RU2673407C1 - System and method for identifying malicious files - Google Patents
System and method for identifying malicious files Download PDFInfo
- Publication number
- RU2673407C1 RU2673407C1 RU2017136610A RU2017136610A RU2673407C1 RU 2673407 C1 RU2673407 C1 RU 2673407C1 RU 2017136610 A RU2017136610 A RU 2017136610A RU 2017136610 A RU2017136610 A RU 2017136610A RU 2673407 C1 RU2673407 C1 RU 2673407C1
- Authority
- RU
- Russia
- Prior art keywords
- file
- call log
- local
- computing device
- network
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000006870 function Effects 0.000 claims abstract description 60
- 230000003542 behavioural effect Effects 0.000 claims abstract description 55
- 238000001514 detection method Methods 0.000 claims abstract description 32
- 230000008569 process Effects 0.000 claims description 22
- 238000011084 recovery Methods 0.000 claims description 10
- 238000006467 substitution reaction Methods 0.000 claims description 10
- 230000008859 change Effects 0.000 claims description 7
- 230000001681 protective effect Effects 0.000 claims description 5
- 230000000694 effects Effects 0.000 abstract description 5
- 238000005516 engineering process Methods 0.000 abstract description 4
- 239000000126 substance Substances 0.000 abstract 1
- 230000006399 behavior Effects 0.000 description 19
- 244000035744 Hura crepitans Species 0.000 description 18
- 241000700605 Viruses Species 0.000 description 11
- 230000009471 action Effects 0.000 description 9
- 230000002155 anti-virotic effect Effects 0.000 description 9
- 230000003287 optical effect Effects 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 5
- 241001377938 Yara Species 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 229920005669 high impact polystyrene Polymers 0.000 description 2
- 239000004797 high-impact polystyrene Substances 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000007630 basic procedure Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000007596 consolidation process Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012407 engineering method Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 230000005923 long-lasting effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
Область техникиTechnical field
Изобретение относится к области компьютерной безопасности, а более конкретно к системам и способам определения вредоносного кода.The invention relates to the field of computer security, and more particularly to systems and methods for determining malicious code.
Уровень техникиState of the art
Традиционный сигнатурный анализ не всегда позволяет обнаружить вредоносные файлы, особенно полиморфные вирусы, обфусцированные (англ. obfuscated) файлы, а также шелл-код (англ. shellcode, код запуска оболочки).Traditional signature analysis does not always detect malicious files, especially polymorphic viruses, obfuscated (English obfuscated) files, as well as shell code (English shellcode, shell launch code).
Поэтому современные антивирусные приложения дополнительно используют проверку с использованием т.н. «песочницы» (от англ. «sandbox» - специально выделенная изолированная от остальной системы среда, ограничивающая выполняемым в ней процессам доступ и использование ресурсов). «Песочница» может быть реализована, например, в виде виртуальной машины, на основе частичной виртуализации файловой системы и реестра, на основе правил доступа к файловой системе и реестру или на основе смешанного подхода. Проверяемый файл исполняется в «песочнице». В ходе выполнения файла, информация о вызовах API-функций, системных событиях записывается в журнал вызовов. Антивирусное приложение далее анализирует полученный журнал вызовов. В журнале вызовов обычно сохраняют информацию о вызовах API-функций (англ. application programming interface, API), произведенных упомянутым файлом во время выполнения, а также информацию о возвратах из вызванных API-функций (передача управления по адресу возврата). Выполнение файла в песочнице обычно происходит в течение ограниченного промежутка времени (до нескольких десятков секунд). В то же время, при выполнении в «песочнице» файла, содержащего шелл-код, его обнаружение путем анализа журналов вызовов API-функций может быть затруднительным. Т.к. шелл-код мог быть загружен в память процесса, но выполнение процесса в песочнице прекратилось раньше, чем управление должно было быть передано на участок памяти, содержащей шелл-код.Therefore, modern anti-virus applications additionally use a scan using the so-called “Sandboxes” (from the English “sandbox” - a specially allocated environment isolated from the rest of the system, restricting access and use of resources to the processes performed in it). A “sandbox” can be implemented, for example, in the form of a virtual machine, based on partial virtualization of the file system and registry, based on access rules to the file system and registry, or based on a mixed approach. The file being checked is executed in the sandbox. During the execution of the file, information about calls to API functions and system events is recorded in the call log. The anti-virus application further analyzes the received call log. The call log usually stores information about calls to API functions (English application programming interface, API) made by the mentioned file at runtime, as well as information about returns from called API functions (transfer of control to the return address). File execution in the sandbox usually occurs within a limited period of time (up to several tens of seconds). At the same time, when executing a file containing shellcode in the sandbox, it can be difficult to detect it by analyzing the API function call logs. Because the shell code could be loaded into the process memory, but the execution of the process in the sandbox stopped before the control had to be transferred to the piece of memory containing the shell code.
Еще одной технологией обнаружения вредоносного кода в файле является эмуляция, которая заключается в имитации гостевой системы во время выполнения кода в эмуляторе.Another technology for detecting malicious code in a file is emulation, which consists in simulating the guest system while the code is running in the emulator.
В современных антивирусах упомянутые технологии применяются совместно. Обычно, вначале производится сигнатурный анализ файла, затем, если не было обнаружено вредоносное поведение, производится выполнение файла в эмуляторе или «песочнице». В случае, если вредоносное поведение не было обнаружено, файл будет выполнен непосредственно на компьютере пользователя (не в изолированной среде, как в случае «песочницы»). На этом этапе начинает работу еще один важный антивирусный модуль - поведенческий анализатор, который собирает и анализирует журнал вызовов API-функций в ходу выполнения файла на компьютере пользователя. С использованием установленных драйверов-перехватчиков, поведенческий анализатор выполняет перехват вызовов API-функций, производимых во время выполнения вредоносного кода, а также возвратов из вызванный API-функций и сохраняет их в журнал вызовов. Затем поведенческий анализатор производит поиск в журнале вызовов шаблонов известного вредоносного поведения и выдает вердикт (например, вирус, червь, троянская программа или условно нежелательное ПО). Принцип анализа журнала вызовов поведенческим анализатором схож с работой «песочницы» и эмулятора. Но у поведенческого анализатора отсутствуют недостатки, присущие упомянутым модулям - нет ограничений на время выполнения файла, не работают техники обнаружения и обхода эмулятора и «песочницы», т.к. файл выполняется на компьютере пользователя, а не в изолированной среде и не в эмуляторе.In modern antiviruses, these technologies are used together. Usually, a signature analysis of the file is performed first, then, if no malicious behavior has been detected, the file is executed in an emulator or sandbox. If no malicious behavior was detected, the file will be executed directly on the user's computer (not in an isolated environment, as in the case of the sandbox). At this stage, another important antivirus module starts working - a behavioral analyzer that collects and analyzes the call log of API functions during the execution of the file on the user's computer. Using the installed driver-interceptors, the behavioral analyzer intercepts calls to API functions made during the execution of malicious code, as well as returns from the called API functions and stores them in the call log. The behavioral analyzer then searches the call log for patterns of known malicious behavior and issues a verdict (for example, a virus, a worm, a trojan, or conditionally unwanted software). The principle of analyzing the call log by the behavioral analyzer is similar to the work of the sandbox and the emulator. But the behavioral analyzer has no drawbacks inherent in the mentioned modules - there are no restrictions on the file execution time, the techniques for detecting and bypassing the emulator and the sandbox do not work, because the file is executed on the user's computer, and not in an isolated environment and not in the emulator.
Но в то же время, поведение файла может отличаться в зависимости от среды выполнения или даже при запуске на одном компьютере с различными входными параметрами. Таким образом, поведение вредоносного файла при каждом запуске может не подпадать под известный шаблон вредоносного поведения. Техническая проблема заключается в низком качестве определения вредоносных файлов, поведение которых не подпадает под известные шаблоны вредоносного поведения.But at the same time, the behavior of the file may differ depending on the runtime or even when running on the same computer with different input parameters. Thus, the behavior of the malicious file at each start may not fall under the known pattern of malicious behavior. The technical problem is the low definition quality of malicious files whose behavior does not fall within the known patterns of malicious behavior.
