收集和分析恶意软件数据的制作方法
专利名称:收集和分析恶意软件数据的制作方法
收集和分析恶意软件数据
背景技术:
反病毒、反间谍软件、以及其他反恶意软件应用程序通过标识有害应用程序或其他可执行代码并且移除或至少中立化该有害代码来设法保护客户机计算机。当前反恶意软件应用程序(例如,微软Windows Defender、微软Forefront Client kcurity、微软 OneCare、微软Exchange服务器的forefront服务器等等)使用基于签名的方法来检测病毒、蠕虫、以及间谍软件。基于签名的方法依赖于恶意软件的一个或多个区别特征以提供肯定标识,使得反恶意软件应用程序可以移除它。例如,特定恶意软件应用程序可以具有特定文件名、将特定值写入操作系统配置数据库(例如,微软Windows Registry),或包含具有特定字节的可执行代码(例如,使用CRC、密码散列、或其他签名算法标识的)基于签名的方法更多地取决于本领域的技术人员对现有恶意软件的分析以及该分析的质量。通常,技术人员接收新威胁的样本、或已知威胁的变体。例如,用户可以将该威胁以一个或多个文件的形式用电子邮件发送到电子邮件地址用于报告恶意软件。该技术人员随后开始调查。在调查期间,该技术人员可以在诸如即使恶意软件影响计算机系统但对其他计算机系统也不能造成危害的沙箱计算机系统等虚拟环境中执行恶意软件。如果恶意软件样本在虚拟环境中成功地运行并且产生足够信息,则该技术人员分析执行历史、所创建的/所删除的文件的内容、注册表项、网络活动、以及恶意软件的其他活动,并且创建删除签名和移除指令。例如,如果恶意软件在特定目录中创建文件virus, exe,则该签名可以标识该文件,并且移除脚本可以指定在其典型的位置删除该文件。出于若干原因,这种类型的分析是有问题的。首先,该过程涉及人类分析,并且由此因为可用技术人员要审阅新威胁而变慢并且发生瓶颈。新威胁的速率一直在增加,并且可用技术人员常常比创建新恶意软件的恶意软件作者更少。其次,技术人员可能不能够在虚拟环境中成功地运行恶意软件,并且由此可能不能够理解恶意软件如何表现的完整模型。这可以导致例如不能检测具有某些变体形式的恶意软件、或对恶意软件的不完全移除。 恶意软件可能无法在虚拟环境中运行的原因的示例是恶意软件将技术人员的域名检测为反恶意软件供应商的域名、在操作系统版本或安装的应用程序不是恶意软件作者所期望的时恶意软件运行失败等等。有时从顾客计算机接收的样本可能包含不足够的关于威胁的信息。例如,报告可以仅包括驱动程序以及几个其他文件,而没有足够信息供技术人员理解如何运行恶意软件。这一情况通常以影响顾客体验的不完整的检测/移除而告终。当用户访问网站并且允许安装“未知软件”(通常,用户认为他们正安装良好的软件)时,客户机计算机常常被感染。用户所访问的原始URL常常不包含二进制代码,而是重新定向到另一“短生存周期”的统一资源定位符(URL)。一旦技术人员接收原始URL并且开始调查,则该“短生存周期”URL可以不再包含恶意软件。技术人员可能永远不会接收足够信息来捕捉真正的罪犯、或检测具有其最早形式的恶意软件。此外,某些样本可以暂时规避分析,因为技术人员或早期威胁分析将它们的优先级确定为低。例如,威胁可以接收到有限数量的报告,这可仅仅因为反恶意软件还不是固有地检测威胁(即,虚假否定)。另一问题是对其中由技术人员产生的移除脚本不清理新变体的先前所标识的恶意软件的新变体的误标识。这可以来自用关于恶意软件家族中的当前改变的最新信息来更新反恶意软件应用程序的缓慢。技术人员还可能没有接收被分析的恶意软件的完整画面, 因为恶意软件期望专用环境、或在技术人员的环境中不明显或不存在的用户动作的结合。 例如,在恶意软件执行之前,可以期望用户访问特定网站。当用户访问该网站之后,恶意软件可以用属于通过间谍软件网站对用户的web浏览器通信重新定向并且监视用户的浏览习惯的恶意软件的一个证书来替换用户的安全证书,。如果技术人员永远没有访问该网站, 则恶意软件将不产生足够信息供技术人员理解恶意软件的损坏行为。
发明内容
描述了提供关于客户机计算机上的恶意软件执行历史的信息、并且允许用于对标识签名和移除命令的较快创建的自动化后端分析的一恶意软件分析系统。该恶意软件分析系统收集客户机计算机上的威胁信息,并且将该威胁信息发送给后端分析组件以供自动化分析。该后端分析组件通过将该威胁信息与关于已知威胁的信息作比较来分析该威胁信息。该系统建立用于标识威胁家族的签名、以及用于中立化该威胁的减轻脚本。该系统将签名和减轻数据发送给使用该信息来减轻威胁的客户机计算机。由此,该恶意软件分析系统通过减少对技术人员手动地创建用于再现威胁的环境以及手动地分析威胁行为的负担, 而比先前系统更快速地检测并且减轻威胁。提供本发明内容以便以简化形式介绍将在以下的具体实施方式
中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于限定所要求保护的主题的范围。
图1是示出在一个实施例中的恶意软件分析系统的各组件的框图。图2是示出在一个实施例中的恶意软件分析系统的典型操作环境的框图。图3是示出一个实施例中的由恶意软件分析系统在客户机计算机上进行的处理的流程图。图4是示出一个实施例中的用于分析和减轻潜在威胁的恶意软件分析系统的后端服务的处理的流程图。
具体实施例方式概览描述了提供关于客户机计算机上的恶意软件执行历史的信息、并且允许用于对标识签名和移除指令的较快创建的自动化后端分析的一恶意软件分析系统。该恶意软件分析系统收集客户机计算机上的威胁信息,并且将该威胁信息发送给后端分析组件以供自动化分析。例如,系统可以收集所访问的URL、所执行的用户动作、所访问的文件、以及关于由恶意软件造成的潜在威胁的其他信息。当特定事件发生时,诸如当应用程序尝试访问网站时, 该系统可以触发对威胁信息的收集。该后端分析组件通过将该威胁信息与关于已知威胁的信息作比较来分析该威胁信息。例如,后端分析组件可以基于威胁信息来标识相似的先前威胁,并且将新威胁分类到威胁家族。该系统建立用于标识威胁家族的签名、以及用于中立化该威胁的减轻脚本。例如,签名可以标识威胁家族所共有的文件,并且减轻脚本可以删除由恶意软件安装的文件。该系统将签名和减轻数据发送给减轻威胁的客户机计算机。由此,该恶意软件分析系统通过减少对技术人员手动地创建用于再现威胁的环境以及手动地分析威胁行为的负担,而比先前系统更快速地检测并且减轻威胁。反恶意软件供应商随后可以将有限的技术人员资源定位在最相关的且最难减轻的威胁上。图1是示出在一个实施例中的恶意软件分析系统的各组件的框图。恶意软件分析系统100包括威胁分析组件110、信息收集组件120、通信组件130、威胁数据存储140、威胁分析组件150、签名建立器组件160、减轻组件170、反馈组件180、以及用户接口组件190。 可以在一个或多个客户机计算机和运行在一个或多个服务器上的后端服务之间对这些组件进行划分。这些组件中的每一个都在此处进一步详细讨论。威胁检测组件110检测指示潜在威胁的客户机计算机上的事件,并且发信号通知信息收集组件120以跟踪关于威胁的信息。这些事件可以由系统来预定义、或随着客户机计算机从后端服务接收新威胁签名而动态地更新。威胁检测组件110可以包括在操作系统的低级执行的内核模式驱动程序来检测各种类型的威胁。