TWI587170B - 惡意軟體及攻擊程式碼活動檢測系統及方法 - Google Patents
惡意軟體及攻擊程式碼活動檢測系統及方法 Download PDFInfo
- Publication number
- TWI587170B TWI587170B TW103131387A TW103131387A TWI587170B TW I587170 B TWI587170 B TW I587170B TW 103131387 A TW103131387 A TW 103131387A TW 103131387 A TW103131387 A TW 103131387A TW I587170 B TWI587170 B TW I587170B
- Authority
- TW
- Taiwan
- Prior art keywords
- capture
- replay
- program
- malicious
- code
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Position Fixing By Use Of Radio Waves (AREA)
Description
本案請求下述申請案遵照35 USC 120之優先權及遵照35 USC 119(e)之權益:美國臨時專利申請案第61/876,704號申請日2013年11月11日,名稱「惡意軟體及攻擊程式碼活動檢測系統及方法」,該案全文係爰引於此並融入本說明書之揭示。
本發明係有關於惡意軟體及攻擊程式碼活動檢測系統及方法。
本質上近代惡意軟體及攻擊程式碼活動於有關模糊化、部署、及執行等方面變成益發複雜,努力地避免被安控搜尋器、及近代安控系統及軟體檢測與分析。防毒(AV)系統諸如端點保護平台(EPP),以及違背檢測服務(BDS)採用在雲端(虛擬)網路構成體中操作的虛擬「砂盒」或「蜂巢」。此等砂盒試圖藉由孵化該可疑軟體直到惡意軟體執行且其活動能夠被監視及分析為足以識別惡意軟體及病毒程式為止。此等系統經常未能識別先前未知的惡意軟體,原
因在於惡意軟體部署內部的演進使得該惡意軟體可認知其係座落在此種系統/陷阱內。近代惡意軟體可被視為具有「認知能力」而完全地知曉其目前正在一陷阱(被監視系統)中孵化,將繼續冬眠,因而不會呈現其本身為惡意軟體。因此砂盒系統將未能識別可疑檔案為惡意的,因而使得全部相似的程式將逃過未來的測試。
該惡意軟體及攻擊程式碼活動檢測系統及方法(可稱作「餌網BaitNET」)係與已知系統不同,原因在於該系統具有防止該系統被惡意軟體/攻擊程式碼檢測技術。不似其它技術,餌網無法由近代惡意軟體/攻擊程式碼偵測,因而能夠無限制地收集與分析惡意軟體/攻擊程式碼之操作/動作。所收集的惡意軟體/攻擊程式碼係對餌網的專用雲端基礎架構內部的各種作業系統及應用程式組態重播/測試以決定哪些其它系統腳印對該惡意軟體活動敏感。餌網能夠成功地孵化、追蹤、及存檔該惡意軟體/攻擊程式碼。由於餌網對該惡意軟體/攻擊程式碼為透明狀態,餌網能夠執行現場分析,能追蹤威脅活動者,識別其真正所在,以及該等威脅活動者已經開始哪些其它相似的惡意軟體/攻擊程式碼活動及對何者進行活動。當餌網產生威脅預報指示威脅活動者的主要及潛在目標時全部此等工作皆已完成。餌網也可用以度量與測試市售端點保護平台(EPP)、防毒(AV)、線內網路安全設施、及違背檢測服務(BDS)系統之
功效。此點係藉將惡意軟體/攻擊程式碼注入餌網的構成體內完成,於該處已經安裝此等商品,及然後監控與餌網已知注入者間之差異,及偵測其本身,及該等商品宣稱已經檢測出何者。例如,餌網的技術先進超越近代AV、EPP、及BDS因而被用以測試此等商品的效果。
於一個具現中,餌網乃多種如此處摘述的軟體應
用程式、處理程序、及發明創新的綜合體,其給予餌網插入作業系統內部的能力,及虛擬機器架構(客端及主機兩者)許可餌網模糊化機器本身乃虛擬/自控電腦的事實。該系統運用多個虛擬專用網路(VPN)允許使用來自全球接近無限個獨特網際網路IP位址。此等迥異的IP位址給餌網提供兩大優勢。其一,為了強制再度感染,原因在於許多惡意軟體系統將不會「滴落」(部署)惡意軟體至同一個IP位址多於一次,故餌網必須模糊化其網際網路的存在。其二,許多惡意軟體活動藉地理位置限制其目標,該等地理位置常係透過IP位址追蹤。例如,受惡意軟體感染的伺服器經常限制其本身只感染來自任何給定被遮蔽IP位址的一(1)電腦,且可能限制其將感染的該等IP位址之來源國家。餌網利用全球的VPN來模仿分散的地理位置,及對映出在不同區域的惡意軟體活動。其它技術雖然並非餌網所專有,但也可用以模擬目標合格資料點,諸如改變主機作業系統上的語言包及鍵盤語言組態。
在藉由匍匐透過各種通道所提供的URL而找到
新惡意軟體之後,餌網紀錄該攻擊媒介、酬載、攻擊程式
碼上的關鍵資訊、及其它相關母資料,及然後,對該餌網網路上數以千計的其它主機「重播」此項攻擊。「重播」係透過使用餌網的代理快取服務達成,容後詳述,且當測試第三方安全性系統的功效時可對單一影像完成,及當對映該攻擊程式碼/惡意軟體之效果時可對作業系統、應用程式組態、及軟體工具版本的無限次迭代重複完成。重播期間使用的各個主機具有網路瀏覽器、套裝應用程式、各種程式及作業系統補強程式層級、安裝語言包等之一不同組合。系統之表示型態為2005年至今的幾乎全部可能的組合、視窗(Windows)及OS X。餌網也能仿真行動裝置作業系統,及使用該技術以檢測與儲存惡意軟體/攻擊程式碼。全部皆許可研究者瞭解該惡意軟體/攻擊程式碼之真正目標地形/範圍,及該惡意軟體/攻擊程式碼可對防毒(AV)及線內安全系統諸如防闖系統(IPS)、下一代防火牆(NGF)、及違背檢測服務(BDS)作測試。
A、E‧‧‧重播程序
B‧‧‧零日(ZeroDay)程序
C‧‧‧代理快取程序
D‧‧‧捕獲程序
F、G‧‧‧模糊化引擎
H、I‧‧‧列舉程序
圖1顯示餌網之該等主要組件之高階架構。
圖2A-2D例示餌網控制程序之處理程序控制及內部操作及其與捕獲、重播、及代理快取處理程序之交互操作性。
圖3-6為圖1之該餌網系統之使用者介面之實施例。
餌網係設計用以找出、檢測、逐項列舉、及重播
/重驗作用態惡意軟體活動及新攻擊程式碼。餌網為在該作業系統之核心及應用程式程序層內操作的一多層級應用程式,具有鉤及功能能力使得其比運用以檢測惡意軟體的其它技術突出。最常用以測試此等其它產品,例如防毒應用(又名「企業端點保護」),因此業已顯示在檢測此種惡意軟體上遠更有效。餌網支援各型OS作為一威脅預報系統。餌網的虛擬機器(VM)可模擬伺服器、工作站、甚至行動運算裝置諸如智慧型電話及平板。
如圖1顯示,該系統利用稱作為「堆疊」的三個
伺服器及網路硬體陣列。各個堆疊為主持虛擬機器之任何數目之實體伺服器(「客端」)。伺服器及客端之確切數目係根據所執行的測試及研究之範圍及規模決定。典型地,在「現場測試」內部將有多達數以萬計個客端。圖1例示伺服器及客端之各種堆疊與該等基礎架構支援伺服器之交互操作/通訊,以及哪些組件具有網際網路連接性。
更明確言之,該系統可使用圖1顯示的包括該等
堆疊之計算資源具現。如圖1顯示,該系統可使用一捕獲堆疊、一重播堆疊、一代理快取堆疊具現。該系統也可具有一主機超管理器控制器,其控制該等堆疊中之各者以及一或多個SQL伺服器(用於資料之儲存等)及一或多個移轉伺服器。如圖1顯示,該捕獲堆疊及該代理快取堆疊已經存取一電腦網路,諸如網際網路。該捕獲堆疊具現後述捕獲程序,該重播堆疊具現後述重播程序,及該代理快取堆疊具
現後述後述代理快取程序。該等堆疊中之各者可使用一或多個計算資源具現,諸如一或多個雲端計算資源或一或多個伺服器電腦資源。該等計算資源中之各者可具有一處理器及記憶體及多行電腦碼,其可儲存於該記憶體及由該處理器執行以具現後述捕獲、重播及代理快取處理程序。該等堆疊各自也可具現為由超管理器控制器控制的一或多個虛擬機器。
圖2A-2D例示餌網控制程序(由主機超管理器控
制器具現)之處理程序控制及內部操作及其與捕獲、重播、及代理快取處理程序之交互操作性。控制器程序及部分重播程序顯示於圖2A,該重播程序也顯示於圖2B及2C,如藉元件符號(A及E)所示,其顯示圖2A、2B及2C如何彼此連結以顯示該重播程序。圖2B及2C也顯示捕獲程序細節,如元件符號D所示,其顯示圖2B及2C如何彼此連結以顯示該捕獲程序。圖2B及2C也顯示零日(ZeroDay)程序,如元件符號B所示,其顯示圖2B及2C如何彼此連結以顯示該零日程序。圖2B及2C也顯示代理快取程序,如元件符號C所示,其顯示圖2B及2C如何彼此連結以顯示該代理快取程序。最後,圖2D顯示模糊化引擎之細節,以元件符號F及G顯示該捕獲程序與該模糊化引擎間之交換。也例示與該模糊化引擎、攻擊程式碼饋進、及零日模組間之交換。圖2A-2C也顯示列舉程序,如元件符號(I及H)所示,其顯示圖2A、2B及2C如何彼此連結以顯示該列舉程序。
該餌網系統可由NSS實驗室(「NSS」)操作。使
用得自全球的來源,該餌網程序始於NSS訂閱各種饋進之相關性及標準化以得知有關潛在惡意網址之資訊。此種標準化資料呈示給餌網的捕獲程序,且佇列等候為分派給該串列測試之該經組配作業系統變化各自的目標。餌網運用該捕獲程序簽發該URL給數以千計的系統各自,利用組態上的數以千計的變化,及各個系統轉而使用來自全世界迥異的VPN隧道拜訪該URL,該VPN隧道為餌網的捕獲程序內部之該模糊化引擎之一機制,以模糊化其真正地理位置以及攻擊程式碼可能由該惡意URL所採用的該地理位置過濾。若屬成功,則拜訪該URL將導致「滴落」惡意碼至該目標工作站。餌網監視該惡意碼之下載;及紀錄該網路資料流量,產生該惡意碼之一複本,及編目由該惡意碼對該作業系統造成的全部改變。此外,該捕獲程序將紀錄來自該現正感染的/受害的工作站之任何及全部對外通訊。此種對外資料流將包括任何指令及控制(C&C)通訊,經常辨識該真正威脅作用者,以及從該現正感染系統外漏的任何資料。顯示例如於該捕獲程序期間所捕獲的資料之系統之該等使用者介面實施例係顯示於圖3-6。
圖3為來自該系統之一輸出,其例示已由該餌網
系統發現之經證實的攻擊程式碼。捕獲日期例如該惡意軟體或攻擊程式碼被下載日期及時間係連同相對應來源統一資源定位器(URL)顯示,其顯示至該受感染的/惡意網址上方檔案之完整路徑,在該惡意軟體/攻擊程式碼執行其上的該客端(虛擬)工作站上使用的確切作業系統,及該惡意軟體
/攻擊程式碼靶定的確切應用程式(須為成功)。於本實施例中,該列表中之第一攻擊程式碼使用微軟(Microsoft)視窗(Windows)7上爪哇版本6更新27,且係從在google.com網址上轉向(鏈接)的一URL下載。該系統之使用者可點選此等欄位中之任一者以進一步挖掘更細節資訊。例如,「來源」區段提供IP位址、封包捕獲資訊、地理位置資訊等。