Известен метод обнаружения вредоносного программного обеспечения в реальной среде выполнения (ЕР 3140732 А1). Метод заключается в регистрации производимых программным обеспечением операций в журнал и в поиске в данном журнале известных шаблонов вредоносного поведения. Однако, данные метод не позволяет решить заявленную техническую проблему, т.е. не сможет определить вредоносный файл, поведение которого не подпадает под известные шаблоны вредоносного поведения.A known method for detecting malicious software in a real runtime (EP 3140732 A1). The method consists in registering the operations performed by the software in a log and in searching in this log for known patterns of malicious behavior. However, these methods do not allow to solve the claimed technical problem, i.e. it will not be able to identify a malicious file whose behavior does not fall within known patterns of malicious behavior.
Раскрытие сущности изобретенияDisclosure of the invention
Технический результат заключается в реализации назначения.The technical result consists in the implementation of the appointment.
Технический результат заключается в повышении качества определения вредоносного файла с использованием поведенческих правил за счет осуществления поиска соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, где объединенный журнал вызовов получен путем объединения различных локальных журналов вызовов для одинаковых файлов по меньшей мере с двух вычислительных устройств.The technical result consists in improving the quality of determining a malicious file using behavioral rules by searching for matching entries from the combined call log to at least one behavioral rule from the threat database, where the combined call log is obtained by combining different local call logs for the same files at least at least two computing devices.
Согласно варианту реализации используется способ определения вредоносного файла, в котором: с использованием средств защиты, работающих по меньшей мере на двух вычислительных устройствах, регистрируют в локальный журнал вызовов каждого вычислительного устройства по меньшей мере вызовы API-функций во время выполнения одинаковых файлов; на каждом вычислительном устройстве с помощью средства защиты во время выполнения файла осуществляют поиск в локальном журнале вызовов соответствия зарегистрированных по меньшей мере вызовов API-функций поведенческим правилам из локальной базы данных угроз, расположенной на вычислительном устройстве, при этом в случае, когда не найдено ни одного соответствия поведенческим правилам, то средство защиты передает локальный журнал вызовов средству обнаружения, находящемуся на удаленном сервере; с помощью средства обнаружения объединяют локальные журналы вызовов одинаковых файлов, полученные по меньшей мере от двух средств защиты, в объединенный журнал вызовов, таким образом, что для каждого локального журнала вызовов, в объединенном журнале вызовов содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов; с помощью средства обнаружения осуществляют поиск соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, при этом упомянутая база данных угроз расположена на удаленном сервере и содержит по меньшей мере все правила локальной базы данных угроз каждого упомянутого вычислительного устройства; при нахождении соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, определяют файл как вредоносный согласно найденному поведенческому правилу.According to an embodiment, a method for determining a malicious file is used, in which: using security tools operating on at least two computing devices, at least calls to API functions are recorded in the local call log of each computing device during the execution of identical files; on each computing device, using a protection tool, during file execution, a search is made in the local call log for correspondence of at least API function calls registered to the behavioral rules from the local threat database located on the computing device, while in the case when no compliance with behavioral rules, the security tool transmits the local call log to the detection tool located on the remote server; using the detection tool, combine local call logs of the same files received from at least two security means into a combined call log, so that for each local call log, the combined call log contains at least one entry that is not in the local call log using the detection tool, they search for matching records from the combined call log for at least one behavioral rule from the threat database, while the said threat database is located on the remote server and contains at least all the rules of the local threat database of each mentioned computing device; when matching records from the combined call log to at least one behavioral rule from the threat database, the file is determined to be malicious according to the found behavioral rule.
Согласно одному из частных вариантов реализации с помощью средств защиты дополнительно регистрируют, в частности, следующую информацию: процедуры передачи управления по адресу возврата из API-функций; прямые вызовы Windows NT Native API-функций; возвраты из Windows NT Native API-функций; события выключения или перезагрузки компьютерной системы; события в операционной системе; показатели компрометации; системные вызовы; вердикты средства защиты; контрольную сумму от файла или контрольную сумму от части файла; источник появления файла; результаты эмуляции выполнения файла; время появления файла на вычислительном устройстве; данные, получаемые по сети файлом; данные, передаваемые по сети файлом; подмена DNS-сервера на компьютере; отключение автоматического обновления операционной системы; отключение сетевого экрана; отключение средства защиты; отключение компоненты «Контроль учетных записей пользователей»; отключение компонента операционной системы «восстановление системы»; отключение опции «показывать скрытые файлы, папки и диски» в файловом менеджере; изменение правил сетевого экрана; изменение файла hosts; удаление файлом самого себя.According to one particular embodiment, the following information is additionally recorded using security features, in particular, the following information: control transfer procedures to the return address from the API functions; Direct calls to Windows NT Native API functions Returns from Windows NT Native API Functions computer shutdown or reboot events; events in the operating system; indicators of compromise; system calls remedy verdicts; a checksum from a file or a checksum from a part of a file; the source of the file; file execution emulation results; the time the file appeared on the computing device; data received over the network by a file; data transmitted over the network by a file; spoofing a DNS server on a computer; disabling automatic updating of the operating system; disable the firewall; disable protection; disabling the "User Account Control" component; disabling the system recovery component of the system recovery; disabling the option “show hidden files, folders and drives” in the file manager; Change firewall rules Modify the hosts file deleting the file itself.
Согласно другому частному варианту реализации дополнительно регистрируют информацию, аналогичную приведенной ранее и связанную с дочерними процессами и новыми файлами, созданными упомянутым файлом.According to another particular embodiment, information similar to the one given above and associated with child processes and new files created by the said file is additionally recorded.
Согласно еще одному частному варианту реализации дополнительно с помощью средства защиты от направленных атак, которое расположено на отдельном удаленном сервере и связано посредством компьютерной сети по меньшей мере с одним вычислительным устройством, регистрируют в локальный журнал вызовов упомянутого средства защиты от направленных атак информацию, связанную с файлом, выполняемым на упомянутом вычислительном устройстве и проходящую через компьютерную сеть, после чего передают упомянутый локальный журнал вызовов средству обнаружения.According to another particular embodiment, additionally, using the means of protection against targeted attacks, which is located on a separate remote server and connected via a computer network to at least one computing device, information related to the file is recorded in the local call log of said protection against targeted attacks executed on said computing device and passing through a computer network, after which the said local call log is transmitted to the caller fishing
Согласно одному из частных вариантов реализации с помощью средства защиты от направленных атак регистрируют, в частности, следующую информацию: показатели компрометации; вердикты средства защиты; контрольную сумму от файла или контрольную сумму от части файла; источник загрузки файла на вычислительное устройство; данные, передаваемые по сети файлом; данные, получаемые по сети файлом; подмена DNS-сервера на компьютере.According to one particular embodiment, using the means of protection against directed attacks, the following information is recorded, in particular: compromise indicators; remedy verdicts; a checksum from a file or a checksum from a part of a file; file download source to the computing device; data transmitted over the network by a file; data received over the network by a file; spoofing a DNS server on a computer.
Согласно варианту реализации используется способ определения вредоносного файла, в котором: получают от каждого из по меньшей мере двух средств защиты, установленных на различных вычислительных устройствах, локальные журналы вызовов, которые содержат по меньшей мере записи о вызовах API-функций во время выполнения одинаковых файлов на каждом из упомянутых вычислительных устройств; объединяют упомянутые локальные журналы вызовов в объединенный журнал вызовов, таким образом, что для каждого локального журнала вызовов, в объединенном журнале вызовов содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов; с помощью средства обнаружения осуществляют поиск соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз; при нахождении соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, определяют файл как вредоносный согласно найденному поведенческому правилу.According to an embodiment, a method for determining a malicious file is used, in which: from each of at least two security devices installed on different computing devices, local call logs that contain at least records of API function calls during the execution of identical files on each of said computing devices; combining said local call logs into a combined call log, so that for each local call log, the combined call log contains at least one entry that is not in the said local call log; using the detection tool, they search for matching records from the combined call log for at least one behavioral rule from the threat database; when matching records from the combined call log to at least one behavioral rule from the threat database, the file is determined to be malicious according to the found behavioral rule.
