение UAC (англ. User Account Control, UAC - компонент ОС Windows, Контроль учетных записей пользователей);- Disabling UAC (Eng. User Account Control, UAC - component of the Windows OS, User Account Control);

Если средство защиты 102 не нашло соответствия записей локального журнала вызовов 107 ни одному поведенческому правилу из локальной базы данных угроз 108, то средство защиты 102 передает локальный журнал вызовов 107 средству обнаружения 110, находящемуся на удаленном сервере.If the security tool 102 does not match the records of the local call log 107 to any behavioral rule from the local threat database 108, then the security tool 102 passes the local call log 107 to the detection tool 110 located on the remote server.

В частном варианте реализации средство защиты 102 может передавать локальный журнал вызовов 107 средству обнаружения 110 только, если было найдено поведенческое правило, которому соответствует вердикт вредоносного ПО. В другом примере реализации локальный журнал вызовов 107 будет передан также, если найдено поведенческое правило, которому соответствует вердикт условно нежелательное ПО.In a particular embodiment, the security tool 102 may transmit the local call log 107 to the detection tool 110 only if a behavior rule has been found that matches the malware verdict. In another example implementation, a local call log 107 will also be transmitted if a behavioral rule is found to which a conditionally unwanted software verdict matches.

Средство обнаружения 110 объединяет для анализируемого файла локальные журналы вызовов 107, полученные по меньшей мере от двух средств защиты 102 в объединенный журнал вызовов 116, расположенный на удаленном сервере.Detector 110 combines the local call logs 107 received from at least two security means 102 into an integrated call log 116 located on a remote server for the analyzed file.

Стоит отметить, что объединение локальных журналов вызовов 107 происходит в том случае, когда для каждого локального журнала вызовов 107, в объединенном журнале вызовов 116 содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов 107. Таким образом, объединенный журнал вызовов 116 является более полным чем каждый отдельно взятый локальный журнал вызовов 107.It is worth noting that the consolidation of local call logs 107 occurs when for each local call log 107, the aggregated call log 116 contains at least one entry that is not in the said local call log 107. Thus, the combined call log 116 is more complete than every single local call log 107.

Приведем пример - пусть имеется три локальных журнала вызовов. Первый журнал содержит записи А, В, С, второй - А, В, D, а третий - А, С, D. В этом примере будет создан объединенный журнал вызовов, содержащий записи А, В, С, D. При этом, для каждого локального журнала вызовов 107, в объединенном журнале вызовов 116 содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов 107. Запись D отсутствует в первом журнале, запись С отсутствует во втором журнале, а запись В - в третьем журнале.To give an example, let there be three local call logs. The first log contains entries A, B, C, the second contains A, B, D, and the third contains A, C, D. In this example, a combined call log will be created containing the entries A, B, C, D. Moreover, for of each local call log 107, the combined call log 116 contains at least one entry that is not in the said local call log 107. Record D is not in the first log, record C is missing in the second log, and record B is in the third log.

Приведем еще один пример - пусть имеется три локальных журнала вызовов. Первый журнал содержит записи А, В, второй - А, В, С, а третий - А, С. В этом примере объединенный журнал вызовов не будет создан, так как он бы содержал записи А, В, С, и совпадал бы со вторым локальным журналом (т.е. в объединенном журнале не было бы записей, отсутствующий во втором журнале).To give one more example, let there be three local call logs. The first log contains entries A, B, the second - A, B, C, and the third - A, C. In this example, the combined call log will not be created, since it would contain entries A, B, C, and would coincide with the second a local journal (i.e., there would be no entries in the combined journal that are not in the second journal).

В одном частном примере реализации объединенный журнал вызовов 116 будет содержать все записи каждого локального журнала вызовов 107. В другом частном примере реализации объединенный журнал вызовов 116 будет содержать все записи одного локального журнала вызовов 107 (например, первого) и записи других локальных журналов вызовов 107, отсутствующие в первом журнале вызовов.In one particular implementation example, the combined call log 116 will contain all the records of each local call log 107. In another particular implementation example, the combined call log 116 will contain all the records of one local call log 107 (for example, the first) and other local call logs 107, Missing in the first call log.

В частном примере реализации объединение локальных журналов вызовов 107 в журнал вызовов 116 происходит путем объединения записей упомянутых локальных журналов вызовов 107. При этом, пересекающиеся записи могут как дублироваться, так и не дублироваться в объединенном журнале вызовов 116. В еще одном примере реализации локальные журналы вызовов 107 могут дополнительно содержать граф потока управления процесса (англ. control flow graph, CFG), запущенного из файла и, в этом примере, объединенный журнал вызовов 116 будет содержать объединенный граф потока управления для упомянутого файла, полученный путем объединения нескольких графов потока управления.In a particular implementation example, the integration of local call logs 107 into a call log 116 occurs by combining the entries of the said local call logs 107. Moreover, overlapping entries may or may not be duplicated in the combined call log 116. In another example implementation, the local call logs 107 may further comprise a control flow graph (CFG) graph running from a file and, in this example, the combined call log 116 will contain the combined control flow graph detecting for said file obtained by combining several control-flow graphs.

Средство обнаружения 110 осуществляет поиск соответствия записей из объединенного журнала вызовов 116 по меньшей мере одному поведенческому правилу из базы данных угроз 111. При этом упомянутая база данных угроз расположена на удаленном сервере и содержит по меньшей мере все записи локальной базы данных угроз 108 каждого вычислительного устройства 101.Detector 110 searches for matching records from the unified call log 116 to at least one behavioral rule from the threat database 111. Moreover, the said threat database is located on the remote server and contains at least all entries of the local threat database 108 of each computing device 101 .

На Фиг. 2 приведен возможный пример модулей средства защиты вычислительного устройства. Средство защиты вычислительного устройства 102 может содержать модули, предназначенные для обеспечения безопасности вычислительного устройства 101: сканер по доступу, сканер по требованию, почтовый антивирус, веб-антивирус, модуль проактивной защиты, модуль HIPS (англ. Host Intrusion Prevention System - система предотвращения вторжений), DLP-модуль (англ. data loss prevention - предотвращение утечки данных), сканер уязвимостей, эмулятор, сетевой экран и др. В частном примере реализации указанные модули могут быть составной частью средства защиты 102. В еще одном примере реализации данные модули могут быть реализованы в виде отдельных программных компонент.In FIG. Figure 2 shows a possible example of modules for a computing device protection. The security device of the computing device 102 may contain modules designed to ensure the security of the computing device 101: an access scanner, an on-demand scanner, mail antivirus, web antivirus, proactive protection module, HIPS module (Host Intrusion Prevention System - intrusion prevention system) , DLP module (data loss prevention), vulnerability scanner, emulator, firewall, etc. In a particular example implementation, these modules can be an integral part of security tool 102. In another example, p alizatsii these modules may be implemented as separate software components.