信息收集组件120收集关于在客户机计算机处的潜在威胁的信息。例如,信息收集组件120可以存储关于文件、目录、注册表项、URL、以及由应用程序访问的其他资源的信息。组件120还可以存储指示代码的潜在恶意片段如何发起每次动作的历史的和分层的数据。例如,如果用户访问了网站、下载了恶意应用程序,并且该应用程序联系了另一网站,则该数据可以指示这些事件的顺序以及它们之间的关系。通信组件130在客户机计算机和后端服务之间传送信息。例如,客户机计算机使用通信组件130来将威胁信息发送给后端服务。后端服务通过通信组件130将已更新的签名和减轻指令发送给客户机计算机。通信组件130可以通过因特网、局域网(LAN)、或其他通信介质来操作。威胁数据存储140存储由客户机设备报告的关于所遇到的威胁的信息、等待分析的威胁队列、已知威胁的家族及其特征、用于检测威胁的签名、以及用于移除所检测到的威胁的减轻指令。威胁数据存储140担当威胁信息的储存库,并且该系统可以挖掘威胁数据存储140来标识威胁之间的共同性、诸如特定威胁的发生速率等统计量等等。威胁分析组件150为所接收的威胁报告配置执行环境,执行威胁,并且尝试基于先前所遇到的威胁家族来对威胁进行分类。例如,威胁分析组件150可以检查威胁报告来确定操作系统和提交报告的客户机计算机的配置,在虚拟或沙箱环境中配置相似的计算机,并且实施威胁报告中指示的用户或其他动作来观察与该威胁相关联的恶意软件的行为。签名建立器组件160检查由威胁分析组件150配置的执行环境来确定标识该威胁的特征。例如,该威胁可以下载特定文件、访问特定URL、或将信息存储在指示将该威胁与其他安全操作相区别的行为的特定注册表项中。签名建立器组件160基于区别行为来创建用于检测威胁的实例的签名。减轻组件170应用签名和减轻指令来标识已知威胁,并且响应于所标识的威胁实例来执行动作。例如,减轻组件170可以从后端服务接收签名更新,并且扫描客户机计算机寻找从该服务接收的每一签名,以便确定客户机计算机上是否存在任何威胁实例。如果客户机计算机上存在威胁实例,则减轻组件170执行与签名相关联的且从后端服务接收的动作。例如,这些动作可以指定要删除的文件、要聚集并且发送给后端服务的附加信息等等。 减轻组件170将威胁恶意软件从客户机计算机中移除,并且聚集后端服务的信息不足以消除的威胁的附加信息(如此处将进一步描述的)。反馈组件180基于特定准则来分析威胁检测评级并且对威胁报告区分优先级。例如,反馈组件180可以对与特定已知威胁家族相匹配的威胁相比于其他威胁区分较高的优先级。组件180还监视后端服务部署到客户机计算机的新签名更新来确定威胁的检测速率是否增加。增加的检测速率可以指示先前的虚假肯定,并且导致系统增加先前较低优先级的威胁的优先级。反馈组件180在正在进行的基础上通过将威胁分析资源聚焦于最困难的威胁来改进威胁检测。用户接口组件190为技术人员和系统管理员指导和调谐系统提供接口。例如,技术人员可以标识威胁家族、向报告特定威胁的客户机计算机请求附加信息等等。用户接口 190向技术人员提供一种方式,该方式用于查看威胁信息并且分析威胁信息以便处理没有技术人员的干预则系统100无法减轻的威胁。在其上实现该系统的计算设备可包括中央处理单元、存储器、输入设备(例如,键盘和定点设备)、输出设备(例如,显示设备)和存储设备(例如,盘驱动器)。存储器和存储设备是可以用实现该系统的计算机可执行指令来编码的计算机可读介质,这表示包含该指令的计算机可读介质。此外,数据结构和消息结构可被存储或经由诸如通信链路上的信号等数据传送介质发送。可以使用各种通信链路,诸如因特网、局域网、广域网、点对点拨号连接、蜂窝电话网络等。该系统的实施例可以在各种操作环境中实现,这些操作环境包括个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、可编程消费电子产品、数码照相机、网络PC、小型计算机、大型计算机、包括任何上述系统或设备中任一种的分布式计算环境等。计算机系统可以是蜂窝电话、个人数字助理、智能电话、个人计算机、可编程消费电子设备、数码相机等。该系统可以在由一个或多个计算机或其他设备执行的诸如程序模块等计算机可执行指令的通用上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。通常,程序模块的功能可以在各个实施例中按需进行组合或分布。图2是示出在一个实施例中的恶意软件分析系统的典型操作环境的框图。一个或多个客户机计算机210通过网络240被连接到后端服务沈0。每一客户机计算机210包括恶意软件分析系统的客户机侧组件230,这些客户机则组件230检测并且分析关于客户机计算机210上的威胁的信息。客户机侧组件230将关于潜在威胁的执行历史的信息提供给后端服务沈0以供进一步分析。后端服务260包括恶意软件分析系统的服务器侧组件270。 客户机侧组件230和服务器侧组件270可以包括例如图1中描述的一个或多个组件。本领域的普通技术人员将认识到,客户机和服务器上的操作组件的许多配置基于诸如可伸缩性、可靠性、以及安全性等要求来提供此处描述的优点是可能的。由此,基于这些和其他考虑,这些组件可以在客户机计算机210或后端服务260上操作。后端服务可以包括用于再现所检测到的威胁的执行和行为的执行环境观0。在恶意软件的执行期间,客户机计算机210和执行环境280两者都连接到恶意软件提供者250。 例如,恶意软件可以导致客户机计算机210连接到并且将数据提供给恶意软件提供者250。 后端服务260观察恶意软件在执行环境280中的执行,并且如此处进一步描述地提供签名和减轻信息。客户机数据收集 恶意软件分析系统通过在威胁的生存期的早期开始信息的收集、保存除先前可用的之外的关于威胁的附加信息、并且向后端提供更完整的威胁模型,来改进对技术人员和自动化补救工具可用的威胁信息。先前,用户提交被感染的样本以供分析,该被感染的样本通常包含对成功的后端分析可能不足够的单个文件和有限的元数据。为了提高后端威胁分析的质量和成功率,恶意软件分析系统从被感染的计算机收集更多的元数据。这一数据例如可以描述恶意软件的执行历史、与恶意软件的执行有关的用户动作、浏览历史、恶意软件束安装轨迹、以及其他细节。在某些实施例中,恶意软件分析系统对客户机侧执行初始威胁分析,而不是在后端创建各种执行环境配置(例如,多个操作系统)并且提供昂贵的手动分析。例如,恶意软件分析系统可以在客户机计算机上安装执行以下内容的内核模式的可配置组件。第一,该组件是可配置的,并且可以通过配置来启用和禁用。当该组件被禁用时,它保留在存储器中,但仅仅使用少量客户机资源。它可以仅仅执行周期性的自审核以防止损害该组件的代码注入。第二,该组件监视注册表项的创建、修改、删除、以及其他修改。当该组件检测这些修改时,它标识负责改变的过程,并且将这一信息存储在威胁日志中。该组件可以对文件、 目录、以及其他客户机元素执行类似的监视和日志记录。第三,该组件监视内核存储器(例如,Service Description Table (服务描述表)、EPR0CESS结构)中的改变,并且在已经执行了修改该文件的一文件之后检测改变。如果该组件检测改变,则它将事件与负责该事件的过程相关,并且将这一信息添加到威胁日志中。第四,该组件监视TCP/UDP连接的创建, 并且用日志记录相关信息。