RU2757330C1 - Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя - Google Patents

Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя Download PDF

Info

Publication number
RU2757330C1
RU2757330C1 RU2020120452A RU2020120452A RU2757330C1 RU 2757330 C1 RU2757330 C1 RU 2757330C1 RU 2020120452 A RU2020120452 A RU 2020120452A RU 2020120452 A RU2020120452 A RU 2020120452A RU 2757330 C1 RU2757330 C1 RU 2757330C1
Authority
RU
Russia
Prior art keywords
script
resources
user
computing device
inconsistent use
Prior art date
Application number
RU2020120452A
Other languages
English (en)
Inventor
Денис Игоревич Паринов
Дмитрий Валерьевич Виноградов
Виктория Владимировна Власова
Василий Александрович Давыдов
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2020120452A priority Critical patent/RU2757330C1/ru
Priority to US17/211,341 priority patent/US20210397701A1/en
Application granted granted Critical
Publication of RU2757330C1 publication Critical patent/RU2757330C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6263Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Изобретение относится к способу для выявления несогласованного использования ресурсов вычислительного устройства пользователя. Технический результат заключается в повышении точности выявления несогласованного использования ресурсов вычислительного устройства пользователя. Способ содержит этапы, на которых с помощью процессора: анализируют работу процесса браузера и выявляют работу скрипта, исполняющегося в браузере; перехватывают сообщения, передаваемые от скрипта серверу и от сервера скрипту при взаимодействии скрипта с сервером; анализируют скрипт и перехватываемые сообщения на наличие признаков несогласованного использования ресурсов вычислительного устройства пользователя; выявляют несогласованное использование ресурсов вычислительного устройства пользователя в случае выявления по крайней мере одного признака несогласованного использования ресурсов вычислительного устройства пользователя. 8 з.п. ф-лы, 4 ил.