Сканер по доступу содержит функционал обнаружения вредоносной активности всех открываемых, запускаемых и сохраняемых файлов на компьютерной системе пользователя. Сканер по требованию отличается от сканера по доступу тем, что сканирует заданные пользователем файлы и директории по требованию пользователя.The access scanner contains functionality for detecting malicious activity of all opened, launched and saved files on the user's computer system. The on-demand scanner differs from the access scanner in that it scans user-specified files and directories on demand.

Почтовый антивирус необходим для контроля входящей и исходящей электронной почты на предмет содержания вредоносных файлов. Веб-антивирус служит для предотвращения выполнения вредоносного кода, который может содержаться на веб-сайтах, помещаемых пользователем, а также для блокирования открытия веб-сайтов. Модуль HIPS служит для обнаружения нежелательной и вредоносной активности программ и блокирования ее в момент выполнения. DLP-модуль служит для обнаружения и предотвращения утечки конфиденциальных данных за пределы компьютера или сети. Сканер уязвимостей необходим для обнаружения уязвимостей на вычислительном устройстве 101 (например, отключены некоторые компоненты средства защиты 102, устаревшие вирусные базы, закрыт сетевой порт и пр.). Сетевой экран осуществляет контроль и фильтрацию сетевого трафика в соответствии с заданными правилами. Работа эмулятора заключается в имитации гостевой системы во время выполнения кода в эмуляторе. Модуль проактивной защиты использует поведенческие сигнатуры для обнаружения поведения исполняемых файлов и их классификации по уровню доверия.Mail antivirus is required to control incoming and outgoing e-mail regarding the contents of malicious files. Web antivirus is used to prevent the execution of malicious code that may be contained on websites hosted by the user, as well as to block the opening of websites. The HIPS module serves to detect unwanted and malicious activity of programs and block it at runtime. The DLP module is used to detect and prevent confidential data from leaking out of a computer or network. Vulnerability scanner is required to detect vulnerabilities on computing device 101 (for example, some components of protection tool 102, outdated virus databases are disabled, the network port is closed, etc.). The firewall monitors and filters network traffic in accordance with the specified rules. The emulator works by simulating the guest system while the code is running in the emulator. The proactive defense module uses behavioral signatures to detect the behavior of executable files and classify them by trust level.

Приведенные модули при обнаружении вредоносного программного обеспечения (подозрительного поведения, спама и др. признаков компьютерной угрозы), создают соответствующее уведомление (которое далее может быть преобразовано в вердикт средства защиты 102), указывающее средству защиты об обнаруженной угрозе и необходимости выполнить действия по устранению угрозы (например, удаление или изменение файла, запрет выполнения и пр.). В частном примере реализации, сам модуль, обнаруживший вредоносное ПО, может выполнить действия по устранению угрозы. В еще одном примере вердикт может быть неточным или тестовым (т.к. данный вердикт может давать ложные срабатывания) - в этом случае, средство защиты не будет выполнять действий по устранению угрозы, но передаст уведомление далее, средству обнаружения 110. Стоит отметить, что вердикт средства защиты 102 является частью информации об файле, которая затем будет передана средству обнаружения 110 в виде уведомления безопасности. В частном варианте реализации вредоносное программное обеспечение включает следующие категории (вердикт соответствует категории) - вредоносное ПО и условно нежелательное ПО. Вредоносное ПО может иметь подкатегории - вирусы, черви, троянские программы, упаковщики, вредоносные утилиты. Условно нежелательное ПО - рекламное ПО (англ. adware), ПО связанное с порнографическим содержимым (pornware), легальное ПО использование которого может причинить вред компьютеру (riskware) и др.When the detected modules detect malicious software (suspicious behavior, spam, and other signs of a computer threat), they create a corresponding notification (which can then be converted to the verdict of protection means 102), indicating to the protection means about the detected threat and the need to take actions to eliminate the threat ( for example, deleting or modifying a file, prohibition of execution, etc.). In a particular implementation example, the module itself, which detects malware, can perform actions to eliminate the threat. In another example, the verdict can be inaccurate or test (since this verdict can give false positives) - in this case, the security measure will not take action to eliminate the threat, but will send a notification to the detection tool 110. It should be noted that The security verdict 102 is part of the file information, which will then be transmitted to the detection tool 110 as a security notification. In a private embodiment, the malware includes the following categories (the verdict corresponds to the category) - malware and conditionally unwanted software. Malicious software can have subcategories - viruses, worms, trojans, packers, malware. Conditionally unwanted software is adware (Eng. Adware), software related to pornographic content (pornware), legal software that can harm your computer (riskware), etc.

На Фиг. 3 приведен возможный пример модулей средства защиты от направленных атак. Средство защиты от направленных атак 103 может содержать, например, следующие модули защиты: «песочницу», систему обнаружения вторжений (англ. - Intrusion Detection System, IDS), репутационный сервис, модуль проверки YARA правил и другие модули обнаружения.In FIG. Figure 3 shows a possible example of protection against attack modules. The means of protection against targeted attacks 103 may contain, for example, the following protection modules: a sandbox, an intrusion detection system (IDS), a reputation service, a YARA rule checking module, and other detection modules.

Модуль «песочница» имеют функционал, аналогичный эмулятору средства защиты вычислительного устройства 102 с тем отличием, что «песочница» может использовать дополнительные вычислительные мощности и работать большее время, так как у средства защиты от направленных атак 103 отсутствуют ограничения по времени, присущие средству защиты вычислительного устройства 102.The sandbox module has a functionality similar to the emulator of a security device of a computing device 102, with the difference that the sandbox can use additional computing power and work longer, since the protection against directed attacks 103 has no time limits inherent in a computing protection devices 102.

«Песочница» является компьютерной средой для безопасного выполнения процессов и служит для определения подозрительной активности при выполнении процесса, запущенного из файла.The sandbox is a computer environment for the safe execution of processes and is used to determine suspicious activity during the execution of a process launched from a file.

Песочница может быть реализована, например, в виде виртуальной машины, на основе частичной виртуализации файловой системы и реестра, на основе правил доступа к файловой системе и реестру или на основе смешанного подхода.A sandbox can be implemented, for example, as a virtual machine, based on partial virtualization of the file system and registry, based on access rules to the file system and registry, or based on a mixed approach.

Система обнаружения вторжений является средством выявления фактов неавторизованного доступа на вычислительное устройство 101 или сеть 105 либо несанкционированного управления ими.An intrusion detection system is a means of detecting unauthorized access to a computing device 101 or network 105 or unauthorized control thereof.

Сервер репутации может содержит информацию о популярности файлов на вычислительных устройствах 101 (количество вычислительных устройств 101, на которых имеется файл, количество запусков файла и пр.).The reputation server may contain information about the popularity of files on computing devices 101 (the number of computing devices 101 on which the file is located, the number of file launches, etc.).