圖4為來自該系統之輸出,其例示經下載且經證
實為惡意軟體/攻擊程式碼之該「滴落」或惡意檔案之細節資訊。再度,顯示相關日期及時間,呈現一獨特檔案名稱,其係當該惡意軟體/攻擊程式碼被捕獲時由該系統產生。此一檔案含有惡意內容,且可以其存檔(安全)版本下載以供檢視及進行還原工程。呈現該存檔檔案之雜湊值(MD5)讓該終端使用者可證實來自該典藏庫的該檔案未經變更。如於本實施例中呈現,該系統將指示該惡意軟體/攻擊程式碼已經驗證。驗證係發生在該餌網系統利用該代理快取程序及重播程序以確證該被捕獲的惡意軟體/攻擊程式碼之感染及執行。該頁面中區反映出該URI於該處該檔案係收集自(此點匹配圖3上的資料)使用的URI/攻擊型別,主持該惡意檔案之該伺服器的IP位址,及該IP位址之來源國家(又稱「地理位置」)。進一步細節係呈現在以該惡意內容成功地感染的可操作目標平台上。
圖5為得自該系統有關被捕獲的惡意內容(惡意
軟體/攻擊程式碼)之更細節資訊。此處終端使用者可找出該等惡意可執行(檔案)之雜湊(MD5)連同各個檔案之確切大
小。此項資訊可用以更新線內安全性系統,諸如IPS、NGFW、或甚至端點產品諸如防毒,以識別現在已知之惡意內容之雜湊值,且封鎖該內容免於被下載(線內裝置)或執行(端點產品)。
圖6含有該惡意網址當由餌網內部的客端系統存
取時該網址上之URI及網路行為上的細節資訊。該資訊給一終端使用者提供瞭解該攻擊媒介相關的網路封包捕獲(pcap)資料。提供之資料為完整URI、該使用的特定網路瀏覽器(謀智(Mozilla)5.0)之攻擊協定(本例中為http v.1.1)、該滴之實際URI(本例中為具有DE的一伺服器,德國定義域)、以及有關該伺服器之資訊,諸如網路伺服器作業平台(本例中為阿帕契(Apache)2.0.59使用Mod及Open SSL.在一UNIX作業系統上跑)。此項資料可由終端使用者使用以在線內系統諸如IPS、IDS、WAF、及NGFW內部寫防火牆規則以及其它規則。提供攻擊的確切媒介;其包括主控、傳輸,及目標組態乃由餌網獨特地提供的至關重要資訊塊。
成功地被感染的該系統現在復置至其原始狀
態,如此準備妥再度使用於佇列中的下個URL。全部收集的資料被剖析入兩個不同資料庫(儲存於一個實施例中,SQL伺服器)。用於日誌及智慧的該第一資料庫儲存該攻擊媒介資訊至成功地被感染的該系統上;以及該惡意URL、碼、攻擊媒介、指令及控制(C&C)、及惡意軟體之活動上的全部其它母資料。該第二資料庫亦即重播資料庫現在充斥著惡意碼之複本,該惡意URL之組態資訊(母資料、組態、
碼、部署媒介等),且於重播及列舉程序期間使用。
該重播程序現在使用得自重播資料庫之資料佇列等候。於該重播程序期間,匹配於捕獲程序期間成功地被感染的該主機組態之系統係準備用於該惡意碼之測試。為了準備該等系統,自動組配接受測試產品(線內安全裝置至端點保護產品/防毒)的全部晚近版本。於捕獲程序期間使用的該工作站之複本經組配作為具有接受測試的任何及全部端點保護產品之最新版本的重播主機。線內安全裝置諸如防闖系統及下一代防火牆靜候在該等重播主機與該等重播伺服器間之該網路上。該等工作站拜訪一內部(以LAN為基礎)URL,該URL已經由餌網形成作為在捕獲程序期間經驗證的惡意URL之一完美複本。當該工作站之各個複本呈現該內部URL時,餌網再度監視該工作站捕獲與該惡意碼有關的全部母資料。若該碼成功地到達該工作站及然後妥為執行,則接受測試的該端點保護產品未能識別及/或中止該惡意碼。於拜訪該內部URL期間,若防止該滴落如此防止惡意碼到達該工作站,則該線內安控產品已經成功地識別該攻擊程式碼且如所設計般工作。
於該重播程序期間,惡意內容的效果係在一現場環境中測試。舉例言之,全部網路瀏覽器之主要製造商及版本係經測試以決定哪些者對於偷渡攻擊期間的攻擊程式碼易感,例如在瀏覽器內部執行而不要求終端使用者手動地執行該惡意內容的攻擊。應用系統之不同版本、語言包(侷限資料)、基本作業系統修訂、及甚至不同架構諸如iOS
或安卓(Android)行動裝置可對惡意URL的複本及惡意內容本身作檢查。
於該重播程序期間,資料係紀錄於重播資料庫識
別哪些工作站被感染,其如何組配,及哪些線內產品及端點保護產品(若有)係接受測試。在產品測試結束後,重播程序再度用於相同攻擊碼以測試工作站平台之不同迭代重複。此項資料也由餌網紀錄且係用在列舉程序用於威脅預報,原因在於列舉程序為檢索該等應用程式及作業系統的全部版本係被該特定惡意內容所靶定的手段。
用於威脅預報,列舉程序可用以繼續以檢查網際
網路上的侷限組態及地理位置退出點而決定該攻擊媒介的完整範圍,提供威脅者的智慧,及儘可能地收獲大量有用母資料。此項處理程序在列舉作業系統、瀏覽器、應用程式、安控產品等的各種組態而惡意軟體可用以成功地執行其本身上具有關鍵重要性。此種智慧的整理排序允許執行模型化,以及直接風險評估,使得消費者瞭解其系統、網路、及工具是否有風險,以及如何進行(若有)以保護其避開作用態的惡意軟體/攻擊程式碼活動。
全部資料含網路資料流捕獲(又名「Pcap」)係保
有於資料庫且隨時可由系統重複使用。新工作站組態,含行動裝置組態可呈現給所捕獲的惡意URL以供未來測試之用。全部已測試產品可重新經測試以證實由販售商供給的補強程式/更新係如設計般工作,以確切勾勒出由第三方提供的哪些系統係對攻擊敏感(「黃金影像」),及確證該捕獲
程序期間所捕獲的攻擊資料。
於重播程序期間,產生與運用一代理快取程序。
此種代理快取程序輔助餌網對在捕獲程序期間收集的惡意URL進行連續測試的能力而無需原始/真正惡意URL。此點相當要緊原因在於大部分惡意軟體活動的時間相當短,惡意軟體活動內部的安全性特性件以識別及防止惡意碼滴落到相同網路上的系統,及模糊化/保護對該惡意軟體活動之調查研究。代理快取程序使用如由捕獲程序所紀錄的惡意網址之原始來源碼,其係由來自威脅饋進的該等URL饋進。該代理快取程序仿真該遠端伺服器,該網址之來源碼,且將以該原始網址的相同方式服務(移交)該惡意軟體。
該代理快取程序為全自動,及從捕獲及重播程序
期間裝箱儲存的該等資料庫挽出全部資料。此點包括該原始惡意網址之遠端參數之配方,挽出與重新組裝該原始惡意網址之該檔案庫,拆解該檔案庫,及最終開始與管理該惡意網址之全功能複本。
極其類似該重播程序,該列舉程序利用餌網之成
套資料庫內部的資料及利用該代理快取程序以虛擬地拜訪該等惡意網址。不似重播程序,其使用作業系統與軟體之第一可行組合,允許惡意軟體/攻擊程式碼妥為執行,且用以測試安控產品的功效,列舉程序設計來列舉橫跨各種平台(電腦、行動裝置等)的作業系統及安裝軟體之全部可能變化而決定將允許惡意軟體/攻擊程式碼妥為執行之全部可行組合。此項資料可回饋至重播程序,藉此各次有效迭代
重複可被用以測試其它安控產品。
於一個具現中,整套餌網處理程序可並列地進行
目前利用四個並列執行緒,負責管理前述處理程序各自(捕獲、重播、及代理快取)連同其子處理程序,諸如圖2D顯示的模糊化引擎及涵蓋於本文件內部之模組,諸如零日,且係由控制處理程序集合控制。此外,虛擬機器(VM)的監視及VM之架設及拆解(建立及復原)連同其客端作業系統及應用程式組態係從控制程序內部進行。
VM架構之完整控制係透過餌網的控制處理程序
完成(藉圖1的主機超管理器控制器具現),其係經修正以特性操作,及以虛擬機器工具置換該特定超管理器,例如餌網置換虛擬機公司(VMWare)的虛擬機工具及完全地控制該超管理器內部之客端及主機控制程式。此項控制為自動化,及作為控制處理程序期間的一分開執行緒,且與捕獲、重播、及代理快取程序並列工作。餌網可應需地、自動地取得、組配、及操作VM及於測試期間縮放資源的規模。
部分原因由於該控制程序置換了正常用在超管
理器內部的虛擬機器工具,以及藉修正系統層面動態鏈路存庫(DLL)及其它系統或存庫呼叫,該控制程序其將此等工具整合入作業系統本身,該超管理器本身現在是該惡意軟體所隱藏不見。防止餌網被檢測出的額外障眼法技術係涵蓋於此處模型綜論之範圍內。
如此處摘述,餌網乃量身訂製發展應用程式、應用程式規劃介面(API)、及核心層級修正之一系統,諸如系
統之AI模組、系統之模糊化模組、系統及控制程序之零日模組,例如其為應用程式。該超管理器之主機及客端功能兩者以及作業系統之應用程式。餌網目前支援微軟視窗作業系統之全部版本、以英特爾(Intel)為基礎之OS X版本、iOS、及安卓。餌網的一項關鍵特徵為其有能力使得出現在近代惡意軟體/攻擊程式碼內部的「VM檢測系統」(例如由惡意軟體區別來自一實體/真正機器的虛擬機器之能力)變成無用。餌網修改超管理器控制系統,置換其API,以及產生類似真正使用者隨機移動滑鼠及其它UI裝置以騙過惡意軟體相信它係在真正主機上。如此挫敗了惡意軟體檢測一VM之能力,該項能力正常可防止惡意軟體部署其酬載,原因在於VM常用於防毒系統以潛伏可疑的可執行檔案。餌網也能夠檢測及監控虛擬機器/微虛擬機器管理器(microvisor)惡意軟體。此型惡意軟體將在感染主機內部發射虛擬對話或甚至完整虛擬機器,此等機器當有惡意軟體在內部跑時為無法檢測,原因在於其它檢測系統只知曉該系統的主作業系統及情況。
運用該系統,透過餌網的重播伺服器及對抗任何
數目之其它客端裝置操作應用程式、補強程式層級、或作業系統之任何變化的重播技術(模組)可捕獲、辨識及重播該惡意軟體或攻擊程式碼以決定該攻擊程式碼的真正目標影響。舉例言之,若使用視窗2008,SP1,跑奧多比(Adobe)XYZ版本首先偵測得攻擊程式碼或惡意軟體,然後餌網可對視窗作業系統之全部其它變化、奧多比產品之不同版本等測
試惡意軟體以辨識哪些系統組態對該惡意軟體為敏感。
於一個具現中,該餌網系統主要係寫成在虛擬機
的ESXi內部工作,但原先係設計用於微軟Hyper-V。可進行修正以許可在任何超管理器系統上操作,如此支援多個超管理器通訊通道。其係經由與餌網相聯結的超管理器模組其置換本有主機至客端API而無縫地且智慧型地達成此點,此外餌網可在裸機上操作,但效能將成問題且無法擴充。餌網可擴充至一雲端構成體內部無限數目之VM,只要硬體可支援額外客端裝置即可。
餌網的功能透過容後詳述模組組件(模組)的使
用而予放大及補足,其各自提供用於威脅及第三方安控產品效果之評估功能,如圖2顯示。
零日模組
本模組為針對餌網插入即用之業界現況,允許其偵測任何型別的攻擊程式碼活動,且係發展以識別零日攻擊,例如,在安全性社群中尚未經歸類或識別的攻擊程式碼及惡意軟體,經常表示目前並無已知之針對此等攻擊之防禦,原因在於被靶定的商品或開放來源碼產品之維護者本身並不知曉瑕疵已被攻擊故。能夠剖析該攻擊及紀錄最小組件,揭露每個錯綜複雜的步驟及安全性減緩策略如何被用以達成攻擊。此一模組係基於獨特知識該餌網系統之擁有者已經透過各種研究計畫開發。當與最複雜的且客製化的/先前未見之惡意軟體一起呈現時,零日可有效用於進階持久性威脅(APT)攻擊。該模組可經設定以檢測與歸類攻