Description

Область техники
Изобретение относится к решениям для выявления вредоносной активности на вычислительном устройстве пользователя, а более конкретно к системам и способам для выявления несогласованного использования ресурсов вычислительного устройства пользователя.
Уровень техники
В настоящее время растет количество вредоносного программного обеспечения (например, компьютерные вирусы, троянские программы, сетевые черви), направленного на причинение ущерба как данным пользователя, так и самому пользователю электронного вычислительного устройства (далее по тексту - вычислительного устройства), зараженного вредоносным программным обеспечением. Ущерб может быть причинен путем повреждения, модификации или удаления файлов пользователя, кражей конфиденциальных данных пользователя (переписки, медиа-данных, таких как изображения, аудиозаписи и т.д., логинов, паролей, данных банковских карт), использованием ресурсов вычислительного устройства пользователя для "добычи" (англ. mining) электронных денег, или, другими словами, криптовалют (англ. cryptocurrency), и прочими действиями.
Широкое распространение получила схема добычи криптовалют посредством браузеров. Во многих случаях, такая добыча осуществляется скрытно от пользователя и, как правило, с использованием вредоносных скриптов JavaScript. Ключевой особенностью является массовое использование протоколов WebSocket/WebSocketSecured (WS/WSS) для обеспечения взаимодействия скрипта на клиенте и сервера в процессе добычи. Протоколы WS/WSS используются в сети Интернет значительно реже, чем обычные HTTP/HTTPS и отличаются тем, что после установки соединения происходит постоянный обмен сообщениями. При этом такой обмен сообщениями посредством браузера является легитимным с точки зрения безопасности, так как не наносит вред данным (сохранности и конфиденциальности) пользователя, хранящимся на устройстве.
Существуют решения, которые выявляют случаи вредоносной активности из браузеров. Например, в публикации US 9158605 B2 описаны система и способ, в которых анализируются POST-запросы от браузера, и в зависимости от того, что содержит запрос и куда он адресован, система принимает решение о безопасности запроса.
Однако существующие решения не выявляют скрытую добычу криптовалют. Настоящее изобретение позволяет эффективно решать задачи выявления скрытой добычи криптовалют посредством браузера на вычислительном устройстве пользователя.
Сущность изобретения
Настоящее изобретение предназначено для выявления скрытой добычи криптовалют посредством браузера на вычислительном устройстве пользователя.
Технический результат настоящего изобретения заключается в реализации заявленного назначения.
Согласно одному из вариантов реализации предоставляется способ выявления, содержащий этапы, на которых с помощью средства безопасности: анализируют работу процесса браузера и выявляют работу скрипта, исполняющегося в браузере; перехватывают сообщения, передаваемые от скрипта серверу и от сервера скрипту при взаимодействии скрипта с сервером; анализируют скрипт и перехватываемые сообщения на наличие признаков несогласованного использования ресурсов вычислительного устройства пользователя; выявляют несогласованное использование ресурсов вычислительного устройства пользователя в случае выявления по крайней мере одного указанного признака.
Согласно другому частному варианту реализации предоставляется способ, в котором несогласованным использованием ресурсов вычислительного устройства пользователя является использование ресурсов вычислительного устройства скриптом без согласия пользователя.
Согласно еще одному частному варианту реализации предоставляется способ, в котором несогласованным использованием ресурсов вычислительного устройства пользователя является добыча криптовалют.
Согласно еще одному частному варианту реализации предоставляется способ, в котором выявляют работу скрипта, исполняющегося в браузере, посредством плагина.
Согласно еще одному частному варианту реализации предоставляется способ, в котором перехватывают сообщения, передаваемые по протоколу связи поверх ТСР-соединения.
Согласно еще одному частному варианту реализации предоставляется способ, в котором признаком несогласованного использования ресурсов вычислительного устройства пользователя является наличие заранее заданной последовательности байтов в перехватываемых сообщениях.
Согласно еще одному частному варианту реализации предоставляется способ, в котором признаком несогласованного использования ресурсов вычислительного устройства пользователя является обфусцированный код, полученный скриптом.
Согласно еще одному частному варианту реализации предоставляется способ, в котором признаком несогласованного использования ресурсов вычислительного устройства пользователя является полученная от облачного сервиса безопасности категория сервера, с которого скриптом получен обфусцированный код.
Согласно еще одному частному варианту реализации предоставляется способ, в котором признаком несогласованного использования ресурсов вычислительного устройства пользователя является полученная от облачного сервиса безопасности категория сайта, открытие которого привело к исполнению скрипта.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых: Фиг. 1а отображает схему скрытой добычи криптовалют посредством браузера.
Фиг. 1б отображает структуру системы выявления скрытой добычи криптовалют посредством браузера.
Фиг. 2 отображает структуру способа выявления скрытой добычи криптовалют посредством браузера.
Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
Под средствами системы в настоящем изобретении понимаются реальные устройства, системы, компоненты, группы компонентов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемые вентильные матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips) Функциональность указанных средств системы может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности средств системы реализована программными средствами, а часть аппаратными. В некоторых вариантах реализации часть средств, или все средства, могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 3). При этом компоненты (каждое из средств) системы могут быть реализованы в рамках как одного вычислительного устройства, так и разнесены между несколькими, связанными между собой вычислительными устройствами.
Фиг. 1а отображает схему скрытой добычи криптовалют посредством браузера.