该组件还可以分析打开的端口的利用频率以及并将过程与利用活动相关。在某些实施例中,恶意软件分析系统截取并且用日志记录用户驱动的事件。例如, 该系统可以跟踪用户的浏览历史,诸如用户在web浏览器中访问的web地址。该系统可以用移除敏感的用户信息以保护该用户的隐私的规范化形式来存储URL。该系统还可以跟踪由用户安装的软件。例如,如果用户安装来自因特网的软件,则该系统记录目标URL以及在安装期间打开的其他URL。很可能恶意软件不位于用户开始安装软件的相同的网站上,因此该系统为了成功的分析而聚集更多关于恶意软件网络配置的信息。该系统还可以跟踪并且用日志记录在客户机计算机上执行的应用程序的历史。这一历史可以包括应用程序之间的关系,诸如启动其他可执行文件的可执行文件。如果该系统稍后将可执行文件标识为恶意软件,则该系统可以确定对启动该可执行文件负责的应用程序是否也是恶意软件,并且将它们标记为潜在地恶意以供技术人员进一步调查。在某些实施例中,恶意软件分析系统自动地将来自威胁日志的威胁信息提交给后端服务或其他分析授权机构(例如,反恶意软件应用程序的服务器组件)。例如,如果该系统接收客户机计算机上存储被感染的文件的证据,则该系统可以自动地提交威胁日志信息。被感染的文件可以通过反恶意软件应用程序、操作系统报警告、第三方检测警告、用户的按需动作(例如,将文件标记为恶意的)等等来检测。作为另一示例,系统的小型过滤器驱动程序可以检测对一般对用户模式的应用程序隐藏的文件对象的FILE_OPEN请求。以下是一示例场景。用户怀疑恶意软件已经感染了他的客户机计算机,因为该计算机运行得太慢。用户运行反恶意软件应用程序,但该程序报告没有恶意软件。用户请求恶意软件分析提供进一步调查。用户的动作可以导致恶意软件分析系统选择将有助于从威胁日志中调查的数据(例如,最近的安装数据、内核模式的修改历史、网络频率和利用等等), 并且将该数据发送给后端服务以供进一步分析。如果后端服务标识恶意软件,则该服务可以将已更新的补救信息发送给客户机计算机并且自动地移除该恶意软件。 图3是示出一个实施例中的由恶意软件分析系统在客户机计算机上进行的处理的流程图。在框310中,系统检测潜在威胁或恶意软件应用程序。例如,用户可以尝试访问已知的恶意URL,或应用程序可以请求对不常见的文件的访问。在框320,系统收集关于潜在威胁的信息。例如,系统可以收集对潜在恶意软件应用程序访问的资源中的每一个的描述,包括文件、注册表项等等。作为另一示例,系统可以收集由潜在恶意软件应用程序发起的网络通信量,诸如访问的URL、打开的端口等等。在框330中,系统将威胁信息提交给后端服务以供进一步分析。在框340中,系统从后端服务接收检测由后端服务所确认的威胁的威胁签名和减轻信息。例如,签名可以标识保护恶意的可执行代码的特定文件。在框350中,对于所检测到的威胁,系统应用由所接收的减轻信息指定的减轻动作。例如,减轻信息可以指定要删除的特定文件或要修改的注册表项,以便中立化来自所标识的恶意软件应用程序的威胁。在框360,系统可任选地将在客户机计算机上关于经由签名所检测到的威胁的信息提供给后端服务,使得后端可以收集关于特定威胁的发生的统计信息,以便改进威胁减轻过程。在框 360之后,这些步骤结束。后端分析客户机计算机将样本提交给后端以供分析。例如,当指示潜在威胁的事件发生或用户怀疑文件是恶意的时候,客户机计算机提交文件和描述用户的动作的数据以及与样本有关的系统改变(例如,所创建的文件、注册表项、打开的因特网连接、URL等等)。后端服务接收所提交的样本,并且对样本执行自动化分析。例如,后端服务可以使用关于存储在所接收的威胁信息中的原始处理过程的信息来自动地配置用于再现威胁的处理环境。当可疑代码执行时,恶意软件分析系统记录威胁的行为(例如,文件、注册表项、威胁访问或修改的其他项目),并且验证后端上记录的行为与从客户机计算机报告的数据相匹配。该环境可以从威胁信息中描述的URL下载恶意软件,模仿类似于在威胁信息中它被如何描述的用户动作等等。系统还可以随时间(例如,接着6-12个月)监视威胁信息中的URL,以便跟踪威胁和潜在变体。当系统已经验证该行为时,系统调用样本分组过程。分组过程将系统当前正在分析的威胁的行为与先前所分析的威胁的行为(例如,存储在数据存储中)作比较,以便标识相关威胁以及当前威胁可能属于的家族。例如,相同恶意软件的若干变体可以修改客户机计算机的相同文件和注册表项。当系统标识该家族之后,签名建立器创建整个家族的或变体专用检测的通用检测 签名。最后,系统将签名释放到客户机计算机,诸如通过常规更新过程。客户机计算机上的减轻组件使用签名来将威胁从客户机计算机上移除,诸如通过删除文件、卸载应用程序等等。在某些实施例中,恶意软件分析系统按优先级对所接收的威胁进行排序。例如,系统可以将高优先级分配给来自许多客户机计算机的产生大量样本的威胁。然而,这并非始终是合乎需要的,因为低报告不一定与低威胁等级相关。低报告可以仅仅意味着在许多情况下一广泛的威胁正回避检测。这样的威胁可以是系统应给予增加的优先级的新威胁。因此,当系统分析威胁并且部署减轻签名和指令时,系统测量以反馈环路类型的周期的执行。 例如,如果在系统释放威胁的新签名之后(例如,在前几天中),先前很少报告的威胁导致大量移除或减轻动作,则系统重新评估分配给该家族的优先级,使得未来相似的威胁被给予较高优先级。优先级加权促进了技术人员或自动化分析的更及时的检查,由此更有效地利用有限的分析资源。恶意软件分析系统在客户机和服务器之间提供了持续细化学习并且有效地减轻威胁的过程的端对端的环路。由此,即使随着恶意软件作者创建更多的恶意软件而等待分析的威胁的积压(backlog)持续增长,但在对要分析哪个恶意软件区分优先级以及迭代地调谐检测和减轻过程方面,该系统仍然比现有系统更有效。如此处描述的,恶意软件检测系统创建反馈环路,其中客户机计算机将威胁信息馈入后端服务以供更多上下文相关的分析,并且后端服务进而提供更及时且完整的签名更新,使得利用这些签名的已更新的客户机可以更准确地检测恶意软件(最小化部分检测和虚假否定)。由此,当虚假肯定或误分类发生时,系统可以消耗这些“异常”并且实现自校正,以便防止未来发生相似错误。在某些实施例中,恶意软件检测系统还允许技术人员干预该过程,并且从客户机计算机请求更多信息。例如,如果技术人员不能完整地分析威胁,则该技术人员可能仍然能够提供威胁的更新签名并且当系统检测该威胁的实例时创建聚集附加信息以供进一步分析的脚本。系统从报告该威胁的原始客户机以及遇到相同威胁的其他客户机获取附加的所请求的信息。下一次遇到该威胁时,客户机计算机提交任何所请求的文件、注册表项、以及致力于完成关于该威胁的完整画面的技术人员所请求的其他遥测。虽然反恶意软件供应商之前已经提供了包括签名更新在内的服务组件,但此处描述的迭代能力提供了先前不可用的新等级的威胁分析和减轻,当下一次遇到威胁时该迭代能力允许技术人员或后端服务更深地挖掘客户机计算机上所检测到的威胁。图4是示出一个实施例中的用于分析和减轻潜在威胁的恶意软件分析系统的后端服务的处理的流程图。在框410中,系统从客户机计算机接收威胁报告。例如,客户机计算机可以检测与后端服务先前所提供的签名相匹配的恶意软件或可疑行为。报告包括关于该威胁的执行历史的详细信息。在框420中,系统尝试基于先前所分析的威胁标识该威胁并且对其分组。例如,威胁信息可以区分该威胁,并且将其与先前所检测到的具有相似行为的威胁相关。系统还可以配置执行环境来再现该威胁并且在那里执行该威胁,以便聚集用于标识该威胁的附加信息。在框430中,系统建立用于检测该威胁的签名。例如,在客户机系统上执行或安装威胁的早先时候,签名可以检测家族中的威胁或特定威胁变体。在框440中,系统确定如何减轻威胁并且产生减轻脚本或动作。例如,系统可以确定删除由威胁安装的文件将使该威胁中立化。在框450中,系统将签名和减轻脚本提供给客户机计算机。例如,客户机计算机可以周期性地向后端服务查询新的减轻信息。在框460中,系统从客户机计算机接收指示由客户机计算机基于从后端服务接收的签名检测到的威胁的反馈信息。例如,基于检测到客户机计算机上的威胁的签名,反馈信息可以包含标识特定威胁家族或变体的标识符。用户使用反馈信息来对威胁区分优先级并且改进威胁检测。在框460之后,这些步骤结束。