Согласно одному из частных вариантов реализации с помощью средств защиты дополнительно регистрируют, в частности, следующую информацию: процедуры передачи управления по адресу возврата из API-функций; прямые вызовы Windows NT Native API-функций; возвраты из Windows NT Native API-функций; события выключения или перезагрузки компьютерной системы; события в операционной системе; показатели компрометации; системные вызовы; вердикты средства защиты; контрольную сумму от файла или контрольную сумму от части файла; источник появления файла; результаты эмуляции выполнения файла; время появления файла на вычислительном устройстве; данные, получаемые по сети файлом; данные, передаваемые по сети файлом; подмена DNS-сервера на компьютере; отключение автоматического обновления операционной системы; отключение сетевого экрана; отключение средства защиты; отключение компоненты «Контроль учетных записей пользователей»; отключение компонента операционной системы «восстановление системы»; отключение опции «показывать скрытые файлы, папки и диски» в файловом менеджере; изменение правил сетевого экрана; изменение файла hosts; удаление файлом самого себя.According to one particular embodiment, the following information is additionally recorded using security features, in particular, the following information: control transfer procedures to the return address from the API functions; Direct calls to Windows NT Native API functions Returns from Windows NT Native API Functions computer shutdown or reboot events; events in the operating system; indicators of compromise; system calls remedy verdicts; a checksum from a file or a checksum from a part of a file; the source of the file; file execution emulation results; the time the file appeared on the computing device; data received over the network by a file; data transmitted over the network by a file; spoofing a DNS server on a computer; disabling automatic updating of the operating system; disable the firewall; disable protection; disabling the "User Account Control" component; disabling the system recovery component of the system recovery; disabling the option “show hidden files, folders and drives” in the file manager; Change firewall rules Modify the hosts file deleting the file itself.
Согласно одному из частных вариантов реализации дополнительно регистрируют информацию, аналогичную приведенной ранее и связанную с дочерними процессами и новыми файлами, созданными упомянутым файлом.According to one particular embodiment, information similar to that given earlier and associated with child processes and new files created by the said file is additionally recorded.
Согласно другому частному варианту реализации дополнительно получают локальный журнал вызовов от средства защиты от направленных атак, которое расположено на отдельном удаленном сервере и связано посредством компьютерной сети по меньшей мере с одним вычислительным устройством, при этом упомянутый локальный журнал вызовов содержит информацию, связанную с файлом, выполняемым на упомянутом вычислительном устройстве и проходящую через компьютерную сеть.According to another particular embodiment, a local call log is additionally obtained from means of protection against directed attacks, which is located on a separate remote server and is connected via a computer network to at least one computing device, said local call log containing information related to a file being executed on said computing device and passing through a computer network.
Согласно еще одному частному варианту реализации локальный журнал вызовов от средства защиты от направленных атак содержит, в частности, следующую информацию: показатели компрометации; вердикты средства защиты; контрольную сумму от файла или контрольную сумму от части файла; источник загрузки файла на вычислительное устройство; данные, передаваемые по сети файлом; данные, получаемые по сети файлом; подмена DNS-сервера на компьютере.According to yet another particular embodiment, the local call log from the means of protection against directed attacks contains, in particular, the following information: indicators of compromise; remedy verdicts; a checksum from a file or a checksum from a part of a file; file download source to the computing device; data transmitted over the network by a file; data received over the network by a file; spoofing a DNS server on a computer.
Согласно варианту реализации используется система определения вредоносного файла, содержащая: по меньшей мере два вычислительных устройства, на каждом из которых содержится локальная база данных угроз и установлено средство защиты, с использованием которого: регистрируют в локальный журнал вызовов каждого вычислительного устройства по меньшей мере вызовы API-функций во время выполнения одинаковых файлов; во время выполнения файла осуществляют поиск в локальном журнале вызовов соответствия зарегистрированных по меньшей мере вызовов API-функций поведенческим правилам из локальной базы данных угроз, расположенной на вычислительном устройстве; передают локальный журнал вызовов средству обнаружения, находящемуся на удаленном сервере в случае, когда не найдено ни одного поведенческого правила; удаленный сервер, содержащий базу данных угроз, которая содержит по меньшей мере все записи локальной базы данных угроз каждого упомянутого вычислительного устройства; средство обнаружения, связанное с базой данных угроз и предназначенное для: объединения локальных журналов вызовов одинаковых файлов, полученных по меньшей мере от двух средств защиты, в объединенный журнал вызовов, таким образом, что для каждого локального журнала вызовов, в объединенном журнале вызовов содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов; осуществления поиска соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз; определения файла как вредоносный при нахождении соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз.According to an embodiment, a malicious file detection system is used, comprising: at least two computing devices, each of which contains a local threat database and a security tool is installed, using which: at least API calls are recorded in the local call log of each computing device functions at runtime of identical files; during the execution of the file, they search in the local call log for correspondence of at least API function calls registered to the behavioral rules from the local threat database located on the computing device; transmitting the local call log to the discovery tool located on the remote server in the case when no behavioral rule is found; a remote server containing a threat database, which contains at least all entries of the local threat database of each of the computing devices; detection tool associated with the threat database and intended for: combining local call logs of the same files received from at least two security means into a combined call log, so that for each local call log, the combined call log contains at least at least one entry that is not in the said local call log; search for matching entries from the combined call log to at least one behavioral rule from the threat database; determining the file as malicious when matching entries from the combined call log to at least one behavioral rule from the threat database.
Согласно одному из частных вариантов реализации средства защиты дополнительно предназначены для регистрации, в частности, следующую информацию: процедуры передачи управления по адресу возврата из API-функций; прямые вызовы Windows NT Native API-функций; возвраты из Windows NT Native API-функций; события выключения или перезагрузки компьютерной системы; события в операционной системе; показатели компрометации; системные вызовы; вердикты средства защиты; контрольную сумму файла или его части; источник появления файла; результаты эмуляции выполнения файла; время появления файла на вычислительном устройстве; данные, получаемые по сети файлом; данные, передаваемые по сети файлом; подмена DNS-сервера на компьютере; отключение автоматического обновления операционной системы; отключение сетевого экрана; отключение средства защиты; отключение компоненты «Контроль учетных записей пользователей»; отключение компонента операционной системы «восстановление системы»; отключение опции «показывать скрытые файлы, папки и диски» в файловом менеджере; изменение правил сетевого экрана; изменение файла hosts; удаление файлом самого себя.According to one particular embodiment, the security features are additionally designed for registration, in particular, the following information: control transfer procedures to the return address from the API functions; Direct calls to Windows NT Native API functions Returns from Windows NT Native API Functions computer shutdown or reboot events; events in the operating system; indicators of compromise; system calls remedy verdicts; checksum of a file or its part; the source of the file; file execution emulation results; the time the file appeared on the computing device; data received over the network by a file; data transmitted over the network by a file; spoofing a DNS server on a computer; disabling automatic updating of the operating system; disable the firewall; disable protection; disabling the "User Account Control" component; disabling the system recovery component of the system recovery; disabling the option “show hidden files, folders and drives” in the file manager; Change firewall rules Modify the hosts file deleting the file itself.
Согласно одному из частных вариантов реализации средство защиты дополнительно предназначено регистрации информации, аналогичной приведенной ранее и связанной с дочерними процессами и новыми файлами, созданными упомянутым файлом.According to one particular embodiment, the security measure is additionally designed to register information similar to that given earlier and associated with child processes and new files created by the said file.
Согласно другому частному варианту реализации система определения вредоносного файла дополнительно содержит средство защиты от направленных атак, которое расположено на отдельном удаленном сервере и связано посредством компьютерной сети по меньшей мере с одним вычислительным устройством, при этом предназначено для регистрации в локальный журнал вызовов упомянутого средства защиты от направленных атак информации, связанной с упомянутым файлом и проходящей через компьютерную сеть, а также для передачи упомянутого локального журнала вызовов средству обнаружения.According to another particular embodiment, the malicious file detection system further comprises a means of protection against targeted attacks, which is located on a separate remote server and is connected via a computer network to at least one computing device, and is designed to register the said means of protection against directed to a local call log attacks of information related to the file and passing through the computer network, as well as to transmit the said local log call detection means.
Согласно еще одному частному варианту реализации с помощью средства защиты от направленных атак регистрируют, в частности, следующую информацию: показатели компрометации; вердикты средства защиты; контрольную сумму от файла или контрольную сумму от части файла; источник загрузки файла на вычислительное устройство; данные, передаваемые по сети файлом; данные, получаемые по сети файлом; подмена DNS-сервера на компьютере.According to another particular embodiment, using the means of protection against directed attacks, the following information is recorded, in particular: compromise indicators; remedy verdicts; a checksum from a file or a checksum from a part of a file; file download source to the computing device; data transmitted over the network by a file; data received over the network by a file; spoofing a DNS server on a computer.
Краткое описание чертежейBrief Description of the Drawings
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present invention will be apparent from reading the following description of an embodiment of the invention with reference to the accompanying drawings, in which:
На Фиг. 1 представлена схема настоящего изобретения.In FIG. 1 is a schematic diagram of the present invention.