В общем случае на вычислительном устройстве пользователя 190 исполняется браузер 150. В большинстве случаев при переходе на сайт в сети Интернет, который был заражен или изначально являлся вредоносным, браузер 150 загружает из сети скрипт 160, предназначенный для несогласованного использования ресурсов вычислительного устройства пользователя 190, при этом использование ресурсов вычислительного устройства пользователя 190 происходит без ведома и согласия пользователя, то есть является несогласованным. В одном из вариантов загруженный скрипт 160 не предназначен для несогласованного использования ресурсов вычислительного устройства пользователя 190, но формирует другой скрипт 160, предназначенный для несогласованного использования ресурсов вычислительного устройства пользователя 190. Например, скрипт 160 может всего лишь регулярно выкачивать из сети и запускать другие скрипты 160. Известным примером несогласованного использования ресурсов вычислительного устройства пользователя 190 является скрытая добыча криптовалют. Далее по тексту для описания и примеров несогласованного использования ресурсов вычислительного устройства пользователя 190 используется признак «добыча криптовалют». В общем случае скрипт 160 создан (написан) на сценарном языке программирования, например, на JavaScript. Скрипт 160 исполняется в браузере 150 и взаимодействует с некоторым Интернет-ресурсом, например, сервером 170, отправляя данные на сервер 170 и получая данные от сервера 170. В случае успешного взаимодействия (например, если соединение установлено, и скрипт 160 получает ответы от сервера 170) скрипт 160 инициирует соединение с упомянутым сервером 170 по так называемому протоколу связи поверх ТСР-соединения, предназначенному для обмена сообщениями между браузером 150 и сервером 170 в режиме реального времени (например, WebSocket или WebSocketSecure, WS/WSS). Далее происходит непрерывной обмен сообщениями, при этом сервер 170 в сообщениях может присылать задачи, характерные для добычи криптовалют (например, задачи для вычисления хешей), а скрипт 160, используя ресурсы вычислительного устройства пользователя 190, выполняет присланные сервером 170 задачи (например, производить упомянутые вычисления хешей). При этом, выполняя эти задачи, браузер 150 никак не оповещает пользователя, поэтому такая добыча криптовалют является скрытой. При этом зачастую вычислительное устройство пользователя 190 замедляет работу (особенно в случаях, если устройство пользователя 190 имеет центральный процессор с одним-двумя ядрами или оперативную память объемом до четырех гигабайт), пользователь может нести материальные убытки (счета за потребляемое электричество растут).
Фиг. 1б отображает структуру системы выявления скрытой добычи криптовалют посредством браузера.
Система выявления скрытой добычи криптовалют посредством браузера состоит из средства безопасности 110 (например, антивирусного приложения) и облачного сервиса безопасности 120 (например, Kaspersky Security Network).
В общем случае средство безопасности 110 исполняется на вычислительном устройстве пользователя 190, при этом на вычислительном устройстве пользователя исполняется и браузер 150, в котором в свою очередь исполняется скрипт 160.
Для выявления несогласованного использования ресурсов устройства пользователя 190 (например, добычи криптовалют) средство безопасности 110 анализирует работу процесса браузера 150 (например, перехватывая действия процесса браузера 150 при помощи драйверов). Кроме того, средство безопасности 110 выявляет, что в браузере исполняется скрипт 160 (например, средство безопасности 110 устанавливает в браузер 150 свой плагин), определяет, что установлено соединение по протоколу связи поверх ТСР-соединения (например, по протоколу WebSocket). Для этого средство безопасности 110 выполняет перехват сообщений, передаваемых в любом направлении по упомянутому протоколу (на скрипт 160 или на сервер 170). Перехват сообщений может осуществляться средством безопасности 110 посредством упомянутого в примере выше плагина. В другом варианте реализации перехват сообщений может осуществляться средством безопасности 110 с помощью драйвера. В одном из вариантов реализации, если используется безопасный протокол связи поверх ТСР-соединения (например, по протоколу WebSocketSecure), средство безопасности 110 дополнительно расшифровывает каждое сообщение. В одном из вариантов реализации средство безопасности 110 осуществляет перехват сообщений, функционируя как прокси-сервер.
После перехвата и расшифровки сообщения средство безопасности 110 производит анализ перехваченного сообщения на наличие признаков, позволяющих отнести соединение по протоколу связи поверх ТСР-соединения к добыче криптовалют.
Признак в одном из вариантов реализации - это наличие некоторых последовательностей байтов (строк) в сообщениях, например:
Figure 00000001
В другом примере реализации признаком является код, полученный скриптом 160 в формате BASE64. Например, скрипт 160 при исполнении в браузере 150 дополнительно загружает некоторый код в формате BASE64 с внешнего сервера 180 для исполнения.
В еще одном примере реализации признаком является обфусцированный код, полученный скриптом 160. Пример такого кода представлен ниже:
Figure 00000002
В случае выявления признаков, характерных для добычи криптовалют, средство безопасности 110 блокирует передачу перехваченных сообщений или разрывает соединение и заносит адрес сервера 170 в черный список.
В общем случае средство безопасности 110 взаимодействует с базой данных 115 (например, с антивирусной базой), содержащей набор правил, описывающих признаки сообщений, используемых для добычи криптовалют. При анализе сообщения средство безопасности 110 применяет набор правил из базы данных 115. В случае выполнения условий правила выявляется признак, характерный для добычи криптовалют.
В одном из вариантов реализации средством безопасности 110 используется эвристический анализ, анализирующий использование центрального процессора, графического процессора и оперативной памяти браузером 150. В еще одним из вариантов реализации средство безопасности 110 дополнительно анализирует исходный код скриптов 160, которые исполняются в браузере 150 (например, для затруднения анализа код скрипта 160 может быть обфусцирован или дополнительно посылать данные/сообщения и выполнять действия, не связанные с добычей криптовалют). В еще одном из вариантов реализации средство безопасности 110 дополнительно анализирует последовательность передачи скрипта 160 от сервера 170 в браузер 150. Так, например, известны последовательности, когда скрипт 160 сначала получает зашифрованные дынные от сервера 170, затем расшифровывает их. При этом данные могут содержать как параметры работы скрипта 160, так и другие скрипты 160. Кроме того, известны примеры, когда скрипт 160 запускает исполнение другого скрипта 160 (например, полученного от сервера в зашифрованном виде и расшифрованного), а сам завершает исполнение, в результате чего может быть выявлена цепочка исполнения Скрипт#1->Скрипт#2->…->Скрипт#N. При этом вышеописанная последовательность не всегда является вредоносной, так как подобную последовательность используют, например, счетчики Google Metrics.