擊,或檢測與封鎖攻擊。不似微軟公司目前安全性減緩技術EMET容易被繞道,零日利用核心32(kernel32)、核心基礎(kernelbase)及ntdll的組合過濾。零日的大致能力摘述於此。
零日之關鍵特性件-
零日可執行下列工業已知之攻擊程式碼的辨識及分類工作中之任一者或全部:
●記憶體中殼碼(ShellCode)檢測
●原始殼碼傾倒(原始殼碼輸出-至檔案)
●原始殼碼拆卸(後分析)
●殼碼仿真
●識別用於殼碼的API
●登錄API參數資訊:
a.網路
b.記憶體
c.檔案
d.處理程序
●ROP檢測
●ROP小裝置檢測
●ROP小裝置傾倒伴以反向拆卸(模組+功能)
●緩衝區溢出漏洞(HeapSpray)檢測
●NOP滑板(Sled)檢測
●空值頁面配置檢測
概略言之,零日可監視及保護於用戶系統(環-3
例如「r3」)之任何應用程式,但只能監視而無法保護核心系統(環-0例如「r0」)-攻擊程式碼直接影響OS服務,其將仍然能夠保護對抗透過用戶系統服務的以核心為基礎之攻擊程式碼及利用此種攻擊媒介之任何其它應用程式。
額外資訊
不似目前EMET 3.5,系統使用堆疊證實及監視包括保護免於直接存取核心32、核心基本及NTDLL DLL API,故返回導向規劃(ROP)不被保護對抗核心基本動態API載荷。
該系統也具有一CODE/TEXT區段許可改變監視器。此一監視器為新穎處理程序/機制。此一機制許可透過一處理程序檢視及監視特權升級,藉此該系統監視代碼/文字變化。此點為可能原因在於零日整合入該核心內且直接繫於主系統子處理程序。
半控制流程移轉(CFT)檢查為該系統之一部分,全部系統呼叫(r3)仍將穿隧返回核心(r0)中之原先者。因此,呼叫將經由KiFastSystemCall[SystemCallStub](藉中斷向量int 0x2E觸發)過濾。
因下列理由故藉該系統進行後分析相當重要:具有控制中的樣本,然後自動分析以識別該攻擊係如何深度進行,及使用哪些小裝置、DLL等進行。
零日係設計為不僅檢測及/或停止攻擊,同時也找出有關後攻擊的資訊。其可包括與一指令及控制(C&C)伺服器通訊,下載更多惡意軟體等。其用於下列之效果良
好:自動化檢測,攻擊之後自動化分析,及收集深度資訊用於資料分析(簡訊、部落格、貼文等),此乃其它個人或公司所沒有者。
VM+砂盒避開檢測及規避檢測模組
幾乎全部惡意軟體檢測虛擬機器(VM)的存在/其是否由被管理為一虛擬機器(VM)的一作業系統所主持又名「砂盒」,且將避免執行及洩露其控制流程(CF)被動態分析。發展此點以克服新近惡意軟體的此種防偵測能力;其將偵測滴落的惡意軟體是否由於探勘攻擊程式碼的結果,或單純係由於典型偷渡結果,其試圖避免在一VM或在一砂盒內部執行。有多種規避惡意軟體內部之防偵測技術的選項:1)使用進階常規表示法及布林代數基於實驗室中發展的簽章直接於記憶體中補強。
2)透過一代理快取存根劫持由該惡意軟體所做的系統呼叫,以新碼竄改原先碼,及將錯誤結果饋至該惡意軟體以騙它如同在裸機上跑般。
AI模組
此一模組負責在VM中產生人造的人類活動。原因在於有些惡意軟體將檢查缺乏滑鼠活動或鍵盤活動或甚至所引致之處理程序。不存在有來自人機介面裝置的活動連同不存在有附屬處理程序及應用程式指示自動化機器及因而指示陷阱。該AI模組校正於其它潛伏系統的此種監督,利用方式係藉注入隨機化滑鼠移動及使用、鍵盤輸入
而包括實際打字樣式、速度之錯誤變化等。該AI模組也開啟與關閉附屬處理程序,諸如聊天軟體、電子郵件客端等。
在虛擬化系統上全部產生使用者日常生活的實際行為。該系統可開啟電子郵件,例如檢查收件匣中的各項目,回應電子郵件,或與其它系統及實際使用者線內交談。任何程式皆可加至該AI模組以包括複雜系統,諸如電腦遊戲,及辦公用品於該處可產生有用事物諸如試算表、發表會展示、及文件。全部皆產生該機器之一極其實際使用狀態。
該AI模組及砂盒模組可為圖1及圖2中之該系統的一部分(類似零日模組),但於圖中未顯示。
VM樣板
橫跨各次攻擊使用的全部VM係從客製樣板形成,其使用控制處理程序之加固,其將該虛擬機器控制整合入基本作業系統內,如此隱藏客端OS及顯示如同一正常裸機。如此包括下列選項諸如:得知PTR位置
設定PTR位置
直接執行
NT遷移自我修正
自我修正
重新定位
BT節段
BT特權
BT記憶體空間
BT輸入埠
BT輸出埠
Claims (14)
- 一種惡意軟體及攻擊程式碼活動檢測系統,其包含:多個電腦系統;一捕獲堆疊,組配來發出一統一資源定位符給各個電腦系統以下載一段惡意碼;各個電腦系統使用該統一資源定位符下載該段惡意碼;一重播堆疊,組配來在各個電腦系統上於一現場環境中測試該段惡意碼及產生有關該段惡意碼之重播之資料;一代理堆疊,組配來執行該段惡意碼之測試而未存取該統一資源定位符;以及一主機超管理器控制器,其控制該捕獲堆疊、該重播堆疊及該代理堆疊。
- 如請求項1之系統,其中該捕獲堆疊、該重播堆疊及該代理堆疊係並列地運行。
- 如請求項1之系統,其進一步包含識別零日攻擊的一零日模組。
- 如請求項1之系統,其進一步包含組配來儲存上述電腦系統之資料的結構化查詢語言(SQL)伺服器。
- 如請求項1之系統,其進一步包含一移轉伺服器。
- 如請求項1之系統,其中該捕獲堆疊組配來產生該段惡意碼之一複本及對由該段惡意碼所引發的作業系統改變作分類編列。
- 如請求項1之系統,其中該捕獲堆疊組配來捕獲與該等 多個電腦系統之通訊。
- 如請求項1之系統,其中各個堆疊為一或多個伺服器電腦。
- 如請求項8之系統,其中各個堆疊具有一虛擬機器。
- 一種惡意軟體及攻擊程式碼活動檢測方法,該方法包含:提供多個電腦系統;執行一捕獲程序,其中該捕獲程序發出一統一資源定位符給各個電腦系統以下載一段惡意碼;下載該段惡意碼至各個電腦系統;於各個電腦系統上執行一重播程序,其中該重播程序於一現場環境中測試該段惡意碼及產生有關該段惡意碼之該重播程序之資料;執行一代理程序,其中該代理程序執行該段惡意碼之測試而未存取該統一資源定位符;以及使用一主機超管理器控制器控制該捕獲程序、該重播程序及該代理程序。
- 如請求項10之方法,其進一步包含並列地執行該捕獲程序、該重播程序及該代理程序。
- 如請求項10之方法,其進一步包含使用一零日模組識別零日攻擊。
- 如請求項10之方法,其中執行該捕獲程序進一步包含產生該段惡意碼之一複本及對由該段惡意碼所引發的作業系統改變作分類編列。
- 如請求項10之方法,其中執行該捕獲程序進一步包含捕獲與該等多個電腦系統之通訊。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361876704P | 2013-09-11 | 2013-09-11 | |
| US14/482,696 US10084817B2 (en) | 2013-09-11 | 2014-09-10 | Malware and exploit campaign detection system and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201528034A TW201528034A (zh) | 2015-07-16 |
| TWI587170B true TWI587170B (zh) | 2017-06-11 |
Family
ID=52626902
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW103131387A TWI587170B (zh) | 2013-09-11 | 2014-09-11 | 惡意軟體及攻擊程式碼活動檢測系統及方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US10084817B2 (zh) |
| EP (1) | EP3044684A4 (zh) |
| KR (1) | KR20160054589A (zh) |
| CA (1) | CA2924066A1 (zh) |
| TW (1) | TWI587170B (zh) |
| WO (2) | WO2015038775A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI726449B (zh) * | 2019-10-18 | 2021-05-01 | 臺灣銀行股份有限公司 | 網路攻擊分析方法 |
| TWI742799B (zh) * | 2019-10-18 | 2021-10-11 | 臺灣銀行股份有限公司 | 網路攻擊分析方法 |
Families Citing this family (127)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10805331B2 (en) | 2010-09-24 | 2020-10-13 | BitSight Technologies, Inc. | Information technology security assessment system |
| US8555388B1 (en) | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
| US9104870B1 (en) | 2012-09-28 | 2015-08-11 | Palo Alto Networks, Inc. | Detecting malware |
| US9215239B1 (en) | 2012-09-28 | 2015-12-15 | Palo Alto Networks, Inc. | Malware detection based on traffic analysis |
| US9811665B1 (en) | 2013-07-30 | 2017-11-07 | Palo Alto Networks, Inc. | Static and dynamic security analysis of apps for mobile devices |
| US9613210B1 (en) | 2013-07-30 | 2017-04-04 | Palo Alto Networks, Inc. | Evaluating malware in a virtual machine using dynamic patching |