На Фиг. 2 приведен возможный пример модулей средства защиты вычислительного устройства.In FIG. Figure 2 shows a possible example of modules for the protection of a computing device.
На Фиг. 3 приведен возможный пример модулей средства защиты от направленных атак.In FIG. Figure 3 shows a possible example of protection against attack modules.
На Фиг. 4 представлена схема способа определения вредоносного файла.In FIG. 4 is a diagram of a method for determining a malicious file.
Фиг. 5 представляет пример компьютерной системы общего назначения.FIG. 5 is an example of a general purpose computer system.
Осуществление изобретенияThe implementation of the invention
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако, настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details provided to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined in the scope of the attached claims.
ГлоссарийGlossary
Определим ряд терминов, которые будут использоваться при описании вариантов осуществления изобретения.Define a number of terms that will be used to describe embodiments of the invention.
Показатели компрометации (англ. indicator of compromise, ЮС, реже - индикаторы заражения) - артефакты или остаточные признаки вторжения в информационную систему, наблюдаемые на компьютере или в сети. Типичными показателями компрометации являются вирусные сигнатуры, IP-адреса, контрольные суммы файлов, URL-адреса, доменные имена командных центров ботнетов и др. Существует ряд стандартов показателей компрометации, в частности:Indicators of compromise (English indicator of compromise, US, less commonly infection indicators) - artifacts or residual signs of an intrusion into an information system, observed on a computer or on a network. Typical indicators of compromise are virus signatures, IP addresses, file checksums, URLs, domain names of botnet command centers, etc. There are a number of standards for indicators of compromise, in particular:
- ОреnIOC (http://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/, http://openioc.org/),- OrenIOC (http://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/, http://openioc.org/),
- STIX (https://stix.mitre.org/),- STIX (https://stix.mitre.org/),
- CybOX (https://cybox.mitre.org) и др.- CybOX (https://cybox.mitre.org), etc.
Компьютерная атака (также кибератака, от англ. cyber attack) - целенаправленное воздействие на информационные системы и информационно-телекоммуникационные сети программно-техническими средствами, осуществляемое в целях нарушения безопасности информации в этих системах и сетях (см. «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012 N 803)).A computer attack (also a cyber attack, from the English cyber attack) is a targeted impact on information systems and information and telecommunication networks by software and hardware, carried out in order to violate the security of information in these systems and networks (see. "The main directions of state policy in the field of ensuring security of automated control systems for production and technological processes of critical infrastructure of the Russian Federation ”(approved by the President of the Russian Federation 03.02.2012 N 803)).
Направленная атака (также целевая или целенаправленная атака, от англ. targeted attack - ТА) - частный случай компьютерной атаки, направленной на конкретную организацию или конкретного физического лица.Directed attack (also targeted or targeted attack, from the English targeted attack - TA) is a special case of a computer attack aimed at a specific organization or a specific individual.
Сложные атаки (англ. Advanced Persistent Threat - APT, также развитая устойчивая угроза или также целевая атака) - сложная, продолжительная, хорошо спланированная многоходовая компьютерная атака, использующая сложное вредоносное программное обеспечение (ПО), методы социальной инженерии и данные об информационной системе атакуемого.Complex attacks (Advanced Persistent Threat - APT, also a developed persistent threat or also a targeted attack) - a complex, long-lasting, well-planned multi-path computer attack using sophisticated malicious software (software), social engineering methods and information about the information system of the attacked.
Неточный хеш (англ. fuzzy hash) или гибкая свертка (англ. locality sensitive hash) - свертка файла, устойчивая к изменениям файла по которому она формируется. То есть при обнаружении вредоносного файла при помощи значения его свертки также будет детектироваться множество похожих (возможно неизвестных) вредоносных файлов. Главная особенность такой свертки - инвариантность к небольшим изменениям файла. См, например: RU 2580036, RU 2614561.An inaccurate hash (English fuzzy hash) or flexible convolution (English locality sensitive hash) is a convolution of a file that is resistant to changes to the file by which it is generated. That is, when a malicious file is detected using the value of its convolution, a lot of similar (possibly unknown) malicious files will also be detected. The main feature of such a convolution is the invariance to small file changes. See, for example: RU 2580036, RU 2614561.
Неточный вердикт - срабатывание средства защиты (антивирусного приложения) при обнаружении подозрительных действий во время выполнения файла, характерных для вредоносного файла. Неточный вердикт срабатывает, например, при обнаружении файла при помощи гибкой свертки. Неточный вердикт свидетельствует, что найденный файл является вредоносным с некоторой долей вероятности.Inaccurate verdict - the operation of a protection tool (anti-virus application) when it detects suspicious actions during file execution that are characteristic of a malicious file. An inaccurate verdict is triggered, for example, when a file is detected using flexible convolution. An inaccurate verdict indicates that the file found is malicious with some probability.
На Фиг. 1 представлена компьютерная система, служащая для определения вредоносного файла с использованием поведенческих правил. Информационная система 100 (также - корпоративная инфраструктура) включает совокупность вычислительных устройств 101 (также, для краткости, компьютеры), связанных между собой компьютерной сетью 105. Под вычислительными устройствами 101 в общем случае понимаются любые вычислительные устройства и сенсоры, в частности, персональные компьютеры, ноутбуки, смартфоны, а также коммуникационные устройства, такие как: маршрутизаторы, коммутаторы, концентраторы и пр. Стоит отметить, что вычислительное устройство 101 может быть, как физическим устройством, так и виртуальной машиной. Информационная система 100 может быть организована с использованием любой известной из уровня техники топологии сети 105, например одного из следующих типов: полносвязная, шина, звезда, кольцо, ячеистая или смешанного типа. На части вычислительных устройств 101 установлены средства защиты вычислительных устройств 102. Стоит отметить, что на некоторых вычислительных устройствах 101 может быть не установлено средство защиты 102. Информационная система 100 может включать средство защиты от направленных атак 103, которое может быть расположено, например, на отдельном удаленном сервере и связано посредством компьютерной сети 105 по меньшей мере с одним вычислительным устройством 101. Для подключения вычислительных устройств 101 посредством сети 105 к Интернету и средству обнаружения 110, могут быть использованы прокси-серверы (на фигуре не указаны).In FIG. Figure 1 shows a computer system used to determine a malicious file using behavioral rules. The information system 100 (also the corporate infrastructure) includes a set of computing devices 101 (also, for brevity, computers) interconnected by a computer network 105.
В одном частном примере реализации дополнительно средства защиты от направленных атак 103 предназначено для регистрации в локальный журнал вызовов 109 информации, связанной с упомянутым файлом, который выполняется на упомянутом вычислительном устройстве 101, и проходящей через компьютерную сеть 105, в частности:In one particular implementation example, additional means of protection against targeted
- показатели компрометации;- indicators of compromise;
- вердикты средства защиты (например, вердикт песочницы, IDS);- verdicts of remedies (e.g. sandbox verdict, IDS);
- контрольную сумму от файла или контрольную сумму от части файла;- the checksum from the file or the checksum from the part of the file;
- источник загрузки файла на вычислительное устройство 101 (например, IP-адрес источника, флеш-накопитель с которого файл был загружен на компьютер и др.);- the source for downloading the file to the computing device 101 (for example, the IP address of the source, the flash drive from which the file was downloaded to the computer, etc.);
- данные, передаваемые по сети файлом (например, по каким IP-адресам происходит обращение, какие пакеты передаются и пр.);- data transmitted over the network by a file (for example, what IP addresses are being accessed, what packets are transmitted, etc.);
- данные, получаемые по сети файлом (например, с каких IP-адресов происходит обращение, какие пакеты передаются и пр.);- data received over the network by a file (for example, from which IP addresses are being accessed, which packets are transmitted, etc.);
- подмена DNS-сервера на компьютере.- substitution of the DNS server on the computer.
Средство защиты от направленный атак 103 также предназначено для передачи локального журнала вызовов 109 средство обнаружения 110.The means of protection against directed
Система включает по меньшей мере два вычислительных устройства 101 с работающими на них средствами защиты 102. Средства защиты 102 регистрируют в локальный журнал вызовов 107 каждого вычислительного устройства 101 по меньшей мере вызовы API-функций во время выполнения исследуемого файла (например, имя функции, передаваемые параметры, время вызова функции).The system includes at least two
В частном варианте реализации каждая запись локального журнала вызовов 107 о вызовах API-функций содержит, в частности, следующую информацию:In a particular embodiment, each entry of the local call log 107 about calls to API functions contains, in particular, the following information:
- имя вызванной функции;- name of the called function;
- уникальный идентификатор процесса (process identifier, PID), запущенного из упомянутого файла 134;- a unique identifier of the process (process identifier, PID) launched from said file 134;
- уникальный идентификатор потока (thread identifier, TID), выполняющего инструкции адресного пространства процесса;- a unique thread identifier (TID) that executes the instructions of the process address space;
- набор аргументов упомянутой функции;- a set of arguments of the mentioned function;
- время вызова функции.- function call time.