В еще одном из вариантов реализации средство безопасности 110 может анализировать сайт, открытие которого в браузере 150 привело к исполнению скрипта 160. При этом в одном из вариантов реализации средство безопасности 110 оценивает активность сайта (использование браузером 150 ресурсов вычислительного устройства пользователя после открытия сайта). Активность сайта в общем случае не должна быть постоянно высокая (как это будет при добыче криптовалют). Если активность сайта высокая - то она должна быть вызвана только определенными компонентами (например, кодеками,<video/> <embed/>). В другом варианте реализации средство безопасности 110 оценивает различия в активности сайта при различных посещениях сайта пользователем. В случае добычи криптовалют активность сайта будет отличатся из-за разных задач (например, если сайт ранее содержал новости, а затем стал проявлять высокую активность, при этом содержимое сайта не изменилось, то, вероятно, сайт был изменен злоумышленниками, и при открытии сайта происходит скрытая добыча криптовалют).
В результате анализа содержимое сайта может быть использовано средством безопасности 110 в качестве признаков для выявления скрытой добычи криптовалют (например, не дает сразу закрыть страницу, иметь специфическую рекламу, скрытые ресурсы). В еще одном из вариантов реализации средство безопасности 110 запрашивает в качестве признака у облачного сервиса безопасности 120 категорию сайта, открытие которого в браузере 150 привело к исполнению скрипта 160. В еще одном из вариантов реализации средство безопасности 110 запрашивает в качестве признака у облачного сервиса безопасности 120 категорию сервера 180, с которого скриптом 160 был получен код в формате BASE64.
Примеры правил представлены ниже.
«Правило 1».
Если в первых 10 сообщениях протокола WSS или WS обнаружены одновременно две следующие последовательности байт:
Figure 00000003
Figure 00000004
то это соединение установлено скриптом 160, добывающим криптавлюты.
«Правило 2».
Если в любом из сообщений протокола WSS или WS обнаружены одновременно три следующие последовательности байт:
Figure 00000005
А также IP-адрес сервера не является известным (категория сервера не определена),
то это соединение установлено скриптом 160, добывающим криптавлюты.
«Правило 3».
Если в любом из сообщений протокола WSS или WS обнаружены одновременно две следующие последовательности байт:
Figure 00000006
А также сайт, открытие которого в браузере 150 привело к исполнению скрипта 160, имеет категорию безопасного,
то это соединение установлено скриптом 160, добывающим криптовалюты, а сайт был заражен (изменен) злоумышленниками.
«Правило 4».
Если в любом из сообщений протокола WSS или WS обнаружены одновременно две следующие последовательности байт:
Figure 00000007
А также сайт, открытие которого в браузере 150 привело к исполнению скрипта 160, блокирует закрытие в браузере 150 страницы сайта пользователем,
то это соединение установлено скриптом 160, добывающим криптовалюты, а сайт был создан (изменен) злоумышленниками. «Правило 5».
Если в 10 сообщениях протокола WSS или WS обнаружены одновременно две следующие последовательности байт:
Figure 00000008
А код, полученный скриптом 160, имеет формат BASE64,
то это соединение установлено скриптом 160, добывающим криптовалюты.
В общем случае база данных 115 расположена на вычислительном устройстве пользователя 150 и пополняется средством безопасности 110 путем получения обновлений из облачного сервиса безопасности 120.
В одном из вариантов реализации в случае выявления добычи криптовалют средство безопасности 110 передает данные о перехваченном сообщении и сервере 170 в облачный сервис безопасности 120 для дальнейшей категоризации известными из уровня техники способами неизвестных ранее Интернет-ресурсов.
В случае, если добыча криптовалют не была выявлена средством безопасности 110, средство безопасности 110 дополнительно отправляет все перехваченные пакеты в облачный сервис безопасности 120. В свою очередь облачный сервис безопасности 120, используя модели машинного обучения и известные из уровня техники методы анализа данных (например, анализ больших данных, англ. Big Data Analysis), выявляет добычу криптовалют на устройстве пользователя 190.
Фиг. 2 отображает структуру способа выявления скрытой добычи криптовалют посредством браузера.
На этапе 210 с помощью средства безопасности 110 анализируют работу процесса браузера 150 и выявляют работу скрипта 160, исполняющегося в браузере 150 на вычислительном устройстве пользователя 190. В одном из вариантов реализации работу скрипта 160, исполняющегося в браузере 150, выявляют посредством плагина.
На этапе 220 с помощью с помощью средства безопасности 110 перехватывают сообщения, передаваемые от скрипта 160 серверу 170 и от сервера 170 скрипту 160 при взаимодействии скрипта 160 с сервером 170. В одном из вариантов реализации перехватывают сообщения, передаваемые по протоколу связи поверх ТСР-соединения.
На этапе 230 с помощью средства безопасности 110 анализируют скрипт 160 и перехватываемые сообщения на наличие признаков несогласованного использования ресурсов вычислительного устройства пользователя 190. В общем случае несогласованным использованием ресурсов вычислительного устройства пользователя 190 является использование ресурсов вычислительного устройства 190 скриптом 160 без согласия пользователя. В одном из вариантов реализации несогласованным использованием ресурсов вычислительного устройства пользователя 190 является добыча криптовалют скриптом 160. В одном из вариантов реализации признаком несогласованного использования ресурсов вычислительного устройства пользователя 190 является наличие заранее заданной последовательности байтов в перехватываемых сообщениях. В еще одном из вариантов реализации признаком несогласованного использования ресурсов вычислительного устройства пользователя 190 является обфусцированный код, полученный скриптом 160. В еще одном из вариантов реализации признаком несогласованного использования ресурсов вычислительного устройства пользователя 190 является полученная от облачного сервиса безопасности 120 категория сервера 180, с которого скриптом 160 получен обфусцированный код. В еще одном из вариантов реализации признаком несогласованного использования ресурсов вычислительного устройства пользователя 190 является полученная от облачного сервиса безопасности 120 категория сайта, открытие которого в браузере 150 привело к исполнению скрипта 160.
На этапе 230 с помощью средства безопасности 110 выявляют несогласованное использование ресурсов вычислительного устройства пользователя 190 в случае выявления по крайней мере одного указанного признака.
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Claims (13)

1. Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя, содержащий этапы, на которых с помощью процессора:
- анализируют работу процесса браузера и выявляют работу скрипта, исполняющегося в браузере;
- перехватывают сообщения, передаваемые от скрипта серверу и от сервера скрипту при взаимодействии скрипта с сервером;
- анализируют скрипт и перехватываемые сообщения на наличие признаков несогласованного использования ресурсов вычислительного устройства пользователя;
- выявляют несогласованное использование ресурсов вычислительного устройства пользователя в случае выявления по крайней мере одного признака несогласованного использования ресурсов вычислительного устройства пользователя.
2. Способ по п. 1, в котором несогласованным использованием ресурсов вычислительного устройства пользователя является использование ресурсов вычислительного устройства скриптом без согласия пользователя.
3. Способ по п. 2, в котором несогласованным использованием ресурсов вычислительного устройства пользователя является добыча криптовалют.
4. Способ по п. 1, в котором выявляют работу скрипта, исполняющегося в браузере, посредством плагина.
5. Способ по п. 1, в котором перехватывают сообщения, передаваемые по протоколу связи поверх ТСР-соединения.
6. Способ по п. 1, в котором признаком несогласованного использования ресурсов вычислительного устройства пользователя является наличие заранее заданной последовательности байтов в перехватываемых сообщениях.
7. Способ по п. 1, в котором признаком несогласованного использования ресурсов вычислительного устройства пользователя является обфусцированный код, полученный скриптом.
8. Способ по п. 7, в котором признаком несогласованного использования ресурсов вычислительного устройства пользователя является полученная от облачного сервиса безопасности категория сервера, с которого скриптом получен обфусцированный код.
9. Способ по п. 1, в котором признаком несогласованного использования ресурсов вычислительного устройства пользователя является полученная от облачного сервиса безопасности категория сайта, открытие которого привело к исполнению скрипта.
RU2020120452A 2020-06-19 2020-06-19 Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя RU2757330C1 (ru)

