Hopp til hovedinnholdet
Technology

Forhindring av utnyttelse

Denne teknologien avslører og blokkerer den skadelige programvarens forsøk på å utnytte sikkerhetshull i programvaren i sanntid.

EP (Exploit Prevention), som er en del av Kasperskys neste generasjons flerlagsbeskyttelse, er spesielt rettet mot skadelig programvare som utnytter sikkerhetshull i programvare. Det er utformet som et ekstra lag med beskyttelse for de programmene og teknologiene som oftest velges ut som mål. EP er en effektiv og ikke påtrengende løsning for å blokkere og oppdage både kjente og ukjente utnyttelsesmetoder. EP er en viktig del av Kasperskys funksjoner for atferdsbasert oppdagelse.



Angrepskjeder for utnyttelse består av flere stadier. Nettbaserte utnyttelser benytter seg ofte av angrep i form av ufrivillige nedlastinger. Infeksjonen starter når offeret besøker et kompromittert nettsted injisert med skadelig JavaScript-kode. Etter flere kontroller blir offeret til slutt omdirigert til en landingsside med en Flash-, Silverlight-, Java- eller nettleserutnyttelse. For sikkerhetshull i Microsoft Office eller Adobe Reader kan den innledende infeksjonsvektoren imidlertid være phishing-e-post eller et skadelig vedlegg.

Etter å ha gjennomført det innledende leveringsstadiet utnytter angriperen ett eller flere sikkerhetshull for å få kontroll over prosessutførelsen og går videre til utnyttelsesstadiet. På grunn av innebygde sikkerhetsbegrensninger i operativsystemet er det ofte ikke mulig å kjøre vilkårlig kode, så angriperen må omgå disse først. Hvis utnyttelsen er vellykket, kan det utføres en skallkode der angriperens vilkårlige kode begynner å kjøre, slik at nyttelasten til slutt utføres. Nyttelasten kan lastes ned som en fil eller til og med lastes inn og utføres direkte fra systemminnet.

Uansett hvordan de innledende trinnene utføres, er det endelige målet til angriperen å starte nyttelasten og begynne den skadelige aktiviteten. Det kan være svært mistenkelig hvis det startes et annet program eller en annen utførelsestråd, spesielt hvis det er kjent at den aktuelle appen ikke har slik funksjonalitet.

Teknologi for forhindring av utnyttelse overvåker disse handlingene og stopper programutførelsen midlertidig mens den utfører ytterligere analyse for å kontrollere om handlingen som ble forsøkt utført, var lovlig eller ikke. Programaktivitet som fant sted før den mistenkelige koden ble startet (minneendringer i bestemte områder av minnet og kilden til koden som ble forsøkt skadet), brukes til å identifisere om en handling ble utført av en utnyttelse.

I tillegg bruker EP en rekke sikkerhetsbegrensninger for å bekjempe de fleste angrepsteknikkene som brukes i utnyttelser, herunder «DLL hijacking», «reflective DLL injection», «heap spraying», «stack pivoting» og så videre. Disse ytterligere atferdsindikatorene, som leveres av en mekanisme for sporing av utførelse i komponenten for atferdsregistrering, gjør at teknologien kan blokkere utførelsen av nyttelasten på en pålitelig måte.

Relaterte produkter

Uavhengige sammenligningsresultater

Relaterte teknologier