Средство защиты 102 в процессе выполнения файла осуществляет поиск в локальном журнале вызовов 107 соответствия зарегистрированных по меньшей мере вызовов API-функций поведенческим правилам из локальной базы данных угроз 108. В частном варианте реализации локальный журнал вызовов 107 и локальная база данных угроз 108 расположены на вычислительном устройстве 101.The security tool 102, in the process of executing the file, searches the local call log 107 for the correspondence of at least registered API function calls to the behavioral rules from the
Поведенческое правило включает информацию о вызове по меньшей мере одной API-функции и вердикт (например, вирус, червь, троянская программа или условно нежелательное ПО), в случае, если это правило сработает. В частном примере реализации поведенческие правила состоят, в частности, из набора вызовов API-функций и логических выражений над ними. Например, если были вызваны определенные API-функции с определенными параметрами, заданные поведенческим правилом, то средство защиты 102 найдет упомянутое правило в журнале вызовов 107.A behavioral rule includes information about calling at least one API function and a verdict (for example, a virus, a worm, a Trojan, or conditionally unwanted software) if this rule works. In a particular implementation example, behavioral rules consist, in particular, of a set of calls to API functions and logical expressions above them. For example, if certain API functions were called with specific parameters defined by a behavioral rule, then security tool 102 will find the rule in the
Поведенческому правилу также соответствует вердикт, который выдается при срабатывании этого правила - то есть наиболее вероятная категория вредоносного или нежелательного ПО, которой соответствует упомянутое правило. Вердикт может быть, например, следующим: вирус, червь, троянская программа или условно нежелательное ПО.The behavioral rule also corresponds to the verdict that is issued when this rule is triggered - that is, the most likely category of malware or unwanted software that the rule refers to. The verdict may be, for example, the following: a virus, a worm, a trojan, or conditionally unwanted software.
В частном примере реализации поведенческие правила включают, в частности, следующие:In a particular implementation example, behavioral rules include, but are not limited to:
- вызов API-функции из списка подозрительных API-функций (например, список может содержать следующие API-функции: WinExec, CreateProcess, GetFileSize, CreateFile);- calling an API function from the list of suspicious API functions (for example, the list may contain the following API functions: WinExec, CreateProcess, GetFileSize, CreateFile);
- вызов API-функции GetFileSize был совершен 10 раз;- the GetFileSize API function call was made 10 times;
- после вызова API-функции WriteFile (запись в файл) будет следовать вызов API-функции WinExec (запуск файла на выполнение);- after calling the WriteFile API function (writing to a file), a call to the WinExec API function (starting the file for execution) will follow;
- подмену DNS-сервера на компьютере;- substitution of the DNS server on the computer;
- отключение автоматического обновления операционной системы;- disabling automatic updating of the operating system;
- отключение сетевого экрана;- disable the firewall;
- отключение средства защиты;- disable protection;
- отключение UAC (англ. User Account Control, UAC - компонент ОС Windows, Контроль учетных записей пользователей);- Disabling UAC (Eng. User Account Control, UAC - component of the Windows OS, User Account Control);
Если средство защиты 102 не нашло соответствия записей локального журнала вызовов 107 ни одному поведенческому правилу из локальной базы данных угроз 108, то средство защиты 102 передает локальный журнал вызовов 107 средству обнаружения 110, находящемуся на удаленном сервере.If the security tool 102 does not match the records of the local call log 107 to any behavioral rule from the
В частном варианте реализации средство защиты 102 может передавать локальный журнал вызовов 107 средству обнаружения 110 только, если было найдено поведенческое правило, которому соответствует вердикт вредоносного ПО. В другом примере реализации локальный журнал вызовов 107 будет передан также, если найдено поведенческое правило, которому соответствует вердикт условно нежелательное ПО.In a particular embodiment, the security tool 102 may transmit the local call log 107 to the detection tool 110 only if a behavior rule has been found that matches the malware verdict. In another example implementation, a
Средство обнаружения 110 объединяет для анализируемого файла локальные журналы вызовов 107, полученные по меньшей мере от двух средств защиты 102 в объединенный журнал вызовов 116, расположенный на удаленном сервере.Detector 110 combines the local call logs 107 received from at least two security means 102 into an
Стоит отметить, что объединение локальных журналов вызовов 107 происходит в том случае, когда для каждого локального журнала вызовов 107, в объединенном журнале вызовов 116 содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов 107. Таким образом, объединенный журнал вызовов 116 является более полным чем каждый отдельно взятый локальный журнал вызовов 107.It is worth noting that the consolidation of local call logs 107 occurs when for each
Приведем пример - пусть имеется три локальных журнала вызовов. Первый журнал содержит записи А, В, С, второй - А, В, D, а третий - А, С, D. В этом примере будет создан объединенный журнал вызовов, содержащий записи А, В, С, D. При этом, для каждого локального журнала вызовов 107, в объединенном журнале вызовов 116 содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов 107. Запись D отсутствует в первом журнале, запись С отсутствует во втором журнале, а запись В - в третьем журнале.To give an example, let there be three local call logs. The first log contains entries A, B, C, the second contains A, B, D, and the third contains A, C, D. In this example, a combined call log will be created containing the entries A, B, C, D. Moreover, for of each
Приведем еще один пример - пусть имеется три локальных журнала вызовов. Первый журнал содержит записи А, В, второй - А, В, С, а третий - А, С. В этом примере объединенный журнал вызовов не будет создан, так как он бы содержал записи А, В, С, и совпадал бы со вторым локальным журналом (т.е. в объединенном журнале не было бы записей, отсутствующий во втором журнале).To give one more example, let there be three local call logs. The first log contains entries A, B, the second - A, B, C, and the third - A, C. In this example, the combined call log will not be created, since it would contain entries A, B, C, and would coincide with the second a local journal (i.e., there would be no entries in the combined journal that are not in the second journal).
В одном частном примере реализации объединенный журнал вызовов 116 будет содержать все записи каждого локального журнала вызовов 107. В другом частном примере реализации объединенный журнал вызовов 116 будет содержать все записи одного локального журнала вызовов 107 (например, первого) и записи других локальных журналов вызовов 107, отсутствующие в первом журнале вызовов.In one particular implementation example, the combined
В частном примере реализации объединение локальных журналов вызовов 107 в журнал вызовов 116 происходит путем объединения записей упомянутых локальных журналов вызовов 107. При этом, пересекающиеся записи могут как дублироваться, так и не дублироваться в объединенном журнале вызовов 116. В еще одном примере реализации локальные журналы вызовов 107 могут дополнительно содержать граф потока управления процесса (англ. control flow graph, CFG), запущенного из файла и, в этом примере, объединенный журнал вызовов 116 будет содержать объединенный граф потока управления для упомянутого файла, полученный путем объединения нескольких графов потока управления.In a particular implementation example, the integration of local call logs 107 into a
Средство обнаружения 110 осуществляет поиск соответствия записей из объединенного журнала вызовов 116 по меньшей мере одному поведенческому правилу из базы данных угроз 111. При этом упомянутая база данных угроз расположена на удаленном сервере и содержит по меньшей мере все записи локальной базы данных угроз 108 каждого вычислительного устройства 101.Detector 110 searches for matching records from the
На Фиг. 2 приведен возможный пример модулей средства защиты вычислительного устройства. Средство защиты вычислительного устройства 102 может содержать модули, предназначенные для обеспечения безопасности вычислительного устройства 101: сканер по доступу, сканер по требованию, почтовый антивирус, веб-антивирус, модуль проактивной защиты, модуль HIPS (англ. Host Intrusion Prevention System - система предотвращения вторжений), DLP-модуль (англ. data loss prevention - предотвращение утечки данных), сканер уязвимостей, эмулятор, сетевой экран и др. В частном примере реализации указанные модули могут быть составной частью средства защиты 102. В еще одном примере реализации данные модули могут быть реализованы в виде отдельных программных компонент.In FIG. Figure 2 shows a possible example of modules for a computing device protection. The security device of the computing device 102 may contain modules designed to ensure the security of the computing device 101: an access scanner, an on-demand scanner, mail antivirus, web antivirus, proactive protection module, HIPS module (Host Intrusion Prevention System - intrusion prevention system) , DLP module (data loss prevention), vulnerability scanner, emulator, firewall, etc. In a particular example implementation, these modules can be an integral part of security tool 102. In another example, p alizatsii these modules may be implemented as separate software components.