Модуль проверки YARA правил служит для проверки сигнатур YARA - открытого формата сигнатур (см., http://yararules.com/).The YARA rule validation module is used to validate YARA signatures, an open signature format (see, http://yararules.com/).

DLP-модуль служит для обнаружения и предотвращения утечки конфиденциальных данных за пределы компьютера или сети.The DLP module is used to detect and prevent confidential data from leaking out of a computer or network.

На Фиг. 4 представлена схема способа определения вредоносного файла. Так, на шаге 401 с использованием средств защиты 102, работающих по меньшей мере на двух вычислительных устройствах 101, регистрируют в локальный журнал вызовов 107 каждого вычислительного устройства 101 по меньшей мере вызовы API-функций во время выполнения одинаковых файлов (то есть на каждом вычислительном устройстве выполняются идентичные файлы).In FIG. 4 is a diagram of a method for determining a malicious file. So, in step 401, using protection means 102 operating on at least two computing devices 101, at least calls to API functions are recorded in the local call log 107 of each computing device 101 during the execution of identical files (i.e., on each computing device identical files are executed).

При этом, вычислительные устройства 101 могут иметь различное окружение (операционная система (ОС) и ее версии, установленные обновления ОС, установленное программное обеспечение и драйверы, выполняемые сервисы и процессы, наличие подключение к сети Интернет, периферийные устройства и пр.). Кроме того, файл (анализируемый) может быть открыт на выполнение с различными параметрами в зависимости от вычислительного устройства 101 или времени открытия или других факторов. Такими параметрами могут быть, например права пользователя (с правами администратора или правами пользователя), объект запуска (например, исполняемому файлу передается на вход какой-либо объект или другой файл), с различными ключами запуска (например, команда "ie.exe -k" интерпретатора командной строки Windows "Cmd.exe" запускает браузер Internet Explorer в полноэкранном режиме) и другими. Таким образом, во время выполнения одного файла на различных вычислительных устройствах 101 (или даже на одном устройстве), упомянутый файл может иметь различное поведение, производить вызовы различных API-функций и т.д. Например, если на одном вычислительном устройстве 101 отсутствует подключение к сети Интернет, файл не сможет обратиться по IP-адресам, по которым он может обратиться при выполнении на другом вычислительном устройстве 101, на котором присутствует подключение к сети Интернет.At the same time, computing devices 101 may have a different environment (operating system (OS) and its versions, installed OS updates, installed software and drivers, performed services and processes, the presence of an Internet connection, peripheral devices, etc.). In addition, the file (analyzed) can be opened for execution with various parameters depending on the computing device 101 or the opening time or other factors. Such parameters can be, for example, user rights (with administrator rights or user rights), a startup object (for example, an object or another file is transferred to the input file), with various startup keys (for example, the command "ie.exe -k "Windows command line interpreter" Cmd.exe "launches Internet Explorer in full screen mode) and others. Thus, during the execution of one file on different computing devices 101 (or even on one device), the file may have different behavior, make calls to various API functions, etc. For example, if there is no Internet connection on one computing device 101, the file will not be able to access the IP addresses that it can access when running on another computing device 101 that has an Internet connection.

На шаге 402 на каждом из упомянутых вычислительных устройств 101 с помощью средства защиты 102 (установленном на соответствующем вычислительном устройстве 101) в процессе выполнения файла в локальном журнале вызовов 107 осуществляется поиск соответствия зарегистрированных по меньшей мере вызовов API-функций поведенческим правилам из локальной базы данных угроз 108. Если средство защиты 102 выявило соответствие хотя бы одному поведенческому правилу, то файл будет определен вредоносным непосредственно на вычислительном устройстве 101 и дальнейшее выполнение файла будет завершено средством защиты 102.At step 402, on each of the mentioned computing devices 101, using the protection means 102 (installed on the corresponding computing device 101), in the process of executing the file in the local call log 107, the correspondence of at least API function calls registered to the behavior rules from the local threat database is searched 108. If the protective equipment 102 has detected compliance with at least one behavioral rule, the file will be determined as malicious directly on the computing device 101 and further file execution will be completed by security tool 102.

Иначе - на шаге 403 средство защиты 102 передаст локальный журнал вызовов 107 средству обнаружения 110.Otherwise, in step 403, the security tool 102 will transmit the local call log 107 to the detection tool 110.

На шаге 404 с помощью средства обнаружения 110 объединяют для упомянутого файла полученные локальные журналы вызовов 107 в объединенный журнал вызовов 116. Стоит отметить, что шаг 404 будет применим, когда для каждого локального журнала вызовов 107 в объединенном журнале вызовов 116 содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов 107.In step 404, the locating call logs 107 for the mentioned file are combined with the detection tool 110 into a combined call log 116. It should be noted that step 404 will be applicable when at least one entry is contained in each combined call log 107 in the combined call log 116 missing from said local call log 107.

На шаге 405 средство обнаружения 110 осуществляет поиск соответствия записей из объединенного журнала вызовов 116 по меньшей мере одному поведенческому правилу из базы данных угроз 111. В частном варианте реализации локальная база данных угроз 108 и база данных угроз 111 являются копиями. В другом частном варианте реализации база данных угроз 111 содержит по меньшей мере все записи локальной базы данных угроз 108 и, возможно, другие записи. Например, с целью экономии места на вычислительных устройствах 101, локальные базы данных угроз 108 могут содержать записи о наиболее распространенных угрозах, которые характерны для данного региона, в данный момент времени или для компании-владельца информационно системы 100. В еще одном примере, локальные базы данных угроз 108 являются зеркальной копией базы данных угроз 111 и обновляются периодически. В этом случае, очевидно, что с момента последнего обновления локальной базы данных угроз 108 и до момента следующего запланированного обновления, база данных угроз 111 могла пополниться новыми записями об угрозах, отсутствующими в локальных базах данных угроз 108.At step 405, the detection tool 110 searches for matching records from the combined call log 116 to at least one behavioral rule from the threat database 111. In a particular embodiment, the local threat database 108 and threat database 111 are copies. In another particular embodiment, the threat database 111 contains at least all entries in the local threat database 108 and possibly other entries. For example, in order to save space on computing devices 101, local threat databases 108 may contain records of the most common threats that are specific to a given region, at a given time, or to a company-owner of information system 100. In another example, local databases threat data 108 is a mirror copy of the threat database 111 and is updated periodically. In this case, it is obvious that from the moment of the last update of the local threat database 108 and until the next scheduled update, the threat database 111 could be replenished with new threat records that are not in the local threat databases 108.