从上文将会认识到,虽然在此已出于说明目的描述了恶意软件分析系统的特定实施例,但是可以做出各种修改而不 背离本发明的精神和范围。例如,尽管已经描述了恶意软件应用程序,但还可以使用该系统来检测使用相似技术的恶意文档、电子邮件、钓鱼欺诈等等。因此,本发明只受所附权利要求限制。
权利要求
1.一种用于在客户计算机上跟踪恶意软件的执行的计算机实现的方法,所述方法包括在客户机计算机处检测310潜在恶意软件应用程序;收集320关于所述潜在恶意软件应用程序的威胁信息,其中所述威胁信息包括标识由所述恶意软件应用程序访问的客户计算机的至少一个资源的信息; 将所述威胁信息提交330给后端服务以供进一步分析;从所述后端服务接收340威胁签名和减轻信息,其中所述签名包括用于检测由所述后端服务确认的威胁的数据;以及基于从所述后端服务接收的签名,将一个或多个减轻动作应用350于所检测到的潜在恶意软件应用程序。
2.如权利要求1所述的方法,其特征在于,检测潜在恶意软件应用程序包括检测对连接到已知恶意URL的请求。
3.如权利要求1所述的方法,其特征在于,检测潜在恶意软件应用程序包括检测对访问操作系统文件的尝试。
4.如权利要求1所述的方法,其特征在于,收集威胁信息包括收集关于以下至少一项的信息文件、目录、注册表项、以及由所述潜在恶意软件应用程序访问的网络端口。
5.如权利要求1所述的方法,其特征在于,所述威胁签名标识与所述恶意软件应用程序相关联的特定文件。
6.如权利要求1所述的方法,其特征在于,所述减轻动作包括从所述客户机计算机上删除与所述潜在恶意软件应用程序相关联的文件。
7.如权利要求1所述的方法,其特征在于,还包括将关于基于所接收的签名来检测到的威胁的信息提供给所述后端服务,使得所述后端能够收集关于特定威胁的发生的统计信息,以便改进威胁减轻过程。
8.一种用于检测和移除恶意应用程序的计算机系统,所述系统包括威胁检测组件110,所述威胁检测组件110被配置成检测客户机计算机上的指示潜在恶意应用程序的事件;信息收集组件120,所述信息收集组件120被配置成在所述客户机处收集关于所述潜在恶意应用程序的信息;通信组件130,所述通信组件130被配置成将威胁报告从所述客户机计算机传送给后端服务,并且将用于检测恶意应用程序的签名从所述后端服务传送给所述客户机计算机;威胁数据存储140,所述威胁数据存储140被配置成存储关于由客户机计算机报告的潜在恶意应用程序的信息、等待分析的潜在恶意应用程序的队列、用于检测恶意应用程序的签名、以及用于将恶意应用程序从客户机计算机上移除的减轻指令;威胁分析组件150,所述威胁分析组件150被配置成分析所接收的报告; 签名建立器组件160,所述签名建立器组件160被配置成从所述威胁分析组件接收关于所分析的威胁的信息,并且创建用于检测所述威胁的实例的签名;以及减轻组件170,所述减轻组件被配置成应用签名和减轻指令来标识已知威胁,并且响应于所标识的威胁实例来执行减轻动作。
9.如权利要求8所述的系统,其特征在于,所述威胁检测组件包括收集关于所述潜在恶意应用程序的执行的信息的内核模式驱动程序。
10.如权利要求8所述的系统,其特征在于,所述信息收集组件存储所述客户机计算机的用户的浏览历史。
11.如权利要求8所述的系统,其特征在于,所述威胁分析组件还被配置成再现所接收的威胁报告的执行环境,执行所接收的潜在恶意应用程序,并且对所述潜在恶意应用程序分类。
12.如权利要求8所述的系统,其特征在于,所述减轻组件还被配置成从所述后端服务接收签名更新,为所接收的每一个签名扫描所述客户机计算机,并且为任何所检测到的威胁执行减轻动作。
13.如权利要求8所述的系统,其特征在于,所述减轻组件还被配置成基于从所述后端服务接收的请求来聚集关于所述潜在恶意应用程序的附加信息。
14.如权利要求8所述的系统,其特征在于,还包括反馈组件,所述反馈组件被配置成将来自所述客户机计算机的威胁检测信息提供给所述后端服务,并且对所述后端服务上的威胁报告分析区分优先级。
15.如权利要求8所述的系统,其特征在于,还包括用户接口组件,所述用户接口组件被配置成为技术人员提供接口以指导威胁分析。
16.一种用指令来编码的计算机可读存储介质,所述指令用于通过一种方法来控制提供后端服务的计算机系统以收集和分析由客户机计算机报告的恶意软件威胁,所述方法包括从客户机计算机接收410标识恶意软件威胁的威胁报告; 基于先前所分析的威胁对所述恶意软件威胁分类420 ; 建立430签名用于检测所述恶意软件威胁;确定440减轻动作用于中立化所述恶意软件威胁,并且基于所述减轻动作来再现减轻脚本;以及将所述签名和减轻脚本提供450给所述客户机计算机。
17.如权利要求16所述的计算机可读介质,其特征在于,所接收的威胁报告包括与所述恶意软件威胁有关的历史执行信息。
18.如权利要求16所述的计算机可读介质,其特征在于,还包括配置执行环境以再现所述恶意软件威胁,并且执行所述恶意软件威胁以聚集关于所述恶意软件威胁的附加信肩、ο
19.如权利要求16所述的计算机可读介质,其特征在于,对所述恶意软件威胁分类包括标识包含具有与所述恶意软件威胁相匹配的特征的恶意软件的恶意软件家族。
20.如权利要求16所述的计算机可读介质,其特征在于,将所述签名和减轻脚本提供给所述客户机计算机包括对所述客户机计算机对已更新的签名信息的周期性请求作出响应。
全文摘要
描述了提供关于客户机计算机上的恶意软件执行历史的信息、并且允许用于对标识签名和移除指令的较快创建的自动化后端分析的一恶意软件分析系统。该恶意软件分析系统收集客户机计算机上的威胁信息,并且将该威胁信息发送给后端分析组件以供自动化分析。该后端分析组件通过将该威胁信息与关于已知威胁的信息作比较来分析该威胁信息。该系统建立用于标识威胁家族的签名、以及用于中立化该威胁的减轻脚本。该系统将签名和减轻数据发送给使用该信息来减轻威胁的客户机计算机。由此,该恶意软件分析系统通过减少对技术人员手动地创建用于再现威胁的环境以及手动地分析威胁行为的负担,而比先前系统更快速地检测并且减轻威胁。
文档编号G06F21/00GK102160048SQ200980138004
公开日2011年8月17日 申请日期2009年8月13日 优先权日2008年9月22日
发明者A·波利亚科夫, C·褚, J·J·莫迪, M·圣菲尔德, N·孙, T·李 申请人:微软公司