Сканер по доступу содержит функционал обнаружения вредоносной активности всех открываемых, запускаемых и сохраняемых файлов на компьютерной системе пользователя. Сканер по требованию отличается от сканера по доступу тем, что сканирует заданные пользователем файлы и директории по требованию пользователя.The access scanner contains functionality for detecting malicious activity of all opened, launched and saved files on the user's computer system. The on-demand scanner differs from the access scanner in that it scans user-specified files and directories on demand.
Почтовый антивирус необходим для контроля входящей и исходящей электронной почты на предмет содержания вредоносных файлов. Веб-антивирус служит для предотвращения выполнения вредоносного кода, который может содержаться на веб-сайтах, помещаемых пользователем, а также для блокирования открытия веб-сайтов. Модуль HIPS служит для обнаружения нежелательной и вредоносной активности программ и блокирования ее в момент выполнения. DLP-модуль служит для обнаружения и предотвращения утечки конфиденциальных данных за пределы компьютера или сети. Сканер уязвимостей необходим для обнаружения уязвимостей на вычислительном устройстве 101 (например, отключены некоторые компоненты средства защиты 102, устаревшие вирусные базы, закрыт сетевой порт и пр.). Сетевой экран осуществляет контроль и фильтрацию сетевого трафика в соответствии с заданными правилами. Работа эмулятора заключается в имитации гостевой системы во время выполнения кода в эмуляторе. Модуль проактивной защиты использует поведенческие сигнатуры для обнаружения поведения исполняемых файлов и их классификации по уровню доверия.Mail antivirus is required to control incoming and outgoing e-mail regarding the contents of malicious files. Web antivirus is used to prevent the execution of malicious code that may be contained on websites hosted by the user, as well as to block the opening of websites. The HIPS module serves to detect unwanted and malicious activity of programs and block it at runtime. The DLP module is used to detect and prevent confidential data from leaking out of a computer or network. Vulnerability scanner is required to detect vulnerabilities on computing device 101 (for example, some components of protection tool 102, outdated virus databases are disabled, the network port is closed, etc.). The firewall monitors and filters network traffic in accordance with the specified rules. The emulator works by simulating the guest system while the code is running in the emulator. The proactive defense module uses behavioral signatures to detect the behavior of executable files and classify them by trust level.
Приведенные модули при обнаружении вредоносного программного обеспечения (подозрительного поведения, спама и др. признаков компьютерной угрозы), создают соответствующее уведомление (которое далее может быть преобразовано в вердикт средства защиты 102), указывающее средству защиты об обнаруженной угрозе и необходимости выполнить действия по устранению угрозы (например, удаление или изменение файла, запрет выполнения и пр.). В частном примере реализации, сам модуль, обнаруживший вредоносное ПО, может выполнить действия по устранению угрозы. В еще одном примере вердикт может быть неточным или тестовым (т.к. данный вердикт может давать ложные срабатывания) - в этом случае, средство защиты не будет выполнять действий по устранению угрозы, но передаст уведомление далее, средству обнаружения 110. Стоит отметить, что вердикт средства защиты 102 является частью информации об файле, которая затем будет передана средству обнаружения 110 в виде уведомления безопасности. В частном варианте реализации вредоносное программное обеспечение включает следующие категории (вердикт соответствует категории) - вредоносное ПО и условно нежелательное ПО. Вредоносное ПО может иметь подкатегории - вирусы, черви, троянские программы, упаковщики, вредоносные утилиты. Условно нежелательное ПО - рекламное ПО (англ. adware), ПО связанное с порнографическим содержимым (pornware), легальное ПО использование которого может причинить вред компьютеру (riskware) и др.When the detected modules detect malicious software (suspicious behavior, spam, and other signs of a computer threat), they create a corresponding notification (which can then be converted to the verdict of protection means 102), indicating to the protection means about the detected threat and the need to take actions to eliminate the threat ( for example, deleting or modifying a file, prohibition of execution, etc.). In a particular implementation example, the module itself, which detects malware, can perform actions to eliminate the threat. In another example, the verdict can be inaccurate or test (since this verdict can give false positives) - in this case, the security measure will not take action to eliminate the threat, but will send a notification to the detection tool 110. It should be noted that The security verdict 102 is part of the file information, which will then be transmitted to the detection tool 110 as a security notification. In a private embodiment, the malware includes the following categories (the verdict corresponds to the category) - malware and conditionally unwanted software. Malicious software can have subcategories - viruses, worms, trojans, packers, malware. Conditionally unwanted software is adware (Eng. Adware), software related to pornographic content (pornware), legal software that can harm your computer (riskware), etc.
На Фиг. 3 приведен возможный пример модулей средства защиты от направленных атак. Средство защиты от направленных атак 103 может содержать, например, следующие модули защиты: «песочницу», систему обнаружения вторжений (англ. - Intrusion Detection System, IDS), репутационный сервис, модуль проверки YARA правил и другие модули обнаружения.In FIG. Figure 3 shows a possible example of protection against attack modules. The means of protection against targeted
Модуль «песочница» имеют функционал, аналогичный эмулятору средства защиты вычислительного устройства 102 с тем отличием, что «песочница» может использовать дополнительные вычислительные мощности и работать большее время, так как у средства защиты от направленных атак 103 отсутствуют ограничения по времени, присущие средству защиты вычислительного устройства 102.The sandbox module has a functionality similar to the emulator of a security device of a computing device 102, with the difference that the sandbox can use additional computing power and work longer, since the protection against directed
«Песочница» является компьютерной средой для безопасного выполнения процессов и служит для определения подозрительной активности при выполнении процесса, запущенного из файла.The sandbox is a computer environment for the safe execution of processes and is used to determine suspicious activity during the execution of a process launched from a file.
Песочница может быть реализована, например, в виде виртуальной машины, на основе частичной виртуализации файловой системы и реестра, на основе правил доступа к файловой системе и реестру или на основе смешанного подхода.A sandbox can be implemented, for example, as a virtual machine, based on partial virtualization of the file system and registry, based on access rules to the file system and registry, or based on a mixed approach.
Система обнаружения вторжений является средством выявления фактов неавторизованного доступа на вычислительное устройство 101 или сеть 105 либо несанкционированного управления ими.An intrusion detection system is a means of detecting unauthorized access to a
Сервер репутации может содержит информацию о популярности файлов на вычислительных устройствах 101 (количество вычислительных устройств 101, на которых имеется файл, количество запусков файла и пр.).The reputation server may contain information about the popularity of files on computing devices 101 (the number of
Модуль проверки YARA правил служит для проверки сигнатур YARA - открытого формата сигнатур (см., http://yararules.com/).The YARA rule validation module is used to validate YARA signatures, an open signature format (see, http://yararules.com/).
DLP-модуль служит для обнаружения и предотвращения утечки конфиденциальных данных за пределы компьютера или сети.The DLP module is used to detect and prevent confidential data from leaking out of a computer or network.