| US10019575B1 (en) | 2013-07-30 | 2018-07-10 | Palo Alto Networks, Inc. | Evaluating malware in a virtual machine using copy-on-write |
| US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
| US20150326592A1 (en) * | 2014-05-07 | 2015-11-12 | Attivo Networks Inc. | Emulating shellcode attacks |
| US10038712B2 (en) | 2014-06-02 | 2018-07-31 | Paypal, Inc. | Method and apparatus for dynamic detection of geo-location obfuscation in client-server connections through an IP tunnel |
| US10805340B1 (en) * | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
| US9489516B1 (en) | 2014-07-14 | 2016-11-08 | Palo Alto Networks, Inc. | Detection of malware using an instrumented virtual machine environment |
| US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US9992225B2 (en) * | 2014-09-12 | 2018-06-05 | Topspin Security Ltd. | System and a method for identifying malware network activity using a decoy environment |
| US9692773B1 (en) | 2014-12-11 | 2017-06-27 | Symantec Corporation | Systems and methods for identifying detection-evasion behaviors of files undergoing malware analyses |
| US10360371B1 (en) * | 2014-12-12 | 2019-07-23 | Symantec Corporation | Systems and methods for protecting automated execution environments against enumeration attacks |
| US9479531B1 (en) | 2014-12-12 | 2016-10-25 | Symantec Corporation | Systems and methods for accelerating malware analyses in automated execution environments |
| US9542554B1 (en) * | 2014-12-18 | 2017-01-10 | Palo Alto Networks, Inc. | Deduplicating malware |
| US9805193B1 (en) | 2014-12-18 | 2017-10-31 | Palo Alto Networks, Inc. | Collecting algorithmically generated domains |
| US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
| US9779239B2 (en) * | 2015-03-15 | 2017-10-03 | Fujitsu Limited | Detection of malicious software behavior using signature-based static analysis |
| US9703956B1 (en) * | 2015-06-08 | 2017-07-11 | Symantec Corporation | Systems and methods for categorizing virtual-machine-aware applications for further analysis |
| US20170063883A1 (en) * | 2015-08-26 | 2017-03-02 | Fortinet, Inc. | Metadata information based file processing |
| US10320828B1 (en) * | 2015-09-30 | 2019-06-11 | EMC IP Holding Company LLC | Evaluation of security in a cyber simulator |
| CN106997367B (zh) | 2016-01-26 | 2020-05-08 | 华为技术有限公司 | 程序文件的分类方法、分类装置和分类系统 |
| IL250797B (en) | 2016-02-25 | 2020-04-30 | Cyren Ltd | An array for analyzing advanced cyber threats and methods of use |
| US10075456B1 (en) * | 2016-03-04 | 2018-09-11 | Symantec Corporation | Systems and methods for detecting exploit-kit landing pages |
| US20220164840A1 (en) | 2016-04-01 | 2022-05-26 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
| US11188862B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Privacy management systems and methods |
| US11562097B2 (en) | 2016-06-10 | 2023-01-24 | OneTrust, LLC | Data processing systems for central consent repository and related methods |
| US11544667B2 (en) | 2016-06-10 | 2023-01-03 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US11651104B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11651106B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US11416798B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for providing training in a vendor procurement process |
| US11675929B2 (en) | 2016-06-10 | 2023-06-13 | OneTrust, LLC | Data processing consent sharing systems and related methods |
| US11354435B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
| US11636171B2 (en) | 2016-06-10 | 2023-04-25 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
| US11461500B2 (en) | 2016-06-10 | 2022-10-04 | OneTrust, LLC | Data processing systems for cookie compliance testing with website scanning and related methods |
| US11727141B2 (en) | 2016-06-10 | 2023-08-15 | OneTrust, LLC | Data processing systems and methods for synching privacy-related user consent across multiple computing devices |
| US11586700B2 (en) | 2016-06-10 | 2023-02-21 | OneTrust, LLC | Data processing systems and methods for automatically blocking the use of tracking tools |
| US11188615B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Data processing consent capture systems and related methods |
| US10318761B2 (en) | 2016-06-10 | 2019-06-11 | OneTrust, LLC | Data processing systems and methods for auditing data request compliance |
| US10997318B2 (en) | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
| US11438386B2 (en) | 2016-06-10 | 2022-09-06 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10284604B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing and scanning systems for generating and populating a data inventory |