В итоге, на шаге 406, если была найдено соответствие записей из объединенного журнала вызовов 116 по меньшей мере одному поведенческому правилу из базы данных угроз 111, файл будет определен как вредоносный согласно найденному поведенческому правилу. При этом, в зависимости от найденного поведенческого правила, на шаге 407 средство обнаружения 110 выдать вердикт определенному файлу (например, вирус, червь, троянская программа или условно нежелательное ПО) и может создать вирусную сигнатуру для средства защиты 102. Под вирусной сигнатурой понимается, например, сигнатура для модуля сигнатурного анализа средства защиты 102 или сигнатура эмулятора.As a result, at step 406, if a match was found for entries from the unified call log 116 to at least one behavioral rule from the threat database 111, the file will be determined to be malicious according to the found behavioral rule. In this case, depending on the behavior rule found, at step 407, the detection tool 110 issue a verdict to a specific file (for example, a virus, a worm, a trojan, or conditionally unwanted software) and can create a virus signature for protection means 102. A virus signature is understood, for example , a signature for the signature analysis module of the security means 102 or an emulator signature.

Таким образом, будет решена заявленная техническая проблема - с использованием приведенного способа будет определен вредоносный файл, который не был определен средством защиты 102. И будет достигнут технический результат - повышено качество определения вредоносного файла с использованием поведенческих правил за счет осуществления поиска соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, где объединенный журнал вызовов получен путем объединения различных локальных журналов вызовов для одинаковых файлов по меньшей мере с двух вычислительных устройств.Thus, the claimed technical problem will be solved - using the above method, a malicious file that was not detected by the protection means 102 will be detected. And a technical result will be achieved - the quality of determining a malicious file using behavior rules will be improved by searching for matching entries from the combined journal calls to at least one behavioral rule from the threat database, where the combined call log is obtained by combining different local call logs for duplicate files to at least two computing devices.

Приведем несколько примеров различного поведения во время выполнения файла на различных вычислительных устройствах 101 в зависимости от их окружения.Here are a few examples of different behaviors during file execution on various computing devices 101 depending on their environment.

Например, если файл содержит код для обнаружения и обхода эмулятора, то на вычислительном устройстве 101 с работающим эмулятором, файл может выполнять безопасные действия, в то время как на другом вычислительном устройстве 101, на котором эмулятор не работает, файл будет выполнять вредоносные действия.For example, if the file contains code for detecting and bypassing the emulator, then on the computing device 101 with the emulator working, the file can perform safe actions, while on the other computing device 101, on which the emulator is not working, the file will perform malicious actions.

В еще одном примере файл может проверять местоположение вычислительного устройства 101 (например, по локализации ОС) и выполнять различные действия в зависимости от местоположения. В другом примере во время выполнения файла могут быть выполнены вредоносные действия по отношения к конкретным приложениям и получены соответствующие вердикты, и если на одном вычислительном устройстве 101 эти приложения не установлены, то вредоносные действия не будут выполнены, вердикты получены не будут.In another example, a file can check the location of computing device 101 (for example, by OS localization) and perform various actions depending on location. In another example, during the execution of a file, malicious actions can be performed in relation to specific applications and corresponding verdicts are received, and if these applications are not installed on one computing device 101, then malicious actions will not be performed, verdicts will not be received.

В еще одном примере файл может загружать по сети дополнительные вредоносные модули в зависимости от архитектуры ОС (32- или 64-битная). В еще одном примере, файл может использовать различные каналы доступа к командному центру - например, через HTTPs, DNS, Twitter, Yandex. Disk или другие каналы доступа. В этом случае, на одном вычислительном устройстве 101 файл может обратиться через HTTPs, а на другом через Twitter из-за того, что не получилось получить доступ через HTTPs.In another example, a file may download additional malicious modules over the network, depending on the OS architecture (32-bit or 64-bit). In another example, a file can use various access channels to the command center - for example, through HTTPs, DNS, Twitter, Yandex. Disk or other access channels. In this case, on one computing device 101, the file can be accessed via HTTPs, and on the other via Twitter due to the fact that it was not possible to access via HTTPs.

В еще одном примере файл, запущенный на вычислительном устройстве 101 с правами администратора может сразу начать выполнять вредоносную активность. А при запуске этого же файла на вычислительном устройстве 101 без прав администратора, файл может пытаться повысить свои права.In another example, a file running on the computing device 101 with administrator privileges may immediately begin to perform malicious activity. And when you run the same file on the computing device 101 without administrator rights, the file may try to increase its rights.

В частном варианте реализации с помощью средства защиты 102 дополнительно регистрируют, в частности, следующую информацию:In a particular embodiment, with the help of the protective equipment 102, the following information is additionally recorded, in particular:

- процедуры передачи управления по адресу возврата из API-функций;- procedures for transferring control to the return address from the API functions;

- прямые вызовы Windows NT Native API-функций;- direct calls to Windows NT Native API functions;

- возвраты из Windows NT Native API-функций;- returns from Windows NT Native API functions;

- события выключения или перезагрузки компьютерной системы;- events of shutting down or rebooting a computer system;

- системные события операционной системы;- system events of the operating system;

- показатели компрометации;- indicators of compromise;

- системные вызовы (например, fopen(), create());- system calls (for example, fopen (), create ());

- вердикты средства защиты (например, вирус, червь, троянская программа или условно нежелательное ПО);- verdicts of a security measure (for example, a virus, a worm, a trojan, or conditionally unwanted software);

- контрольную сумму от файла или контрольную сумму от части файла;- the checksum from the file or the checksum from the part of the file;

- источник загрузки файла на вычислительное устройство 101 (например, IP-адрес источника, флеш-накопитель с которого файл был загружен на компьютер и др.);- the source for downloading the file to the computing device 101 (for example, the IP address of the source, the flash drive from which the file was downloaded to the computer, etc.);

- результаты эмуляции выполнения файла (вердикт эмулятора);- Results of emulating file execution (emulator verdict);

- время появления файла на вычислительном устройстве;- the time the file appeared on the computing device;

- данные, передаваемые по сети файлом (например, по каким IP-адресам происходит обращение, какие пакеты передаются и пр.);- data transmitted over the network by a file (for example, what IP addresses are being accessed, what packets are transmitted, etc.);

- данные, получаемые по сети файлом (например, с каких IP-адресов происходит обращение, какие пакеты передаются и пр.).- data received over the network by a file (for example, from which IP addresses are being accessed, which packets are transmitted, etc.).

В другом частном примере реализации с помощью средства защиты 102 дополнительно регистрируют, в частности, следующую информацию:In another particular implementation example, with the help of the protection means 102, the following information is additionally recorded, in particular:

- подмена DNS-сервера на компьютере;- substitution of the DNS server on the computer;

- отключение автоматического обновления операционной системы;- disabling automatic updating of the operating system;

- отключение сетевого экрана;- disable the firewall;

- отключение средства защиты;- disable protection;

- отключение компоненты «Контроль учетных записей пользователей»;- Disabling the "User Account Control" component;

- отключение компонента операционной системы «восстановление системы».- disabling the component of the operating system "system recovery".