Priority Applications (2)

Application Number Priority Date Filing Date Title
RU2020120452A RU2757330C1 (ru) 2020-06-19 2020-06-19 Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя
US17/211,341 US20210397701A1 (en) 2020-06-19 2021-03-24 System and method of detecting an unapproved use of a computing device of a user

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020120452A RU2757330C1 (ru) 2020-06-19 2020-06-19 Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя

Publications (1)

Publication Number Publication Date
RU2757330C1 true RU2757330C1 (ru) 2021-10-13

Family

ID=78286550

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020120452A RU2757330C1 (ru) 2020-06-19 2020-06-19 Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя

Country Status (2)

Country Link
US (1) US20210397701A1 (ru)
RU (1) RU2757330C1 (ru)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080148298A1 (en) * 2006-12-18 2008-06-19 Palm, Inc. System and Methods for Providing Granular Security for Locally Running Scripted Environments and Web Applications
US9158605B2 (en) * 2010-12-01 2015-10-13 Microsoft Technology Licensing, Llc Method, system and device for validating repair files and repairing corrupt software
US20160156658A1 (en) * 2010-08-26 2016-06-02 Verisign, Inc. Method and system for automatic detection and analysis of malware
RU2661533C1 (ru) * 2017-09-29 2018-07-17 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения признаков компьютерной атаки
US10270802B2 (en) * 2014-06-30 2019-04-23 Paypal, Inc. Detection of scripted activity
RU2697950C2 (ru) * 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ выявления скрытого поведения расширения браузера