| US11403377B2 (en) | 2016-06-10 | 2022-08-02 | OneTrust, LLC | Privacy management systems and methods |
| US11134086B2 (en) | 2016-06-10 | 2021-09-28 | OneTrust, LLC | Consent conversion optimization systems and related methods |
| US11416590B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11294939B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
| US11416589B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11416109B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Automated data processing systems and methods for automatically processing data subject access requests using a chatbot |
| US11625502B2 (en) | 2016-06-10 | 2023-04-11 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
| US11481710B2 (en) | 2016-06-10 | 2022-10-25 | OneTrust, LLC | Privacy management systems and methods |
| US11227247B2 (en) | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems and methods for bundled privacy policies |
| US11222139B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems and methods for automatic discovery and assessment of mobile software development kits |
| US10678945B2 (en) | 2016-06-10 | 2020-06-09 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11418492B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
| US11520928B2 (en) | 2016-06-10 | 2022-12-06 | OneTrust, LLC | Data processing systems for generating personal data receipts and related methods |
| US11392720B2 (en) | 2016-06-10 | 2022-07-19 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
| US11366909B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11354434B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
| US10740487B2 (en) | 2016-06-10 | 2020-08-11 | OneTrust, LLC | Data processing systems and methods for populating and maintaining a centralized database of personal data |
| US11222142B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for validating authorization for personal data collection, storage, and processing |
| US11410106B2 (en) | 2016-06-10 | 2022-08-09 | OneTrust, LLC | Privacy management systems and methods |
| US11366786B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing systems for processing data subject access requests |
| US11475136B2 (en) | 2016-06-10 | 2022-10-18 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
| US10846433B2 (en) | 2016-06-10 | 2020-11-24 | OneTrust, LLC | Data processing consent management systems and related methods |
| KR101676366B1 (ko) * | 2016-06-23 | 2016-11-15 | 국방과학연구소 | 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법 |
| US10348755B1 (en) * | 2016-06-30 | 2019-07-09 | Symantec Corporation | Systems and methods for detecting network security deficiencies on endpoint devices |
| US10586045B2 (en) | 2016-08-11 | 2020-03-10 | The Mitre Corporation | System and method for detecting malware in mobile device software applications |
| US10277625B1 (en) * | 2016-09-28 | 2019-04-30 | Symantec Corporation | Systems and methods for securing computing systems on private networks |
| TWI622894B (zh) * | 2016-12-13 | 2018-05-01 | 宏碁股份有限公司 | 電子裝置及偵測惡意檔案的方法 |
| US11695800B2 (en) * | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
| TWI625642B (zh) * | 2017-03-08 | 2018-06-01 | 廣達電腦股份有限公司 | 軟體風險評估系統及其方法 |
| US10013577B1 (en) | 2017-06-16 | 2018-07-03 | OneTrust, LLC | Data processing systems for identifying whether cookies contain personally identifying information |
| TWI647585B (zh) * | 2017-06-27 | 2019-01-11 | 關隆股份有限公司 | Malicious virus protection method |
| US10911478B2 (en) | 2017-06-29 | 2021-02-02 | Microsoft Technology Licensing, Llc | Detection of attacks in the cloud by crowd sourcing security solutions |
| KR102040929B1 (ko) * | 2017-08-04 | 2019-11-27 | 국방과학연구소 | 비정상 행위 감시를 이용한 드라이브 바이 다운로드 탐지 장치 및 그 방법 |
| WO2019032728A1 (en) | 2017-08-08 | 2019-02-14 | Sentinel Labs, Inc. | METHODS, SYSTEMS AND DEVICES FOR DYNAMICALLY MODELING AND REGROUPING END POINTS FOR ONBOARD NETWORKING |
| US10503898B2 (en) | 2017-10-03 | 2019-12-10 | Grand Mate Co., Ltd. | Method for defending against malware |
| US10771482B1 (en) * | 2017-11-14 | 2020-09-08 | Ca, Inc. | Systems and methods for detecting geolocation-aware malware |
| US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
| US11627148B2 (en) * | 2018-03-08 | 2023-04-11 | Zscaler, Inc. | Advanced threat detection through historical log analysis |
| US10826935B2 (en) * | 2018-04-24 | 2020-11-03 | International Business Machines Corporation | Phishing detection through secure testing implementation |