В еще одном частном примере реализации с помощью средства защиты 102 дополнительно регистрируют, в частности, следующую информацию:In yet another particular embodiment, with the aid of the security device 102, the following information is additionally recorded, in particular:

- отключение опции «показывать скрытые файлы, папки и диски» в файловом менеджере;- disabling the option “show hidden files, folders and disks” in the file manager;

- изменение правил сетевого экрана;- change the rules of the firewall;

- изменение файла hosts;- changing the hosts file;

- удаление файлом самого себя (например, из анализируемого файла, являющегося вредоносным, выполняется процесс, который далее внедряет вредоносный код в контекст системного процесса svchost.exe, а затем удаляет анализируемый файл);- deleting the file itself (for example, from a file being analyzed that is malicious, a process is performed that further injects the malicious code into the context of the svchost.exe system process and then deletes the file being analyzed);

- событий выключения или перезагрузки компьютерной системы;- events of shutting down or rebooting a computer system;

- исключительных ситуаций, произошедших в процессе;- exceptional situations that occurred in the process;

- получение адресов дескрипторов системных библиотек (например, kernel32.dll, ntdll.dll);- Obtaining addresses of system library descriptors (for example, kernel32.dll, ntdll.dll);

- выделение памяти;- memory allocation;

- чтение системных структур (англ. process environment block - РЕВ);- reading system structures (Eng. process environment block - REV);

- последовательное получение дескрипторов файлов.- sequential receipt of file descriptors.

В еще одном частном варианте реализации, дополнительно регистрируют приведенную выше информацию, связанную с дочерними процессами и новыми файлами, которые были созданы в процессе выполнения анализируемого файла.In another particular embodiment, the above information is additionally recorded related to the child processes and new files that were created during the execution of the analyzed file.

В одном частном примере реализации дополнительно с помощью средства защиты от направленных атак 103, которое расположено на отдельном удаленном сервере и связано посредством компьютерной сети 105 по меньшей мере с одним вычислительным устройством 101, регистрируют в локальный журнал вызовов 109 упомянутого средства защиты от направленных атак информацию, связанную с файлом, выполняемым на упомянутом вычислительном устройстве 101 и проходящую через компьютерную сеть, в частности:In one particular implementation example, additionally, with the help of protection against targeted attacks 103, which is located on a separate remote server and connected via computer network 105 to at least one computing device 101, information is recorded in the local call log 109 of said protection against targeted attacks, associated with a file running on said computing device 101 and passing through a computer network, in particular:

- показатели компрометации;- indicators of compromise;

- вердикты средства защиты (например, вердикт песочницы, IDS);- verdicts of remedies (e.g. sandbox verdict, IDS);

- контрольную сумму от файла или контрольную сумму от части файла;- the checksum from the file or the checksum from the part of the file;

- источник загрузки файла на вычислительное устройство 101 (например, IP-адрес источника, флеш-накопитель с которого файл был загружен на компьютер и др.);- the source for downloading the file to the computing device 101 (for example, the IP address of the source, the flash drive from which the file was downloaded to the computer, etc.);

- данные, передаваемые по сети файлом (например, по каким IP-адресам происходит обращение, какие пакеты передаются и пр.);- data transmitted over the network by a file (for example, what IP addresses are being accessed, what packets are transmitted, etc.);

- данные, получаемые по сети файлом (например, с каких IP-адресов происходит обращение, какие пакеты передаются и пр.);- data received over the network by a file (for example, from which IP addresses are being accessed, which packets are transmitted, etc.);

- подмена DNS-сервера на компьютере.- substitution of the DNS server on the computer.

Средство защиты от направленный атак 103 в этом примере реализации далее передает локальный журнал вызовов 109 средство обнаружения 110, которое добавляет записи локального журнала вызовов 109 в объединенный журнал вызовов 116 на шаге 404.The targeted attack protection 103 in this embodiment further transfers the local call log 109 to the detection tool 110, which adds entries to the local call log 109 to the combined call log 116 in step 404.

В частном варианте реализации, средство защиты от направленных атак 103 также может быть связано с локальной базой данных угроз 112. В этом случае, средство защиты от направленных атак 103 может осуществить поиск соответствия записей локального журнала вызовов 109 поведенческим правилам из локальной базы данных угроз 112. В случае, если будет найдено соответствие по меньшей мере одному поведенческому правилу - файл может быть определен вредоносным, будет выдан соответствующий вердикт и будет направлено уведомление средству защиты 102, расположенному на вычислительном устройстве 101, на котором выполняется упомянутый файл. После чего средство защиты 102 выполнит необходимые действия по устранению файла, определенного вредоносным. Если же средство защиты от направленных атак 103 не выявит соответствия ни одному из поведенческих правил, то локальный журнал вызовов 109 будет передан средству обнаружения 110 на шаге 403.In a particular embodiment, the protection against targeted attacks 103 may also be associated with a local threat database 112. In this case, the protection against targeted attacks 103 may search for compliance of entries in the local call log 109 with the behavioral rules from the local threat database 112. If at least one behavioral rule is found, the file can be determined malicious, an appropriate verdict will be issued and a notification will be sent to the protection means 102, located Nome on the computing device 101 on which the said file. After that, the protection tool 102 will take the necessary steps to eliminate the file identified by the malware. If the means of protection against targeted attacks 103 does not reveal compliance with any of the behavioral rules, then the local call log 109 will be passed to the detection tool 110 in step 403.

В частном примере реализации локальный журнал вызовов 109, а также локальная база данных угроз 112 расположены на том же удаленном сервере, на котором расположено средство защиты от направленных атак 103.In a particular implementation example, the local call log 109, as well as the local threat database 112, are located on the same remote server where the protection against targeted attacks 103 is located.

В частном варианте реализации локальная база данных угроз 112 и база данных угроз 111 являются копиями. В другом частном варианте реализации база данных угроз 111 содержит по меньшей мере все записи локальной базы данных угроз 112 и, возможно, другие записи.In a particular embodiment, the local threat database 112 and the threat database 111 are copies. In another particular embodiment, the threat database 111 contains at least all entries in the local threat database 112 and possibly other entries.

Фиг. 5 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 5 is an example of a general purpose computer system, a personal computer or server 20 comprising a central processor 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processor 21. The system bus 23 is implemented as any prior art bus structure comprising, in turn, a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interacting with any other bus architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26, contains basic procedures that ensure the transfer of information between the elements of the personal computer 20, for example, at the time of loading the operating ROM systems 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29, and an optical drive 30 for reading and writing to removable optical disks 31, such as a CD-ROM, DVD -ROM and other optical information carriers. The hard disk 27, the magnetic disk drive 28, the optical drive 30 are connected to the system bus 23 through the interface of the hard disk 32, the interface of the magnetic disks 33 and the interface of the optical drive 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29, and a removable optical disk 31, but it should be understood that other types of computer storage media 56 that can store data in a form readable by a computer (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.) that are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п.Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.Computer 20 has a file system 36 where the recorded operating system 35 is stored, as well as additional software applications 37, other program modules 38, and program data 39. The user is able to enter commands and information into personal computer 20 via input devices (keyboard 40, keypad “ the mouse "42). Other input devices (not displayed) can be used: microphone, joystick, game console, scanner, etc. Similar input devices are, as usual, connected to computer system 20 via serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer can be equipped with other peripheral output devices (not displayed), for example, speakers, a printer, etc. .