收集和分析恶意软件数据
背景技术:
反病毒、反间谍软件、以及其他反恶意软件应用程序通过标识有害应用程序或其他可执行代码并且移除或至少中立化该有害代码来设法保护客户机计算机。当前反恶意软件应用程序(例如,微软Windows Defender、微软Forefront Client kcurity、微软 OneCare、微软Exchange服务器的forefront服务器等等)使用基于签名的方法来检测病毒、蠕虫、以及间谍软件。基于签名的方法依赖于恶意软件的一个或多个区别特征以提供肯定标识,使得反恶意软件应用程序可以移除它。例如,特定恶意软件应用程序可以具有特定文件名、将特定值写入操作系统配置数据库(例如,微软Windows Registry),或包含具有特定字节的可执行代码(例如,使用CRC、密码散列、或其他签名算法标识的)基于签名的方法更多地取决于本领域的技术人员对现有恶意软件的分析以及该分析的质量。通常,技术人员接收新威胁的样本、或已知威胁的变体。例如,用户可以将该威胁以一个或多个文件的形式用电子邮件发送到电子邮件地址用于报告恶意软件。该技术人员随后开始调查。在调查期间,该技术人员可以在诸如即使恶意软件影响计算机系统但对其他计算机系统也不能造成危害的沙箱计算机系统等虚拟环境中执行恶意软件。如果恶意软件样本在虚拟环境中成功地运行并且产生足够信息,则该技术人员分析执行历史、所创建的/所删除的文件的内容、注册表项、网络活动、以及恶意软件的其他活动,并且创建删除签名和移除指令。例如,如果恶意软件在特定目录中创建文件virus, exe,则该签名可以标识该文件,并且移除脚本可以指定在其典型的位置删除该文件。出于若干原因,这种类型的分析是有问题的。首先,该过程涉及人类分析,并且由此因为可用技术人员要审阅新威胁而变慢并且发生瓶颈。新威胁的速率一直在增加,并且可用技术人员常常比创建新恶意软件的恶意软件作者更少。其次,技术人员可能不能够在虚拟环境中成功地运行恶意软件,并且由此可能不能够理解恶意软件如何表现的完整模型。这可以导致例如不能检测具有某些变体形式的恶意软件、或对恶意软件的不完全移除。 恶意软件可能无法在虚拟环境中运行的原因的示例是恶意软件将技术人员的域名检测为反恶意软件供应商的域名、在操作系统版本或安装的应用程序不是恶意软件作者所期望的时恶意软件运行失败等等。有时从顾客计算机接收的样本可能包含不足够的关于威胁的信息。例如,报告可以仅包括驱动程序以及几个其他文件,而没有足够信息供技术人员理解如何运行恶意软件。这一情况通常以影响顾客体验的不完整的检测/移除而告终。当用户访问网站并且允许安装“未知软件”(通常,用户认为他们正安装良好的软件)时,客户机计算机常常被感染。用户所访问的原始URL常常不包含二进制代码,而是重新定向到另一“短生存周期”的统一资源定位符(URL)。一旦技术人员接收原始URL并且开始调查,则该“短生存周期”URL可以不再包含恶意软件。技术人员可能永远不会接收足够信息来捕捉真正的罪犯、或检测具有其最早形式的恶意软件。此外,某些样本可以暂时规避分析,因为技术人员或早期威胁分析将它们的优先级确定为低。例如,威胁可以接收到有限数量的报告,这可仅仅因为反恶意软件还不是固有地检测威胁(即,虚假否定)。另一问题是对其中由技术人员产生的移除脚本不清理新变体的先前所标识的恶意软件的新变体的误标识。这可以来自用关于恶意软件家族中的当前改变的最新信息来更新反恶意软件应用程序的缓慢。技术人员还可能没有接收被分析的恶意软件的完整画面, 因为恶意软件期望专用环境、或在技术人员的环境中不明显或不存在的用户动作的结合。 例如,在恶意软件执行之前,可以期望用户访问特定网站。当用户访问该网站之后,恶意软件可以用属于通过间谍软件网站对用户的web浏览器通信重新定向并且监视用户的浏览习惯的恶意软件的一个证书来替换用户的安全证书,。如果技术人员永远没有访问该网站, 则恶意软件将不产生足够信息供技术人员理解恶意软件的损坏行为。
发明内容
描述了提供关于客户机计算机上的恶意软件执行历史的信息、并且允许用于对标识签名和移除命令的较快创建的自动化后端分析的一恶意软件分析系统。该恶意软件分析系统收集客户机计算机上的威胁信息,并且将该威胁信息发送给后端分析组件以供自动化分析。该后端分析组件通过将该威胁信息与关于已知威胁的信息作比较来分析该威胁信息。该系统建立用于标识威胁家族的签名、以及用于中立化该威胁的减轻脚本。该系统将签名和减轻数据发送给使用该信息来减轻威胁的客户机计算机。由此,该恶意软件分析系统通过减少对技术人员手动地创建用于再现威胁的环境以及手动地分析威胁行为的负担, 而比先前系统更快速地检测并且减轻威胁。提供本发明内容以便以简化形式介绍将在以下的具体实施方式
中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于限定所要求保护的主题的范围。
图1是示出在一个实施例中的恶意软件分析系统的各组件的框图。图2是示出在一个实施例中的恶意软件分析系统的典型操作环境的框图。图3是示出一个实施例中的由恶意软件分析系统在客户机计算机上进行的处理的流程图。图4是示出一个实施例中的用于分析和减轻潜在威胁的恶意软件分析系统的后端服务的处理的流程图。
具体实施例方式概览描述了提供关于客户机计算机上的恶意软件执行历史的信息、并且允许用于对标识签名和移除指令的较快创建的自动化后端分析的一恶意软件分析系统。该恶意软件分析系统收集客户机计算机上的威胁信息,并且将该威胁信息发送给后端分析组件以供自动化分析。例如,系统可以收集所访问的URL、所执行的用户动作、所访问的文件、以及关于由恶意软件造成的潜在威胁的其他信息。当特定事件发生时,诸如当应用程序尝试访问网站时, 该系统可以触发对威胁信息的收集。该后端分析组件通过将该威胁信息与关于已知威胁的信息作比较来分析该威胁信息。例如,后端分析组件可以基于威胁信息来标识相似的先前威胁,并且将新威胁分类到威胁家族。该系统建立用于标识威胁家族的签名、以及用于中立化该威胁的减轻脚本。例如,签名可以标识威胁家族所共有的文件,并且减轻脚本可以删除由恶意软件安装的文件。该系统将签名和减轻数据发送给减轻威胁的客户机计算机。由此,该恶意软件分析系统通过减少对技术人员手动地创建用于再现威胁的环境以及手动地分析威胁行为的负担,而比先前系统更快速地检测并且减轻威胁。反恶意软件供应商随后可以将有限的技术人员资源定位在最相关的且最难减轻的威胁上。图1是示出在一个实施例中的恶意软件分析系统的各组件的框图。恶意软件分析系统100包括威胁分析组件110、信息收集组件120、通信组件130、威胁数据存储140、威胁分析组件150、签名建立器组件160、减轻组件170、反馈组件180、以及用户接口组件190。 可以在一个或多个客户机计算机和运行在一个或多个服务器上的后端服务之间对这些组件进行划分。这些组件中的每一个都在此处进一步详细讨论。威胁检测组件110检测指示潜在威胁的客户机计算机上的事件,并且发信号通知信息收集组件120以跟踪关于威胁的信息。这些事件可以由系统来预定义、或随着客户机计算机从后端服务接收新威胁签名而动态地更新。威胁检测组件110可以包括在操作系统的低级执行的内核模式驱动程序来检测各种类型的威胁。信息收集组件120收集关于在客户机计算机处的潜在威胁的信息。