| US11010474B2 (en) | 2018-06-29 | 2021-05-18 | Palo Alto Networks, Inc. | Dynamic analysis techniques for applications |
| US10956573B2 (en) | 2018-06-29 | 2021-03-23 | Palo Alto Networks, Inc. | Dynamic analysis techniques for applications |
| US10986117B1 (en) * | 2018-08-07 | 2021-04-20 | Ca, Inc. | Systems and methods for providing an integrated cyber threat defense exchange platform |
| US11138313B2 (en) * | 2018-08-13 | 2021-10-05 | Juniper Networks, Inc. | Malware detection based on user interactions |
| US11544409B2 (en) | 2018-09-07 | 2023-01-03 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
| US10803202B2 (en) | 2018-09-07 | 2020-10-13 | OneTrust, LLC | Data processing systems for orphaned data identification and deletion and related methods |
| US11036856B2 (en) * | 2018-09-16 | 2021-06-15 | Fortinet, Inc. | Natively mounting storage for inspection and sandboxing in the cloud |
| US10521583B1 (en) * | 2018-10-25 | 2019-12-31 | BitSight Technologies, Inc. | Systems and methods for remote detection of software through browser webinjects |
| US11057428B1 (en) * | 2019-03-28 | 2021-07-06 | Rapid7, Inc. | Honeytoken tracker |
| US10762200B1 (en) | 2019-05-20 | 2020-09-01 | Sentinel Labs Israel Ltd. | Systems and methods for executable code detection, automatic feature extraction and position independent code detection |
| US11552929B2 (en) * | 2019-06-10 | 2023-01-10 | Fortinet, Inc. | Cooperative adaptive network security protection |
| US11165809B2 (en) * | 2019-07-15 | 2021-11-02 | Barak TAWILY | Systems methods and computer storage media for detection of potential cyber security vulnerabilities in computer networks by premediated exterior intrusion through log-based pre-mapped entrance points |
| US11956265B2 (en) | 2019-08-23 | 2024-04-09 | BitSight Technologies, Inc. | Systems and methods for inferring entity relationships via network communications of users or user devices |
| US11196765B2 (en) | 2019-09-13 | 2021-12-07 | Palo Alto Networks, Inc. | Simulating user interactions for malware analysis |
| US11032244B2 (en) | 2019-09-30 | 2021-06-08 | BitSight Technologies, Inc. | Systems and methods for determining asset importance in security risk management |
| CN112580042B (zh) * | 2019-09-30 | 2024-02-02 | 奇安信安全技术(珠海)有限公司 | 恶意程序的对抗方法及装置、存储介质、计算机设备 |
| WO2021177989A1 (en) * | 2020-03-02 | 2021-09-10 | Intel 471 Inc. | Automated malware monitoring and data extraction |
| US11797528B2 (en) | 2020-07-08 | 2023-10-24 | OneTrust, LLC | Systems and methods for targeted data discovery |
| WO2022026564A1 (en) | 2020-07-28 | 2022-02-03 | OneTrust, LLC | Systems and methods for automatically blocking the use of tracking tools |
| RU2744438C1 (ru) * | 2020-08-03 | 2021-03-09 | Акционерное Общество «Эшелон - Северо-Запад» | Система и способ формирования оптимального набора тестов для выявления программных закладок |
| US11475165B2 (en) | 2020-08-06 | 2022-10-18 | OneTrust, LLC | Data processing systems and methods for automatically redacting unstructured data from a data subject access request |
| WO2022060860A1 (en) | 2020-09-15 | 2022-03-24 | OneTrust, LLC | Data processing systems and methods for detecting tools for the automatic blocking of consent requests |
| US11526624B2 (en) | 2020-09-21 | 2022-12-13 | OneTrust, LLC | Data processing systems and methods for automatically detecting target data transfers and target data processing |
| US11337177B2 (en) | 2020-09-23 | 2022-05-17 | Glowstik, Inc. | System and method for generating amorphous dynamic display icons |
| WO2022099023A1 (en) | 2020-11-06 | 2022-05-12 | OneTrust, LLC | Systems and methods for identifying data processing activities based on data discovery results |
| US11720391B2 (en) * | 2020-11-10 | 2023-08-08 | National Technology & Engineering Solutions Of Sandia, Llc | Emulation automation and model checking |
| CN112491917B (zh) * | 2020-12-08 | 2021-05-28 | 物鼎安全科技(武汉)有限公司 | 一种物联网设备未知漏洞识别方法及装置 |
| US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
| US11687528B2 (en) | 2021-01-25 | 2023-06-27 | OneTrust, LLC | Systems and methods for discovery, classification, and indexing of data in a native computing system |
| WO2022170047A1 (en) | 2021-02-04 | 2022-08-11 | OneTrust, LLC | Managing custom attributes for domain objects defined within microservices |
| EP4288889A1 (en) | 2021-02-08 | 2023-12-13 | OneTrust, LLC | Data processing systems and methods for anonymizing data samples in classification analysis |
| US11601464B2 (en) | 2021-02-10 | 2023-03-07 | OneTrust, LLC | Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system |