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 5. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the creature the personal computer 20 of FIG. 5. Other devices, such as routers, network stations, peer-to-peer devices, or other network nodes, may also be present on the computer network.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях (также - информационных системах), внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks (also - information systems), internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 50 via a network adapter or network interface 51. When using the networks, the personal computer 20 may use a modem 54 or other means of providing communication with a global computer network such as the Internet. The modem 54, which is an internal or external device, is connected to the system bus 23 via the serial port 46. It should be clarified that the network connections are only exemplary and are not required to display the exact network configuration, i.e. in reality, there are other ways to establish a technical connection between one computer and another.

В соответствии с описанием, компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.In accordance with the description, components, execution steps, data structure described above can be performed using various types of operating systems, computer platforms, programs.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information provided in the description are examples that do not limit the scope of the present invention defined by the claims.

Claims (126)

1. Способ определения вредоносного файла, в котором:1. A method for determining a malicious file, in which: а) с использованием средств защиты, работающих по меньшей мере на двух вычислительных устройствах, регистрируют в локальный журнал вызовов каждого вычислительного устройства по меньшей мере вызовы API-функций во время выполнения одинаковых файлов;a) using security tools operating on at least two computing devices, register at least calls to API functions during the execution of identical files in the local call log of each computing device; б) на каждом вычислительном устройстве с помощью средства защиты во время выполнения файла осуществляют поиск в локальном журнале вызовов соответствия зарегистрированных по меньшей мере вызовов API-функций поведенческим правилам из локальной базы данных угроз, расположенной на вычислительном устройстве, при этом в случае, когда не найдено ни одного соответствия поведенческим правилам, то средство защиты передает локальный журнал вызовов средству обнаружения, находящемуся на удаленном сервере;b) on each computing device, using a security tool, during file execution, a search is made in the local call log for correspondence of at least API function calls registered to the behavioral rules from the local threat database located on the computing device, while in case it is not found no compliance with the behavioral rules, the security tool transmits the local call log to the detection tool located on the remote server; в) с помощью средства обнаружения объединяют локальные журналы вызовов одинаковых файлов, полученные по меньшей мере от двух средств защиты, в объединенный журнал вызовов, таким образом, что для каждого локального журнала вызовов, в объединенном журнале вызовов содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов;c) using the detection tool, combine local call logs of the same files received from at least two security means into a combined call log, so that for each local call log, the combined call log contains at least one entry that is not in said local call log; г) с помощью средства обнаружения осуществляют поиск соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, при этом упомянутая база данных угроз расположена на удаленном сервере и содержит по меньшей мере все правила локальной базы данных угроз каждого упомянутого вычислительного устройства;d) using the detection tool, search for matching records from the combined call log to at least one behavioral rule from the threat database, while the said threat database is located on the remote server and contains at least all the rules of the local threat database of each mentioned computing device ; д) при нахождении соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, определяют файл как вредоносный согласно найденному поведенческому правилу.e) when matching records from the combined call log to at least one behavioral rule from the threat database, the file is determined to be malicious according to the found behavioral rule. 2. Способ по п. 1, в котором с помощью средств защиты дополнительно регистрируют, в частности, следующую информацию:2. The method according to p. 1, in which with the help of protective equipment additionally register, in particular, the following information: - процедуры передачи управления по адресу возврата из API-функций;- procedures for transferring control to the return address from the API functions; - прямые вызовы Windows NT Native API-функций;- direct calls to Windows NT Native API functions; - возвраты из Windows NT Native API-функций;- returns from Windows NT Native API functions; - события выключения или перезагрузки компьютерной системы;- events of shutting down or rebooting a computer system; - события в операционной системе;- events in the operating system; - показатели компрометации;- indicators of compromise; - системные вызовы;- system calls; - вердикты средства защиты;- verdicts of a remedy; - контрольную сумму от файла или контрольную сумму от части файла;- the checksum from the file or the checksum from the part of the file; - источник появления файла;- the source of the file; - результаты эмуляции выполнения файла;- results of emulating file execution; - время появления файла на вычислительном устройстве;- the time the file appeared on the computing device; - данные, получаемые по сети файлом;- data received over the network by a file; - данные, передаваемые по сети файлом;- data transmitted over the network by a file; - подмена DNS-сервера на компьютере;- substitution of the DNS server on the computer; - отключение автоматического обновления операционной системы;- disabling automatic updating of the operating system; - отключение сетевого экрана;- disable the firewall; - отключение средства защиты;- disable protection; - отключение компоненты «Контроль учетных записей пользователей»;- Disabling the "User Account Control" component; - отключение компонента операционной системы «восстановление системы»;- disabling the component of the operating system "system recovery"; - отключение опции «показывать скрытые файлы, папки и диски» в файловом менеджере;- disabling the option “show hidden files, folders and disks” in the file manager; - изменение правил сетевого экрана;- change the rules of the firewall; - изменение файла hosts;- changing the hosts file; - удаление файлом самого себя.- deleting the file itself. 3. Способ по п. 2, в котором дополнительно регистрируют информацию, аналогичную приведенной в п. 2 и связанную с дочерними процессами и новыми файлами, созданными упомянутым файлом.3. The method according to p. 2, in which additionally register information similar to that given in p. 2 and associated with child processes and new files created by the file. 4. Способ по п. 1, в котором дополнительно с помощью средства защиты от направленных атак, которое расположено на отдельном удаленном сервере и связано посредством компьютерной сети по меньшей мере с одним вычислительным устройством, регистрируют в локальный журнал вызовов упомянутого средства защиты от направленных атак информацию, связанную с файлом, выполняемым на упомянутом вычислительном устройстве и проходящую через компьютерную сеть, после чего передают упомянутый локальный журнал вызовов средству обнаружения.4. The method according to p. 1, in which additionally using the means of protection against directed attacks, which is located on a separate remote server and connected via a computer network to at least one computing device, register information in the local call log of said means of protection against directed attacks associated with a file running on said computing device and passing through a computer network, after which said local call log is transmitted to the detection means. 5. Способ по п. 4, в котором с помощью средства защиты от направленных атак регистрируют, в частности, следующую информацию:5. The method according to p. 4, in which using the means of protection against directed attacks register, in particular, the following information: - показатели компрометации;- indicators of compromise; - вердикты средства защиты;- verdicts of a remedy; - контрольную сумму от файла или контрольную сумму от части файла;- the checksum from the file or the checksum from the part of the file; - источник загрузки файла на вычислительное устройство;- the source of the file download to the computing device; - данные, передаваемые по сети файлом;- data transmitted over the network by a file; - данные, получаемые по сети файлом;- data received over the network by a file; - подмена DNS-сервера на компьютере.- substitution of the DNS server on the computer. 6. Способ определения вредоносного файла, в котором:6. A method for determining a malicious file, in which: а) получают от каждого из по меньшей мере двух средств защиты, установленных на различных вычислительных устройствах, локальные журналы вызовов, которые содержат по меньшей мере записи о вызовах API-функций во время выполнения одинаковых файлов на каждом из упомянутых вычислительных устройств;a) receive from each of at least two security devices installed on different computing devices local call logs that contain at least records of calls to API functions during the execution of identical files on each of the mentioned computing devices; б) объединяют упомянутые локальные журналы вызовов в объединенный журнал вызовов, таким образом, что для каждого локального журнала вызовов, в объединенном журнале вызовов содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов;b) combine said local call logs into a combined call log, so that for each local call log, the combined call log contains at least one entry that is not in the said local call log; в) с помощью средства обнаружения осуществляют поиск соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз;c) using the detection tool, search for matching records from the combined call log for at least one behavioral rule from the threat database; г) при нахождении соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, определяют файл как вредоносный согласно найденному поведенческому правилу.d) when matching entries from the combined call log to at least one behavioral rule from the threat database, the file is determined to be malicious according to the found behavioral rule. 7. Способ по п. 6, в котором с помощью средств защиты дополнительно регистрируют, в частности, следующую информацию:7. The method according to p. 6, in which with the help of protective equipment additionally register, in particular, the following information: - процедуры передачи управления по адресу возврата из API-функций;- procedures for transferring control to the return address from the API functions; - прямые вызовы Windows NT Native API-функций;- direct calls to Windows NT Native API functions; - возвраты из Windows NT Native API-функций;- returns from Windows NT Native API functions; - события выключения или перезагрузки компьютерной системы;- events of shutting down or rebooting a computer system; - события в операционной системе;- events in the operating system; - показатели компрометации;- indicators of compromise; - системные вызовы;- system calls; - вердикты средства защиты;- verdicts of a remedy; - контрольную сумму от файла или контрольную сумму от части файла;- the checksum from the file or the checksum from the part of the file; - источник появления файла;- the source of the file; - результаты эмуляции выполнения файла;- results of emulating file execution; - время появления файла на вычислительном устройстве;- the time the file appeared on the computing device; - данные, получаемые по сети файлом;- data received over the network by a file; - данные, передаваемые по сети файлом;- data transmitted over the network by a file; - подмена DNS-сервера на компьютере;- substitution of the DNS server on the computer; - отключение автоматического обновления операционной системы;- disabling automatic updating of the operating system; - отключение сетевого экрана;- disable the firewall; - отключение средства защиты;- disable protection; - отключение компоненты «Контроль учетных записей пользователей»;- Disabling the "User Account Control" component; - отключение компонента операционной системы «восстановление системы»;- disabling the component of the operating system "system recovery"; - отключение опции «показывать скрытые файлы, папки и диски» в файловом менеджере;- disabling the option “show hidden files, folders and disks” in the file manager; - изменение правил сетевого экрана;- change the rules of the firewall; - изменение файла hosts;- changing the hosts file; - удаление файлом самого себя.