例如,信息收集组件120可以存储关于文件、目录、注册表项、URL、以及由应用程序访问的其他资源的信息。组件120还可以存储指示代码的潜在恶意片段如何发起每次动作的历史的和分层的数据。例如,如果用户访问了网站、下载了恶意应用程序,并且该应用程序联系了另一网站,则该数据可以指示这些事件的顺序以及它们之间的关系。通信组件130在客户机计算机和后端服务之间传送信息。例如,客户机计算机使用通信组件130来将威胁信息发送给后端服务。后端服务通过通信组件130将已更新的签名和减轻指令发送给客户机计算机。通信组件130可以通过因特网、局域网(LAN)、或其他通信介质来操作。威胁数据存储140存储由客户机设备报告的关于所遇到的威胁的信息、等待分析的威胁队列、已知威胁的家族及其特征、用于检测威胁的签名、以及用于移除所检测到的威胁的减轻指令。威胁数据存储140担当威胁信息的储存库,并且该系统可以挖掘威胁数据存储140来标识威胁之间的共同性、诸如特定威胁的发生速率等统计量等等。威胁分析组件150为所接收的威胁报告配置执行环境,执行威胁,并且尝试基于先前所遇到的威胁家族来对威胁进行分类。例如,威胁分析组件150可以检查威胁报告来确定操作系统和提交报告的客户机计算机的配置,在虚拟或沙箱环境中配置相似的计算机,并且实施威胁报告中指示的用户或其他动作来观察与该威胁相关联的恶意软件的行为。签名建立器组件160检查由威胁分析组件150配置的执行环境来确定标识该威胁的特征。例如,该威胁可以下载特定文件、访问特定URL、或将信息存储在指示将该威胁与其他安全操作相区别的行为的特定注册表项中。签名建立器组件160基于区别行为来创建用于检测威胁的实例的签名。减轻组件170应用签名和减轻指令来标识已知威胁,并且响应于所标识的威胁实例来执行动作。例如,减轻组件170可以从后端服务接收签名更新,并且扫描客户机计算机寻找从该服务接收的每一签名,以便确定客户机计算机上是否存在任何威胁实例。如果客户机计算机上存在威胁实例,则减轻组件170执行与签名相关联的且从后端服务接收的动作。例如,这些动作可以指定要删除的文件、要聚集并且发送给后端服务的附加信息等等。 减轻组件170将威胁恶意软件从客户机计算机中移除,并且聚集后端服务的信息不足以消除的威胁的附加信息(如此处将进一步描述的)。反馈组件180基于特定准则来分析威胁检测评级并且对威胁报告区分优先级。例如,反馈组件180可以对与特定已知威胁家族相匹配的威胁相比于其他威胁区分较高的优先级。组件180还监视后端服务部署到客户机计算机的新签名更新来确定威胁的检测速率是否增加。增加的检测速率可以指示先前的虚假肯定,并且导致系统增加先前较低优先级的威胁的优先级。反馈组件180在正在进行的基础上通过将威胁分析资源聚焦于最困难的威胁来改进威胁检测。用户接口组件190为技术人员和系统管理员指导和调谐系统提供接口。例如,技术人员可以标识威胁家族、向报告特定威胁的客户机计算机请求附加信息等等。用户接口 190向技术人员提供一种方式,该方式用于查看威胁信息并且分析威胁信息以便处理没有技术人员的干预则系统100无法减轻的威胁。在其上实现该系统的计算设备可包括中央处理单元、存储器、输入设备(例如,键盘和定点设备)、输出设备(例如,显示设备)和存储设备(例如,盘驱动器)。存储器和存储设备是可以用实现该系统的计算机可执行指令来编码的计算机可读介质,这表示包含该指令的计算机可读介质。此外,数据结构和消息结构可被存储或经由诸如通信链路上的信号等数据传送介质发送。可以使用各种通信链路,诸如因特网、局域网、广域网、点对点拨号连接、蜂窝电话网络等。该系统的实施例可以在各种操作环境中实现,这些操作环境包括个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、可编程消费电子产品、数码照相机、网络PC、小型计算机、大型计算机、包括任何上述系统或设备中任一种的分布式计算环境等。计算机系统可以是蜂窝电话、个人数字助理、智能电话、个人计算机、可编程消费电子设备、数码相机等。该系统可以在由一个或多个计算机或其他设备执行的诸如程序模块等计算机可执行指令的通用上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。通常,程序模块的功能可以在各个实施例中按需进行组合或分布。图2是示出在一个实施例中的恶意软件分析系统的典型操作环境的框图。一个或多个客户机计算机210通过网络240被连接到后端服务沈0。每一客户机计算机210包括恶意软件分析系统的客户机侧组件230,这些客户机则组件230检测并且分析关于客户机计算机210上的威胁的信息。客户机侧组件230将关于潜在威胁的执行历史的信息提供给后端服务沈0以供进一步分析。后端服务260包括恶意软件分析系统的服务器侧组件270。 客户机侧组件230和服务器侧组件270可以包括例如图1中描述的一个或多个组件。本领域的普通技术人员将认识到,客户机和服务器上的操作组件的许多配置基于诸如可伸缩性、可靠性、以及安全性等要求来提供此处描述的优点是可能的。由此,基于这些和其他考虑,这些组件可以在客户机计算机210或后端服务260上操作。后端服务可以包括用于再现所检测到的威胁的执行和行为的执行环境观0。在恶意软件的执行期间,客户机计算机210和执行环境280两者都连接到恶意软件提供者250。 例如,恶意软件可以导致客户机计算机210连接到并且将数据提供给恶意软件提供者250。 后端服务260观察恶意软件在执行环境280中的执行,并且如此处进一步描述地提供签名和减轻信息。客户机数据收集 恶意软件分析系统通过在威胁的生存期的早期开始信息的收集、保存除先前可用的之外的关于威胁的附加信息、并且向后端提供更完整的威胁模型,来改进对技术人员和自动化补救工具可用的威胁信息。先前,用户提交被感染的样本以供分析,该被感染的样本通常包含对成功的后端分析可能不足够的单个文件和有限的元数据。为了提高后端威胁分析的质量和成功率,恶意软件分析系统从被感染的计算机收集更多的元数据。这一数据例如可以描述恶意软件的执行历史、与恶意软件的执行有关的用户动作、浏览历史、恶意软件束安装轨迹、以及其他细节。在某些实施例中,恶意软件分析系统对客户机侧执行初始威胁分析,而不是在后端创建各种执行环境配置(例如,多个操作系统)并且提供昂贵的手动分析。例如,恶意软件分析系统可以在客户机计算机上安装执行以下内容的内核模式的可配置组件。第一,该组件是可配置的,并且可以通过配置来启用和禁用。当该组件被禁用时,它保留在存储器中,但仅仅使用少量客户机资源。它可以仅仅执行周期性的自审核以防止损害该组件的代码注入。第二,该组件监视注册表项的创建、修改、删除、以及其他修改。当该组件检测这些修改时,它标识负责改变的过程,并且将这一信息存储在威胁日志中。该组件可以对文件、 目录、以及其他客户机元素执行类似的监视和日志记录。第三,该组件监视内核存储器(例如,Service Description Table (服务描述表)、EPR0CESS结构)中的改变,并且在已经执行了修改该文件的一文件之后检测改变。如果该组件检测改变,则它将事件与负责该事件的过程相关,并且将这一信息添加到威胁日志中。第四,该组件监视TCP/UDP连接的创建, 并且用日志记录相关信息。该组件还可以分析打开的端口的利用频率以及并将过程与利用活动相关。在某些实施例中,恶意软件分析系统截取并且用日志记录用户驱动的事件。例如, 该系统可以跟踪用户的浏览历史,诸如用户在web浏览器中访问的web地址。该系统可以用移除敏感的用户信息以保护该用户的隐私的规范化形式来存储URL。该系统还可以跟踪由用户安装的软件。例如,如果用户安装来自因特网的软件,则该系统记录目标URL以及在安装期间打开的其他URL。很可能恶意软件不位于用户开始安装软件的相同的网站上,因此该系统为了成功的分析而聚集更多关于恶意软件网络配置的信息。该系统还可以跟踪并且用日志记录在客户机计算机上执行的应用程序的历史。这一历史可以包括应用程序之间的关系,诸如启动其他可执行文件的可执行文件。如果该系统稍后将可执行文件标识为恶意软件,则该系统可以确定对启动该可执行文件负责的应用程序是否也是恶意软件,并且将它们标记为潜在地恶意以供技术人员进一步调查。在某些实施例中,恶意软件分析系统自动地将来自威胁日志的威胁信息提交给后端服务或其他分析授权机构(例如,反恶意软件应用程序的服务器组件)。例如,如果该系统接收客户机计算机上存储被感染的文件的证据,则该系统可以自动地提交威胁日志信息。被感染的文件可以通过反恶意软件应用程序、操作系统报警告、第三方检测警告、用户的按需动作(例如,将文件标记为恶意的)等等来检测。作为另一示例,系统的小型过滤器驱动程序可以检测对一般对用户模式的应用程序隐藏的文件对象的FILE_OPEN请求。以下是一示例场景。用户怀疑恶意软件已经感染了他的客户机计算机,因为该计算机运行得太慢。用户运行反恶意软件应用程序,但该程序报告没有恶意软件。用户请求恶意软件分析提供进一步调查。用户的动作可以导致恶意软件分析系统选择将有助于从威胁日志中调查的数据(例如,最近的安装数据、内核模式的修改历史、网络频率和利用等等), 并且将该数据发送给后端服务以供进一步分析。如果后端服务标识恶意软件,则该服务可以将已更新的补救信息发送给客户机计算机并且自动地移除该恶意软件。 图3是示出一个实施例中的由恶意软件分析系统在客户机计算机上进行的处理的流程图。在框310中,系统检测潜在威胁或恶意软件应用程序。例如,用户可以尝试访问已知的恶意URL,或应用程序可以请求对不常见的文件的访问。在框320,系统收集关于潜在威胁的信息。例如,系统可以收集对潜在恶意软件应用程序访问的资源中的每一个的描述,包括文件、注册表项等等。作为另一示例,系统可以收集由潜在恶意软件应用程序发起的网络通信量,诸如访问的URL、打开的端口等等。在框330中,系统将威胁信息提交给后端服务以供进一步分析。在框340中,系统从后端服务接收检测由后端服务所确认的威胁的威胁签名和减轻信息。例如,签名可以标识保护恶意的可执行代码的特定文件。在框350中,对于所检测到的威胁,系统应用由所接收的减轻信息指定的减轻动作。例如,减轻信息可以指定要删除的特定文件或要修改的注册表项,以便中立化来自所标识的恶意软件应用程序的威胁。在框360,系统可任选地将在客户机计算机上关于经由签名所检测到的威胁的信息提供给后端服务,使得后端可以收集关于特定威胁的发生的统计信息,以便改进威胁减轻过程。在框 360之后,这些步骤结束。后端分析客户机计算机将样本提交给后端以供分析。例如,当指示潜在威胁的事件发生或用户怀疑文件是恶意的时候,客户机计算机提交文件和描述用户的动作的数据以及与样本有关的系统改变(例如,所创建的文件、注册表项、打开的因特网连接、URL等等)。后端服务接收所提交的样本,并且对样本执行自动化分析。例如,后端服务可以使用关于存储在所接收的威胁信息中的原始处理过程的信息来自动地配置用于再现威胁的处理环境。当可疑代码执行时,恶意软件分析系统记录威胁的行为(例如,文件、注册表项、威胁访问或修改的其他项目),并且验证后端上记录的行为与从客户机计算机报告的数据相匹配。该环境可以从威胁信息中描述的URL下载恶意软件,模仿类似于在威胁信息中它被如何描述的用户动作等等。系统还可以随时间(例如,接着6-12个月)监视威胁信息中的URL,以便跟踪威胁和潜在变体。当系统已经验证该行为时,系统调用样本分组过程。分组过程将系统当前正在分析的威胁的行为与先前所分析的威胁的行为(例如,存储在数据存储中)作比较,以便标识相关威胁以及当前威胁可能属于的家族。例如,相同恶意软件的若干变体可以修改客户机计算机的相同文件和注册表项。当系统标识该家族之后,签名建立器创建整个家族的或变体专用检测的通用检测 签名。最后,系统将签名释放到客户机计算机,诸如通过常规更新过程。客户机计算机上的减轻组件使用签名来将威胁从客户机计算机上移除,诸如通过删除文件、卸载应用程序等等。在某些实施例中,恶意软件分析系统按优先级对所接收的威胁进行排序。例如,系统可以将高优先级分配给来自许多客户机计算机的产生大量样本的威胁。然而,这并非始终是合乎需要的,因为低报告不一定与低威胁等级相关。低报告可以仅仅意味着在许多情况下一广泛的威胁正回避检测。这样的威胁可以是系统应给予增加的优先级的新威胁。因此,当系统分析威胁并且部署减轻签名和指令时,系统测量以反馈环路类型的周期的执行。 例如,如果在系统释放威胁的新签名之后(例如,在前几天中),先前很少报告的威胁导致大量移除或减轻动作,则系统重新评估分配给该家族的优先级,使得未来相似的威胁被给予较高优先级。优先级加权促进了技术人员或自动化分析的更及时的检查,由此更有效地利用有限的分析资源。恶意软件分析系统在客户机和服务器之间提供了持续细化学习并且有效地减轻威胁的过程的端对端的环路。由此,即使随着恶意软件作者创建更多的恶意软件而等待分析的威胁的积压(backlog)持续增长,但在对要分析哪个恶意软件区分优先级以及迭代地调谐检测和减轻过程方面,该系统仍然比现有系统更有效。如此处描述的,恶意软件检测系统创建反馈环路,其中客户机计算机将威胁信息馈入后端服务以供更多上下文相关的分析,并且后端服务进而提供更及时且完整的签名更新,使得利用这些签名的已更新的客户机可以更准确地检测恶意软件(最小化部分检测和虚假否定)。由此,当虚假肯定或误分类发生时,系统可以消耗这些“异常”并且实现自校正,以便防止未来发生相似错误。在某些实施例中,恶意软件检测系统还允许技术人员干预该过程,并且从客户机计算机请求更多信息。例如,如果技术人员不能完整地分析威胁,则该技术人员可能仍然能够提供威胁的更新签名并且当系统检测该威胁的实例时创建聚集附加信息以供进一步分析的脚本。系统从报告该威胁的原始客户机以及遇到相同威胁的其他客户机获取附加的所请求的信息。下一次遇到该威胁时,客户机计算机提交任何所请求的文件、注册表项、以及致力于完成关于该威胁的完整画面的技术人员所请求的其他遥测。虽然反恶意软件供应商之前已经提供了包括签名更新在内的服务组件,但此处描述的迭代能力提供了先前不可用的新等级的威胁分析和减轻,当下一次遇到威胁时该迭代能力允许技术人员或后端服务更深地挖掘客户机计算机上所检测到的威胁。图4是示出一个实施例中的用于分析和减轻潜在威胁的恶意软件分析系统的后端服务的处理的流程图。在框410中,系统从客户机计算机接收威胁报告。例如,客户机计算机可以检测与后端服务先前所提供的签名相匹配的恶意软件或可疑行为。报告包括关于该威胁的执行历史的详细信息。在框420中,系统尝试基于先前所分析的威胁标识该威胁并且对其分组。例如,威胁信息可以区分该威胁,并且将其与先前所检测到的具有相似行为的威胁相关。系统还可以配置执行环境来再现该威胁并且在那里执行该威胁,以便聚集用于标识该威胁的附加信息。在框430中,系统建立用于检测该威胁的签名。例如,在客户机系统上执行或安装威胁的早先时候,签名可以检测家族中的威胁或特定威胁变体。在框440中,系统确定如何减轻威胁并且产生减轻脚本或动作。例如,系统可以确定删除由威胁安装的文件将使该威胁中立化。在框450中,系统将签名和减轻脚本提供给客户机计算机。例如,客户机计算机可以周期性地向后端服务查询新的减轻信息。在框460中,系统从客户机计算机接收指示由客户机计算机基于从后端服务接收的签名检测到的威胁的反馈信息。例如,基于检测到客户机计算机上的威胁的签名,反馈信息可以包含标识特定威胁家族或变体的标识符。用户使用反馈信息来对威胁区分优先级并且改进威胁检测。在框460之后,这些步骤结束。