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8561129B2 (en) * 2008-02-28 2013-10-15 Mcafee, Inc Unified network threat management with rule classification
CN108804925B (zh) * 2015-05-27 2022-02-01 北京百度网讯科技有限公司 用于检测恶意代码的方法和系统
KR102381377B1 (ko) * 2015-10-07 2022-03-31 삼성전자주식회사 통신 시스템에서 프로파일을 원격으로 제공하는 방법 및 장치
US20180069878A1 (en) * 2016-09-02 2018-03-08 Iboss, Inc. Malware detection for proxy server networks
US11089049B2 (en) * 2018-05-24 2021-08-10 Allot Ltd. System, device, and method of detecting cryptocurrency mining activity
US20200034530A1 (en) * 2018-07-26 2020-01-30 Ca, Inc. Protection system against exploitative resource use by websites
US10944770B2 (en) * 2018-10-25 2021-03-09 EMC IP Holding Company LLC Protecting against and learning attack vectors on web artifacts
US10599834B1 (en) * 2019-05-10 2020-03-24 Clean.io, Inc. Detecting malicious code existing in internet advertisements
US11416613B2 (en) * 2019-05-30 2022-08-16 Microsoft Technology Licensing, Llc Attack detection through exposure of command abuse
US11403389B2 (en) * 2019-06-07 2022-08-02 Acronis International Gmbh System and method of detecting unauthorized access to computing resources for cryptomining
US11630900B2 (en) * 2019-09-30 2023-04-18 Mcafee, Llc Detection of malicious scripted activity in fileless attacks

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080148298A1 (en) * 2006-12-18 2008-06-19 Palm, Inc. System and Methods for Providing Granular Security for Locally Running Scripted Environments and Web Applications
US20160156658A1 (en) * 2010-08-26 2016-06-02 Verisign, Inc. Method and system for automatic detection and analysis of malware
US9158605B2 (en) * 2010-12-01 2015-10-13 Microsoft Technology Licensing, Llc Method, system and device for validating repair files and repairing corrupt software
US10270802B2 (en) * 2014-06-30 2019-04-23 Paypal, Inc. Detection of scripted activity
RU2661533C1 (ru) * 2017-09-29 2018-07-17 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения признаков компьютерной атаки
RU2697950C2 (ru) * 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ выявления скрытого поведения расширения браузера

Also Published As

Publication number Publication date
US20210397701A1 (en) 2021-12-23

Similar Documents

Publication Publication Date Title
EP3295359B1 (en) Detection of sql injection attacks
US11146572B2 (en) Automated runtime detection of malware
US10834082B2 (en) Client/server security by executing instructions and rendering client application instructions
RU2680736C1 (ru) Сервер и способ для определения вредоносных файлов в сетевом трафике
US10523609B1 (en) Multi-vector malware detection and analysis
JP5878560B2 (ja) 悪意あるpdfネットワークコンテンツを検出するシステムおよび方法
Talukder et al. A survey on malware detection and analysis tools
US9648032B2 (en) System and method for blocking execution of scripts
JP2020522808A (ja) カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護
US20160127395A1 (en) System and method for network intrusion detection of covert channels based on off-line network traffic
US8176556B1 (en) Methods and systems for tracing web-based attacks
WO2018076697A1 (zh) 僵尸特征的检测方法和装置
EP3547121B1 (en) Combining device, combining method and combining program
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
CN110417768B (zh) 一种僵尸网络的跟踪方法及装置
Wood et al. Keyloggers in Cybersecurity Education.
CN113746781A (zh) 一种网络安全检测方法、装置、设备及可读存储介质
Atapour et al. Modeling Advanced Persistent Threats to enhance anomaly detection techniques
RU2757330C1 (ru) Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя
CN110659478A (zh) 在隔离的环境中检测阻止分析的恶意文件的方法
US11038844B2 (en) System and method of analyzing the content of encrypted network traffic
CN114072798A (zh) 内联恶意软件检测
CN112005234A (zh) 恶意软件检测的上下文剖析
Afzulpurkar et al. Outgoing data filtration for detecting spyware on personal computers
US20240028707A1 (en) In-memory scan for threat detection with binary instrumentation backed generic unpacking, decryption, and deobfuscation