- deleting the file itself. 8. Способ по п. 7, в котором дополнительно регистрируют информацию, аналогичную приведенной в п. 7 и связанную с дочерними процессами и новыми файлами, созданными упомянутым файлом.8. The method according to p. 7, in which additionally register information similar to that given in p. 7 and associated with child processes and new files created by the file. 9. Способ по п. 7, в котором на шаге а) дополнительно получают локальный журнал вызовов от средства защиты от направленных атак, которое расположено на отдельном удаленном сервере и связано посредством компьютерной сети по меньшей мере с одним вычислительным устройством, при этом упомянутый локальный журнал вызовов содержит информацию, связанную с файлом, выполняемым на упомянутом вычислительном устройстве и проходящую через компьютерную сеть.9. The method according to p. 7, in which at step a) additionally receive a local call log from means of protection against directed attacks, which is located on a separate remote server and connected via a computer network to at least one computing device, said local log The call contains information related to a file running on said computing device and passing through a computer network. 10. Способ по п. 9, в котором локальный журнал вызовов от средства защиты от направленных атак содержит, в частности, следующую информацию:10. The method according to p. 9, in which the local call log from the means of protection against directed attacks contains, in particular, the following information: - показатели компрометации;- indicators of compromise; - вердикты средства защиты;- verdicts of a remedy; - контрольную сумму от файла или контрольную сумму от части файла;- the checksum from the file or the checksum from the part of the file; - источник загрузки файла на вычислительное устройство;- the source of the file download to the computing device; - данные, передаваемые по сети файлом;- data transmitted over the network by a file; - данные, получаемые по сети файлом;- data received over the network by a file; - подмена DNS-сервера на компьютере.- substitution of the DNS server on the computer. 11. Система определения вредоносного файла, содержащая:11. A malware detection system, comprising: а) по меньшей мере два вычислительных устройства, на каждом из которых содержится локальная база данных угроз и установлено средство защиты, с использованием которого:a) at least two computing devices, each of which contains a local database of threats and a security tool is installed, using which: - регистрируют в локальный журнал вызовов каждого вычислительного устройства по меньшей мере вызовы API-функций во время выполнения одинаковых файлов;- register at least calls to API functions during execution of identical files in the local call log of each computing device; - во время выполнения файла осуществляют поиск в локальном журнале вызовов соответствия зарегистрированных по меньшей мере вызовов API-функций поведенческим правилам из локальной базы данных угроз, расположенной на вычислительном устройстве;- during the execution of the file, a search is performed in the local call log for correspondence of at least API function calls registered to the behavioral rules from the local threat database located on the computing device; - передают локальный журнал вызовов средству обнаружения, находящемуся на удаленном сервере в случае, когда не найдено ни одного поведенческого правила;- transmit the local call log to the detection tool located on the remote server in the case when no behavior rules are found; б) удаленный сервер, содержащий базу данных угроз, которая содержит по меньшей мере все записи локальной базы данных угроз каждого упомянутого вычислительного устройства;b) a remote server containing a threat database that contains at least all entries of the local threat database of each computing device mentioned; в) средство обнаружения, связанное с базой данных угроз и предназначенное для:c) a detection tool associated with the threat database and designed to: - объединения локальных журналов вызовов одинаковых файлов, полученных по меньшей мере от двух средств защиты, в объединенный журнал вызовов, таким образом, что для каждого локального журнала вызовов, в объединенном журнале вызовов содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов;- combining local call logs of the same files received from at least two security means into a combined call log, so that for each local call log, the combined call log contains at least one entry that is not in the said local call log; - осуществления поиска соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз;- search for matching entries from the combined call log to at least one behavioral rule from the threat database; - определения файла как вредоносный при нахождении соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз.- determining the file as malicious when matching entries from the combined call log to at least one behavioral rule from the threat database. 12. Система по п. 11, в которой средства защиты дополнительно предназначены для регистрации, в частности, следующую информацию:12. The system according to claim 11, in which the protective equipment is additionally intended for registration, in particular, the following information: - процедуры передачи управления по адресу возврата из API-функций;- procedures for transferring control to the return address from the API functions; - прямые вызовы Windows NT Native API-функций;- direct calls to Windows NT Native API functions; - возвраты из Windows NT Native API-функций;- returns from Windows NT Native API functions; - события выключения или перезагрузки компьютерной системы;- events of shutting down or rebooting a computer system; - события в операционной системе;- events in the operating system; - показатели компрометации;- indicators of compromise; - системные вызовы;- system calls; - вердикты средства защиты;- verdicts of a remedy; - контрольную сумму файла или его части;- the checksum of the file or its part; - источник появления файла;- the source of the file; - результаты эмуляции выполнения файла;- results of emulating file execution; - время появления файла на вычислительном устройстве;- the time the file appeared on the computing device; - данные, получаемые по сети файлом;- data received over the network by a file; - данные, передаваемые по сети файлом;- data transmitted over the network by a file; - подмена DNS-сервера на компьютере;- substitution of the DNS server on the computer; - отключение автоматического обновления операционной системы;- disabling automatic updating of the operating system; - отключение сетевого экрана;- disable the firewall; - отключение средства защиты;- disable protection; - отключение компоненты «Контроль учетных записей пользователей»;- Disabling the "User Account Control" component; - отключение компонента операционной системы «восстановление системы»;- disabling the component of the operating system "system recovery"; - отключение опции «показывать скрытые файлы, папки и диски» в файловом менеджере;- disabling the option “show hidden files, folders and disks” in the file manager; - изменение правил сетевого экрана;- change the rules of the firewall; - изменение файла hosts;- changing the hosts file; - удаление файлом самого себя.- deleting the file itself. 13. Система по п. 12, в которой средство защиты дополнительно предназначено регистрации информации, аналогичной приведенной в п. 12 и связанной с дочерними процессами и новыми файлами, созданными упомянутым файлом.13. The system of claim 12, wherein the security measure is further designed to record information similar to that described in paragraph 12 and associated with child processes and new files created by said file. 14. Система по п. 11, дополнительно содержащая средство защиты от направленных атак, которое расположено на отдельном удаленном сервере и связано посредством компьютерной сети по меньшей мере с одним вычислительным устройством, при этом предназначено для регистрации в локальный журнал вызовов упомянутого средства защиты от направленных атак информации, связанной с упомянутым файлом и проходящей через компьютерную сеть, а также для передачи упомянутого локального журнала вызовов средству обнаружения.14. The system of claim 11, further comprising a means of protection against directed attacks, which is located on a separate remote server and is connected via a computer network to at least one computing device, and is intended for registration in a local call log of said means of protection against directed attacks information associated with said file and passing through the computer network, as well as for transmitting said local call log to the detection means. 15. Система по п. 14, в которой с помощью средства защиты от направленных атак регистрируют, в частности, следующую информацию:15. The system according to p. 14, in which using the means of protection against directed attacks register, in particular, the following information: - показатели компрометации;- indicators of compromise; - вердикты средства защиты;- verdicts of a remedy; - контрольную сумму от файла или контрольную сумму от части файла;- the checksum from the file or the checksum from the part of the file; - источник загрузки файла на вычислительное устройство;- the source of the file download to the computing device; - данные, передаваемые по сети файлом;- data transmitted over the network by a file; - данные, получаемые по сети файлом;- data received over the network by a file; - подмена DNS-сервера на компьютере.- substitution of the DNS server on the computer.
RU2017136610A 2017-10-18 2017-10-18 System and method for identifying malicious files RU2673407C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2017136610A RU2673407C1 (en) 2017-10-18 2017-10-18 System and method for identifying malicious files