从上文将会认识到,虽然在此已出于说明目的描述了恶意软件分析系统的特定实施例,但是可以做出各种修改而不 背离本发明的精神和范围。例如,尽管已经描述了恶意软件应用程序,但还可以使用该系统来检测使用相似技术的恶意文档、电子邮件、钓鱼欺诈等等。因此,本发明只受所附权利要求限制。
权利要求
1.一种用于在客户计算机上跟踪恶意软件的执行的计算机实现的方法,所述方法包括在客户机计算机处检测310潜在恶意软件应用程序;收集320关于所述潜在恶意软件应用程序的威胁信息,其中所述威胁信息包括标识由所述恶意软件应用程序访问的客户计算机的至少一个资源的信息; 将所述威胁信息提交330给后端服务以供进一步分析;从所述后端服务接收340威胁签名和减轻信息,其中所述签名包括用于检测由所述后端服务确认的威胁的数据;以及基于从所述后端服务接收的签名,将一个或多个减轻动作应用350于所检测到的潜在恶意软件应用程序。
2.如权利要求1所述的方法,其特征在于,检测潜在恶意软件应用程序包括检测对连接到已知恶意URL的请求。
3.如权利要求1所述的方法,其特征在于,检测潜在恶意软件应用程序包括检测对访问操作系统文件的尝试。
4.如权利要求1所述的方法,其特征在于,收集威胁信息包括收集关于以下至少一项的信息文件、目录、注册表项、以及由所述潜在恶意软件应用程序访问的网络端口。
5.如权利要求1所述的方法,其特征在于,所述威胁签名标识与所述恶意软件应用程序相关联的特定文件。
6.如权利要求1所述的方法,其特征在于,所述减轻动作包括从所述客户机计算机上删除与所述潜在恶意软件应用程序相关联的文件。
7.如权利要求1所述的方法,其特征在于,还包括将关于基于所接收的签名来检测到的威胁的信息提供给所述后端服务,使得所述后端能够收集关于特定威胁的发生的统计信息,以便改进威胁减轻过程。
8.一种用于检测和移除恶意应用程序的计算机系统,所述系统包括威胁检测组件110,所述威胁检测组件110被配置成检测客户机计算机上的指示潜在恶意应用程序的事件;信息收集组件120,所述信息收集组件120被配置成在所述客户机处收集关于所述潜在恶意应用程序的信息;通信组件130,所述通信组件130被配置成将威胁报告从所述客户机计算机传送给后端服务,并且将用于检测恶意应用程序的签名从所述后端服务传送给所述客户机计算机;威胁数据存储140,所述威胁数据存储140被配置成存储关于由客户机计算机报告的潜在恶意应用程序的信息、等待分析的潜在恶意应用程序的队列、用于检测恶意应用程序的签名、以及用于将恶意应用程序从客户机计算机上移除的减轻指令;威胁分析组件150,所述威胁分析组件150被配置成分析所接收的报告; 签名建立器组件160,所述签名建立器组件160被配置成从所述威胁分析组件接收关于所分析的威胁的信息,并且创建用于检测所述威胁的实例的签名;以及减轻组件170,所述减轻组件被配置成应用签名和减轻指令来标识已知威胁,并且响应于所标识的威胁实例来执行减轻动作。
9.如权利要求8所述的系统,其特征在于,所述威胁检测组件包括收集关于所述潜在恶意应用程序的执行的信息的内核模式驱动程序。
10.如权利要求8所述的系统,其特征在于,所述信息收集组件存储所述客户机计算机的用户的浏览历史。
11.如权利要求8所述的系统,其特征在于,所述威胁分析组件还被配置成再现所接收的威胁报告的执行环境,执行所接收的潜在恶意应用程序,并且对所述潜在恶意应用程序分类。
12.如权利要求8所述的系统,其特征在于,所述减轻组件还被配置成从所述后端服务接收签名更新,为所接收的每一个签名扫描所述客户机计算机,并且为任何所检测到的威胁执行减轻动作。
13.如权利要求8所述的系统,其特征在于,所述减轻组件还被配置成基于从所述后端服务接收的请求来聚集关于所述潜在恶意应用程序的附加信息。
14.如权利要求8所述的系统,其特征在于,还包括反馈组件,所述反馈组件被配置成将来自所述客户机计算机的威胁检测信息提供给所述后端服务,并且对所述后端服务上的威胁报告分析区分优先级。
15.如权利要求8所述的系统,其特征在于,还包括用户接口组件,所述用户接口组件被配置成为技术人员提供接口以指导威胁分析。
16.一种用指令来编码的计算机可读存储介质,所述指令用于通过一种方法来控制提供后端服务的计算机系统以收集和分析由客户机计算机报告的恶意软件威胁,所述方法包括从客户机计算机接收410标识恶意软件威胁的威胁报告; 基于先前所分析的威胁对所述恶意软件威胁分类420 ; 建立430签名用于检测所述恶意软件威胁;确定440减轻动作用于中立化所述恶意软件威胁,并且基于所述减轻动作来再现减轻脚本;以及将所述签名和减轻脚本提供450给所述客户机计算机。
17.如权利要求16所述的计算机可读介质,其特征在于,所接收的威胁报告包括与所述恶意软件威胁有关的历史执行信息。
18.如权利要求16所述的计算机可读介质,其特征在于,还包括配置执行环境以再现所述恶意软件威胁,并且执行所述恶意软件威胁以聚集关于所述恶意软件威胁的附加信肩、ο
19.如权利要求16所述的计算机可读介质,其特征在于,对所述恶意软件威胁分类包括标识包含具有与所述恶意软件威胁相匹配的特征的恶意软件的恶意软件家族。
20.如权利要求16所述的计算机可读介质,其特征在于,将所述签名和减轻脚本提供给所述客户机计算机包括对所述客户机计算机对已更新的签名信息的周期性请求作出响应。
全文摘要
描述了提供关于客户机计算机上的恶意软件执行历史的信息、并且允许用于对标识签名和移除指令的较快创建的自动化后端分析的一恶意软件分析系统。该恶意软件分析系统收集客户机计算机上的威胁信息,并且将该威胁信息发送给后端分析组件以供自动化分析。该后端分析组件通过将该威胁信息与关于已知威胁的信息作比较来分析该威胁信息。该系统建立用于标识威胁家族的签名、以及用于中立化该威胁的减轻脚本。该系统将签名和减轻数据发送给使用该信息来减轻威胁的客户机计算机。由此,该恶意软件分析系统通过减少对技术人员手动地创建用于再现威胁的环境以及手动地分析威胁行为的负担,而比先前系统更快速地检测并且减轻威胁。
文档编号G06F21/00GK102160048SQ200980138004
公开日2011年8月17日 申请日期2009年8月13日 优先权日2008年9月22日
发明者A·波利亚科夫, C·褚, J·J·莫迪, M·圣菲尔德, N·孙, T·李 申请人:微软公司
最新回复(0)