| US11775348B2 (en) | 2021-02-17 | 2023-10-03 | OneTrust, LLC | Managing custom workflows for domain objects defined within microservices |
| US11546661B2 (en) | 2021-02-18 | 2023-01-03 | OneTrust, LLC | Selective redaction of media content |
| WO2022192269A1 (en) | 2021-03-08 | 2022-09-15 | OneTrust, LLC | Data transfer discovery and analysis systems and related methods |
| US11562078B2 (en) | 2021-04-16 | 2023-01-24 | OneTrust, LLC | Assessing and managing computational risk involved with integrating third party computing functionality within a computing system |
| CN113067840B (zh) * | 2021-06-03 | 2021-08-24 | 江苏天翼安全技术有限公司 | 一种云化插件式漏洞响应的蜜网架构实现方法 |
| US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
| US11818172B1 (en) | 2021-08-24 | 2023-11-14 | Amdocs Development Limited | System, method, and computer program for a computer attack response service |
| US11620142B1 (en) | 2022-06-03 | 2023-04-04 | OneTrust, LLC | Generating and customizing user interfaces for demonstrating functions of interactive user environments |
| CN117319077B (zh) * | 2023-11-09 | 2024-04-16 | 青海秦楚信息科技有限公司 | 一种网络安全应急联动系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100122343A1 (en) * | 2008-09-12 | 2010-05-13 | Anup Ghosh | Distributed Sensor for Detecting Malicious Software |
| US20120174186A1 (en) * | 2004-04-01 | 2012-07-05 | Ashar Aziz | Policy Based Capture with Replay to Virtual Machine |
| US20120331553A1 (en) * | 2006-04-20 | 2012-12-27 | Fireeye, Inc. | Dynamic signature creation and enforcement |
| US20130055396A1 (en) * | 2007-09-28 | 2013-02-28 | Microsoft Corporation | Securing anti-virus software with virtualization |
| US20130074185A1 (en) * | 2011-09-15 | 2013-03-21 | Raytheon Company | Providing a Network-Accessible Malware Analysis |
| TW201329774A (zh) * | 2011-12-22 | 2013-07-16 | Intel Corp | 用以設定保護平台免受惡意軟體之政策的使用者可控制平台層級觸發技術 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6981279B1 (en) * | 2000-08-17 | 2005-12-27 | International Business Machines Corporation | Method and apparatus for replicating and analyzing worm programs |
| US20110238855A1 (en) * | 2000-09-25 | 2011-09-29 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
| US7567908B2 (en) * | 2004-01-13 | 2009-07-28 | International Business Machines Corporation | Differential dynamic content delivery with text display in dependence upon simultaneous speech |
| US8793787B2 (en) * | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
| US9106694B2 (en) * | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
| US8407785B2 (en) * | 2005-08-18 | 2013-03-26 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media protecting a digital data processing device from attack |
| US8196205B2 (en) | 2006-01-23 | 2012-06-05 | University Of Washington Through Its Center For Commercialization | Detection of spyware threats within virtual machine |
| US7996836B1 (en) * | 2006-12-29 | 2011-08-09 | Symantec Corporation | Using a hypervisor to provide computer security |
| US8060074B2 (en) * | 2007-07-30 | 2011-11-15 | Mobile Iron, Inc. | Virtual instance architecture for mobile device management systems |
| US8984628B2 (en) | 2008-10-21 | 2015-03-17 | Lookout, Inc. | System and method for adverse mobile application identification |
| US8997219B2 (en) * | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
| US8935773B2 (en) * | 2009-04-09 | 2015-01-13 | George Mason Research Foundation, Inc. | Malware detector |
| US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
| US10397246B2 (en) | 2010-07-21 | 2019-08-27 | Radware, Ltd. | System and methods for malware detection using log based crowdsourcing analysis |
| WO2012011070A1 (en) | 2010-07-21 | 2012-01-26 | Seculert Ltd. | Network protection system and method |
| US9015843B2 (en) | 2010-12-03 | 2015-04-21 | Microsoft Corporation | Predictive malware threat mitigation |
| US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| ES2755780T3 (es) * | 2011-09-16 | 2020-04-23 | Veracode Inc | Análisis estático y de comportamiento automatizado mediante la utilización de un espacio aislado instrumentado y clasificación de aprendizaje automático para seguridad móvil |
| US9519781B2 (en) | 2011-11-03 | 2016-12-13 | Cyphort Inc. | Systems and methods for virtualization and emulation assisted malware detection |
| US9769123B2 (en) * | 2012-09-06 | 2017-09-19 | Intel Corporation | Mitigating unauthorized access to data traffic |
| JP2017503222A (ja) * | 2013-01-25 | 2017-01-26 | レムテクス, インコーポレイテッド | ネットワークセキュリティシステム、方法、及び装置 |