На Фиг. 4 представлена схема способа определения вредоносного файла. Так, на шаге 401 с использованием средств защиты 102, работающих по меньшей мере на двух вычислительных устройствах 101, регистрируют в локальный журнал вызовов 107 каждого вычислительного устройства 101 по меньшей мере вызовы API-функций во время выполнения одинаковых файлов (то есть на каждом вычислительном устройстве выполняются идентичные файлы).In FIG. 4 is a diagram of a method for determining a malicious file. So, in
При этом, вычислительные устройства 101 могут иметь различное окружение (операционная система (ОС) и ее версии, установленные обновления ОС, установленное программное обеспечение и драйверы, выполняемые сервисы и процессы, наличие подключение к сети Интернет, периферийные устройства и пр.). Кроме того, файл (анализируемый) может быть открыт на выполнение с различными параметрами в зависимости от вычислительного устройства 101 или времени открытия или других факторов. Такими параметрами могут быть, например права пользователя (с правами администратора или правами пользователя), объект запуска (например, исполняемому файлу передается на вход какой-либо объект или другой файл), с различными ключами запуска (например, команда "ie.exe -k" интерпретатора командной строки Windows "Cmd.exe" запускает браузер Internet Explorer в полноэкранном режиме) и другими. Таким образом, во время выполнения одного файла на различных вычислительных устройствах 101 (или даже на одном устройстве), упомянутый файл может иметь различное поведение, производить вызовы различных API-функций и т.д. Например, если на одном вычислительном устройстве 101 отсутствует подключение к сети Интернет, файл не сможет обратиться по IP-адресам, по которым он может обратиться при выполнении на другом вычислительном устройстве 101, на котором присутствует подключение к сети Интернет.At the same time,
На шаге 402 на каждом из упомянутых вычислительных устройств 101 с помощью средства защиты 102 (установленном на соответствующем вычислительном устройстве 101) в процессе выполнения файла в локальном журнале вызовов 107 осуществляется поиск соответствия зарегистрированных по меньшей мере вызовов API-функций поведенческим правилам из локальной базы данных угроз 108. Если средство защиты 102 выявило соответствие хотя бы одному поведенческому правилу, то файл будет определен вредоносным непосредственно на вычислительном устройстве 101 и дальнейшее выполнение файла будет завершено средством защиты 102.At
Иначе - на шаге 403 средство защиты 102 передаст локальный журнал вызовов 107 средству обнаружения 110.Otherwise, in
На шаге 404 с помощью средства обнаружения 110 объединяют для упомянутого файла полученные локальные журналы вызовов 107 в объединенный журнал вызовов 116. Стоит отметить, что шаг 404 будет применим, когда для каждого локального журнала вызовов 107 в объединенном журнале вызовов 116 содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов 107.In
На шаге 405 средство обнаружения 110 осуществляет поиск соответствия записей из объединенного журнала вызовов 116 по меньшей мере одному поведенческому правилу из базы данных угроз 111. В частном варианте реализации локальная база данных угроз 108 и база данных угроз 111 являются копиями. В другом частном варианте реализации база данных угроз 111 содержит по меньшей мере все записи локальной базы данных угроз 108 и, возможно, другие записи. Например, с целью экономии места на вычислительных устройствах 101, локальные базы данных угроз 108 могут содержать записи о наиболее распространенных угрозах, которые характерны для данного региона, в данный момент времени или для компании-владельца информационно системы 100. В еще одном примере, локальные базы данных угроз 108 являются зеркальной копией базы данных угроз 111 и обновляются периодически. В этом случае, очевидно, что с момента последнего обновления локальной базы данных угроз 108 и до момента следующего запланированного обновления, база данных угроз 111 могла пополниться новыми записями об угрозах, отсутствующими в локальных базах данных угроз 108.At
В итоге, на шаге 406, если была найдено соответствие записей из объединенного журнала вызовов 116 по меньшей мере одному поведенческому правилу из базы данных угроз 111, файл будет определен как вредоносный согласно найденному поведенческому правилу. При этом, в зависимости от найденного поведенческого правила, на шаге 407 средство обнаружения 110 выдать вердикт определенному файлу (например, вирус, червь, троянская программа или условно нежелательное ПО) и может создать вирусную сигнатуру для средства защиты 102. Под вирусной сигнатурой понимается, например, сигнатура для модуля сигнатурного анализа средства защиты 102 или сигнатура эмулятора.As a result, at
Таким образом, будет решена заявленная техническая проблема - с использованием приведенного способа будет определен вредоносный файл, который не был определен средством защиты 102. И будет достигнут технический результат - повышено качество определения вредоносного файла с использованием поведенческих правил за счет осуществления поиска соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, где объединенный журнал вызовов получен путем объединения различных локальных журналов вызовов для одинаковых файлов по меньшей мере с двух вычислительных устройств.Thus, the claimed technical problem will be solved - using the above method, a malicious file that was not detected by the protection means 102 will be detected. And a technical result will be achieved - the quality of determining a malicious file using behavior rules will be improved by searching for matching entries from the combined journal calls to at least one behavioral rule from the threat database, where the combined call log is obtained by combining different local call logs for duplicate files to at least two computing devices.
Приведем несколько примеров различного поведения во время выполнения файла на различных вычислительных устройствах 101 в зависимости от их окружения.Here are a few examples of different behaviors during file execution on
Например, если файл содержит код для обнаружения и обхода эмулятора, то на вычислительном устройстве 101 с работающим эмулятором, файл может выполнять безопасные действия, в то время как на другом вычислительном устройстве 101, на котором эмулятор не работает, файл будет выполнять вредоносные действия.For example, if the file contains code for detecting and bypassing the emulator, then on the
В еще одном примере файл может проверять местоположение вычислительного устройства 101 (например, по локализации ОС) и выполнять различные действия в зависимости от местоположения. В другом примере во время выполнения файла могут быть выполнены вредоносные действия по отношения к конкретным приложениям и получены соответствующие вердикты, и если на одном вычислительном устройстве 101 эти приложения не установлены, то вредоносные действия не будут выполнены, вердикты получены не будут.In another example, a file can check the location of computing device 101 (for example, by OS localization) and perform various actions depending on location. In another example, during the execution of a file, malicious actions can be performed in relation to specific applications and corresponding verdicts are received, and if these applications are not installed on one
В еще одном примере файл может загружать по сети дополнительные вредоносные модули в зависимости от архитектуры ОС (32- или 64-битная). В еще одном примере, файл может использовать различные каналы доступа к командному центру - например, через HTTPs, DNS, Twitter, Yandex. Disk или другие каналы доступа. В этом случае, на одном вычислительном устройстве 101 файл может обратиться через HTTPs, а на другом через Twitter из-за того, что не получилось получить доступ через HTTPs.In another example, a file may download additional malicious modules over the network, depending on the OS architecture (32-bit or 64-bit). In another example, a file can use various access channels to the command center - for example, through HTTPs, DNS, Twitter, Yandex. Disk or other access channels. In this case, on one
В еще одном примере файл, запущенный на вычислительном устройстве 101 с правами администратора может сразу начать выполнять вредоносную активность. А при запуске этого же файла на вычислительном устройстве 101 без прав администратора, файл может пытаться повысить свои права.In another example, a file running on the
В частном варианте реализации с помощью средства защиты 102 дополнительно регистрируют, в частности, следующую информацию:In a particular embodiment, with the help of the protective equipment 102, the following information is additionally recorded, in particular:
- процедуры передачи управления по адресу возврата из API-функций;- procedures for transferring control to the return address from the API functions;
- прямые вызовы Windows NT Native API-функций;- direct calls to Windows NT Native API functions;
- возвраты из Windows NT Native API-функций;- returns from Windows NT Native API functions;
- события выключения или перезагрузки компьютерной системы;- events of shutting down or rebooting a computer system;
- системные события операционной системы;- system events of the operating system;
- показатели компрометации;- indicators of compromise;
- системные вызовы (например, fopen(), create());- system calls (for example, fopen (), create ());
- вердикты средства защиты (например, вирус, червь, троянская программа или условно нежелательное ПО);- verdicts of a security measure (for example, a virus, a worm, a trojan, or conditionally unwanted software);
- контрольную сумму от файла или контрольную сумму от части файла;- the checksum from the file or the checksum from the part of the file;
- источник загрузки файла на вычислительное устройство 101 (например, IP-адрес источника, флеш-накопитель с которого файл был загружен на компьютер и др.);- the source for downloading the file to the computing device 101 (for example, the IP address of the source, the flash drive from which the file was downloaded to the computer, etc.);
- результаты эмуляции выполнения файла (вердикт эмулятора);- Results of emulating file execution (emulator verdict);
- время появления файла на вычислительном устройстве;- the time the file appeared on the computing device;
- данные, передаваемые по сети файлом (например, по каким IP-адресам происходит обращение, какие пакеты передаются и пр.);- data transmitted over the network by a file (for example, what IP addresses are being accessed, what packets are transmitted, etc.);
- данные, получаемые по сети файлом (например, с каких IP-адресов происходит обращение, какие пакеты передаются и пр.).- data received over the network by a file (for example, from which IP addresses are being accessed, which packets are transmitted, etc.).
В другом частном примере реализации с помощью средства защиты 102 дополнительно регистрируют, в частности, следующую информацию:In another particular implementation example, with the help of the protection means 102, the following information is additionally recorded, in particular:
- подмена DNS-сервера на компьютере;- substitution of the DNS server on the computer;
- отключение автоматического обновления операционной системы;- disabling automatic updating of the operating system;
- отключение сетевого экрана;- disable the firewall;
- отключение средства защиты;- disable protection;
- отключение компоненты «Контроль учетных записей пользователей»;- Disabling the "User Account Control" component;
- отключение компонента операционной системы «восстановление системы».- disabling the component of the operating system "system recovery".
В еще одном частном примере реализации с помощью средства защиты 102 дополнительно регистрируют, в частности, следующую информацию:In yet another particular embodiment, with the aid of the security device 102, the following information is additionally recorded, in particular:
- отключение опции «показывать скрытые файлы, папки и диски» в файловом менеджере;- disabling the option “show hidden files, folders and disks” in the file manager;
- изменение правил сетевого экрана;- change the rules of the firewall;
- изменение файла hosts;- changing the hosts file;
- удаление файлом самого себя (например, из анализируемого файла, являющегося вредоносным, выполняется процесс, который далее внедряет вредоносный код в контекст системного процесса svchost.exe, а затем удаляет анализируемый файл);- deleting the file itself (for example, from a file being analyzed that is malicious, a process is performed that further injects the malicious code into the context of the svchost.exe system process and then deletes the file being analyzed);
- событий выключения или перезагрузки компьютерной системы;- events of shutting down or rebooting a computer system;
- исключительных ситуаций, произошедших в процессе;- exceptional situations that occurred in the process;
- получение адресов дескрипторов системных библиотек (например, kernel32.dll, ntdll.dll);- Obtaining addresses of system library descriptors (for example, kernel32.dll, ntdll.dll);
- выделение памяти;- memory allocation;
- чтение системных структур (англ. process environment block - РЕВ);- reading system structures (Eng. process environment block - REV);
- последовательное получение дескрипторов файлов.- sequential receipt of file descriptors.
В еще одном частном варианте реализации, дополнительно регистрируют приведенную выше информацию, связанную с дочерними процессами и новыми файлами, которые были созданы в процессе выполнения анализируемого файла.In another particular embodiment, the above information is additionally recorded related to the child processes and new files that were created during the execution of the analyzed file.
В одном частном примере реализации дополнительно с помощью средства защиты от направленных атак 103, которое расположено на отдельном удаленном сервере и связано посредством компьютерной сети 105 по меньшей мере с одним вычислительным устройством 101, регистрируют в локальный журнал вызовов 109 упомянутого средства защиты от направленных атак информацию, связанную с файлом, выполняемым на упомянутом вычислительном устройстве 101 и проходящую через компьютерную сеть, в частности:In one particular implementation example, additionally, with the help of protection against targeted
- показатели компрометации;- indicators of compromise;
- вердикты средства защиты (например, вердикт песочницы, IDS);- verdicts of remedies (e.g. sandbox verdict, IDS);
- контрольную сумму от файла или контрольную сумму от части файла;- the checksum from the file or the checksum from the part of the file;
- источник загрузки файла на вычислительное устройство 101 (например, IP-адрес источника, флеш-накопитель с которого файл был загружен на компьютер и др.);- the source for downloading the file to the computing device 101 (for example, the IP address of the source, the flash drive from which the file was downloaded to the computer, etc.);
- данные, передаваемые по сети файлом (например, по каким IP-адресам происходит обращение, какие пакеты передаются и пр.);- data transmitted over the network by a file (for example, what IP addresses are being accessed, what packets are transmitted, etc.);
- данные, получаемые по сети файлом (например, с каких IP-адресов происходит обращение, какие пакеты передаются и пр.);- data received over the network by a file (for example, from which IP addresses are being accessed, which packets are transmitted, etc.);
- подмена DNS-сервера на компьютере.- substitution of the DNS server on the computer.
Средство защиты от направленный атак 103 в этом примере реализации далее передает локальный журнал вызовов 109 средство обнаружения 110, которое добавляет записи локального журнала вызовов 109 в объединенный журнал вызовов 116 на шаге 404.The targeted
В частном варианте реализации, средство защиты от направленных атак 103 также может быть связано с локальной базой данных угроз 112. В этом случае, средство защиты от направленных атак 103 может осуществить поиск соответствия записей локального журнала вызовов 109 поведенческим правилам из локальной базы данных угроз 112. В случае, если будет найдено соответствие по меньшей мере одному поведенческому правилу - файл может быть определен вредоносным, будет выдан соответствующий вердикт и будет направлено уведомление средству защиты 102, расположенному на вычислительном устройстве 101, на котором выполняется упомянутый файл. После чего средство защиты 102 выполнит необходимые действия по устранению файла, определенного вредоносным. Если же средство защиты от направленных атак 103 не выявит соответствия ни одному из поведенческих правил, то локальный журнал вызовов 109 будет передан средству обнаружения 110 на шаге 403.In a particular embodiment, the protection against targeted
В частном примере реализации локальный журнал вызовов 109, а также локальная база данных угроз 112 расположены на том же удаленном сервере, на котором расположено средство защиты от направленных атак 103.In a particular implementation example, the
В частном варианте реализации локальная база данных угроз 112 и база данных угроз 111 являются копиями. В другом частном варианте реализации база данных угроз 111 содержит по меньшей мере все записи локальной базы данных угроз 112 и, возможно, другие записи.In a particular embodiment, the
Фиг. 5 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 5 is an example of a general purpose computer system, a personal computer or
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п.Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 5. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях (также - информационных системах), внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks (also - information systems), internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the
В соответствии с описанием, компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.In accordance with the description, components, execution steps, data structure described above can be performed using various types of operating systems, computer platforms, programs.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information provided in the description are examples that do not limit the scope of the present invention defined by the claims.
Claims (126)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017136610A RU2673407C1 (en) | 2017-10-18 | 2017-10-18 | System and method for identifying malicious files |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017136610A RU2673407C1 (en) | 2017-10-18 | 2017-10-18 | System and method for identifying malicious files |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2673407C1 true RU2673407C1 (en) | 2018-11-26 |
Family
ID=64556398
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2017136610A RU2673407C1 (en) | 2017-10-18 | 2017-10-18 | System and method for identifying malicious files |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2673407C1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2454714C1 (en) * | 2010-12-30 | 2012-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of increasing efficiency of detecting unknown harmful objects |
US9111094B2 (en) * | 2011-01-21 | 2015-08-18 | F-Secure Corporation | Malware detection |
US20170075697A1 (en) * | 2014-05-05 | 2017-03-16 | Tencent Technology (Shenzhen) Company Limited | Startup accelerating method and appartus |
RU2614929C1 (en) * | 2015-09-30 | 2017-03-30 | Акционерное общество "Лаборатория Касперского" | Method for anti-virus records transmission used to detect malicious files |
-
2017
- 2017-10-18 RU RU2017136610A patent/RU2673407C1/en active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2454714C1 (en) * | 2010-12-30 | 2012-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of increasing efficiency of detecting unknown harmful objects |
US9111094B2 (en) * | 2011-01-21 | 2015-08-18 | F-Secure Corporation | Malware detection |
US20170075697A1 (en) * | 2014-05-05 | 2017-03-16 | Tencent Technology (Shenzhen) Company Limited | Startup accelerating method and appartus |
RU2614929C1 (en) * | 2015-09-30 | 2017-03-30 | Акционерное общество "Лаборатория Касперского" | Method for anti-virus records transmission used to detect malicious files |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11829473B2 (en) | System and method for detecting malicious files by a user computer | |
JP7084778B2 (en) | Systems and methods for cloud-based detection, exploration and elimination of targeted attacks | |
US10599841B2 (en) | System and method for reverse command shell detection | |
US11625489B2 (en) | Techniques for securing execution environments by quarantining software containers | |
US10915628B2 (en) | Runtime detection of vulnerabilities in an application layer of software containers | |
EP3430556B1 (en) | System and method for process hollowing detection | |
RU2589862C1 (en) | Method of detecting malicious code in random-access memory | |
RU2697954C2 (en) | System and method of creating antivirus record | |
RU2661533C1 (en) | System and method of detecting the signs of computer attacks | |
RU101233U1 (en) | SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING | |
RU2750628C2 (en) | System and method for determining the file trust level | |
RU2673407C1 (en) | System and method for identifying malicious files | |
EP3522058B1 (en) | System and method of creating antivirus records | |
Major | A Taxonomic Evaluation of Rootkit Deployment, Behavior and Detection | |
Jayarathna et al. | Hypervisor-based Security Architecture to Protect Web Applications. | |
Padakanti | Rootkits Detection Using Inline Hooking | |
Corregedor | An Architecture for Anti-Malware Protection Based on Collaboration | |
Bridges | Studying a virtual testbed for unverified data |