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017136610A RU2673407C1 (en) 2017-10-18 2017-10-18 System and method for identifying malicious files

Publications (1)

Publication Number Publication Date
RU2673407C1 true RU2673407C1 (en) 2018-11-26

Family

ID=64556398

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017136610A RU2673407C1 (en) 2017-10-18 2017-10-18 System and method for identifying malicious files

Country Status (1)

Country Link
RU (1) RU2673407C1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2454714C1 (en) * 2010-12-30 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" System and method of increasing efficiency of detecting unknown harmful objects
US9111094B2 (en) * 2011-01-21 2015-08-18 F-Secure Corporation Malware detection
US20170075697A1 (en) * 2014-05-05 2017-03-16 Tencent Technology (Shenzhen) Company Limited Startup accelerating method and appartus
RU2614929C1 (en) * 2015-09-30 2017-03-30 Акционерное общество "Лаборатория Касперского" Method for anti-virus records transmission used to detect malicious files

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2454714C1 (en) * 2010-12-30 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" System and method of increasing efficiency of detecting unknown harmful objects
US9111094B2 (en) * 2011-01-21 2015-08-18 F-Secure Corporation Malware detection
US20170075697A1 (en) * 2014-05-05 2017-03-16 Tencent Technology (Shenzhen) Company Limited Startup accelerating method and appartus
RU2614929C1 (en) * 2015-09-30 2017-03-30 Акционерное общество "Лаборатория Касперского" Method for anti-virus records transmission used to detect malicious files

Similar Documents

Publication Publication Date Title
US11829473B2 (en) System and method for detecting malicious files by a user computer
JP7084778B2 (en) Systems and methods for cloud-based detection, exploration and elimination of targeted attacks
US10599841B2 (en) System and method for reverse command shell detection
US11625489B2 (en) Techniques for securing execution environments by quarantining software containers
US10915628B2 (en) Runtime detection of vulnerabilities in an application layer of software containers
EP3430556B1 (en) System and method for process hollowing detection
RU2589862C1 (en) Method of detecting malicious code in random-access memory
RU2697954C2 (en) System and method of creating antivirus record
RU2661533C1 (en) System and method of detecting the signs of computer attacks
RU101233U1 (en) SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING
RU2750628C2 (en) System and method for determining the file trust level
RU2673407C1 (en) System and method for identifying malicious files
EP3522058B1 (en) System and method of creating antivirus records
Major A Taxonomic Evaluation of Rootkit Deployment, Behavior and Detection
Jayarathna et al. Hypervisor-based Security Architecture to Protect Web Applications.
Padakanti Rootkits Detection Using Inline Hooking
Corregedor An Architecture for Anti-Malware Protection Based on Collaboration
Bridges Studying a virtual testbed for unverified data