| US9355247B1 (en) * | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
| US9251343B1 (en) * | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
| US9300686B2 (en) * | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
-
2014
- 2014-09-10 US US14/482,696 patent/US10084817B2/en not_active Expired - Fee Related
- 2014-09-11 KR KR1020167009465A patent/KR20160054589A/ko active IP Right Grant
- 2014-09-11 TW TW103131387A patent/TWI587170B/zh not_active IP Right Cessation
- 2014-09-11 CA CA2924066A patent/CA2924066A1/en not_active Abandoned
- 2014-09-11 WO PCT/US2014/055198 patent/WO2015038775A2/en active Application Filing
- 2014-09-11 EP EP14843380.8A patent/EP3044684A4/en not_active Withdrawn
-
2016
- 2016-11-08 US US15/346,358 patent/US20170054754A1/en not_active Abandoned
-
2017
- 2017-11-07 WO PCT/US2017/060456 patent/WO2018089380A1/en active Application Filing
-
2018
- 2018-09-24 US US16/140,490 patent/US20190199747A1/en not_active Abandoned
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120174186A1 (en) * | 2004-04-01 | 2012-07-05 | Ashar Aziz | Policy Based Capture with Replay to Virtual Machine |
| US20120331553A1 (en) * | 2006-04-20 | 2012-12-27 | Fireeye, Inc. | Dynamic signature creation and enforcement |
| US20130055396A1 (en) * | 2007-09-28 | 2013-02-28 | Microsoft Corporation | Securing anti-virus software with virtualization |
| US20100122343A1 (en) * | 2008-09-12 | 2010-05-13 | Anup Ghosh | Distributed Sensor for Detecting Malicious Software |
| US20130074185A1 (en) * | 2011-09-15 | 2013-03-21 | Raytheon Company | Providing a Network-Accessible Malware Analysis |
| TW201329774A (zh) * | 2011-12-22 | 2013-07-16 | Intel Corp | 用以設定保護平台免受惡意軟體之政策的使用者可控制平台層級觸發技術 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI726449B (zh) * | 2019-10-18 | 2021-05-01 | 臺灣銀行股份有限公司 | 網路攻擊分析方法 |
| TWI742799B (zh) * | 2019-10-18 | 2021-10-11 | 臺灣銀行股份有限公司 | 網路攻擊分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3044684A4 (en) | 2017-04-26 |
| US20170054754A1 (en) | 2017-02-23 |
| TW201528034A (zh) | 2015-07-16 |
| KR20160054589A (ko) | 2016-05-16 |
| EP3044684A2 (en) | 2016-07-20 |
| CA2924066A1 (en) | 2015-03-19 |
| WO2015038775A3 (en) | 2015-04-09 |
| US20150074810A1 (en) | 2015-03-12 |
| US10084817B2 (en) | 2018-09-25 |
| WO2015038775A9 (en) | 2015-05-21 |
| WO2015038775A2 (en) | 2015-03-19 |
| US20190199747A1 (en) | 2019-06-27 |
| WO2018089380A1 (en) | 2018-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI587170B (zh) | 惡意軟體及攻擊程式碼活動檢測系統及方法 | |
| US11080399B2 (en) | System and method for vetting mobile phone software applications | |
| EP3506139B1 (en) | Malware detection in event loops | |
| US10198574B1 (en) | System and method for analysis of a memory dump associated with a potentially malicious content suspect | |
| US10498763B2 (en) | On-demand injection of software booby traps in live processes | |
| US9251343B1 (en) | Detecting bootkits resident on compromised computers | |
| Narvaez et al. | Drive-by-downloads | |
| US20210200859A1 (en) | Malware detection by a sandbox service by utilizing contextual information | |
| CN109558207A (zh) | 在虚拟机中形成用于进行文件的防病毒扫描的日志的系统和方法 | |
| Lee et al. | Kernel-level rootkits features to train learning models against namespace attacks on containers | |
| Reeves | Autoscopy Jr.: Intrusion detection for embedded control systems | |
| Clark et al. | Empirical evaluation of the a3 environment: evaluating defenses against zero-day attacks | |
| Muhovic | Behavioural analysis of malware using custom sandbox environments | |
| Nagothu et al. | icrawl: A visual high interaction web crawler | |
| US20230267207A1 (en) | Antiransomware Using Machine Learning | |
| Bartl | A client honeypot | |
| Nayak et al. | A Wingman for Virtual Appliances | |
| Mao et al. | A function-level behavior model for anomalous behavior detection in hybrid mobile applications | |
| Staunton | Containment through Exploitation: Utilising exploit code to achieve containment and patching of vulnerable systems | |
| Yin et al. | Analysis of trigger conditions and hidden behaviors | |
| Van Mieghem | Detecting malicious behaviour using system calls | |
| Olowoyeye | Evaluating Open Source Malware Sandboxes with Linux malware | |
| Pektaş | Classification des logiciels malveillants basée sur le comportement à l'aide de l'apprentissage automatique en ligne | |
| Acin Sanz | ANDRIK: Automated Android malware analysis | |
| Tascon Gutierrez et al. | Malware Sandbox Deployment, Analysis and Development |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |