Beteendebaserat skydd

Beteendebaserad identifiering är del av Kasperskys senaste säkerhetsmetoder på flera nivåer. Det är ett av de mest effektiva sätten att skydda sig mot avancerade hot som fillös skadlig programvara, utpressningsvirus och noll-dags-attacker.

Kasperskys hotbeteendemotor har följande egenskaper:

• Beteendeidentifiering
• Skydd mot utsatthet (EP, Exploit Prevention)
• Saneringsmotor
• Skydd mot låsningsprogram

Hotutvecklarna skapar skadliga koder som förvirrar systemet för att kunna ta sig förbi statisk identifieringsteknik och emulering av säkerhetsprodukterna. Koderna för nya utpressningsvirus inkluderar till exempel ofta skräddarsydda komprimerade filer med antiemuleringsfunktion. När de välgjorda återskapningarna sedan ska genomsökas på begäran eller vid åtkomst kommer ingen skadlig kod att upptäckas och kan därmed ta sig in i systemet.

Däremot kommer den skadliga koden att avslöjas efter körning när hotbeteendemotorn analyserar processaktiviteten i realtid. Åtgärder utförs sedan i enlighet med varningen, processen avbryts och ändringarna återställs.

Det komprimerade utpressningsviruset i exemplet ovan hade kunnat:

• lokalisera viktiga filer i målsystemet
• kryptera viktiga filer
• ta bort originalfilerna
• ta bort skuggkopior

Denna typ av information räcker för identifiering och förlitar sig inte på komprimerade filer eller anti-emuleringsteknik. Hotbeteendemotorn använder sig både av heuristika beteendedata och maskininlärningsbaserade modeller för att göra produkten kapabel till att hantera statiskt undvikande beteendeteknik och t.o.m. samla in data från beteendejusteringarna.

Det är viktigt att identifiera tecken på skadlig aktivitet så fort som möjligt för att kunna ta beteendebaserade beslut. Detta, tillsammans med en bra saneringsmotor förhindrar att slutanvändaren förlorar sina data. Med saneringsmotorn skyddar du ett flertal objekt, till exempel filer, registernycklar, uppgifter m.m.

Låt oss återgå till ovanstående exempel och anta att utpressningsviruset lyckades aktivera sig för automatisk körning (t.ex. via registret) innan några tecken på skadlig programvara uppvisades. När identifieringen har gjorts bör saneringsmotorn inte bara återställa användarens data utan även analysera beteendeströmmen och ta bort den registernyckel som skapats.

Beteendebaserad identifieringsteknik har många fördelar och är ibland det enda sättet att identifiera och skydda dig mot hot som fillös skadlig programvara. Du kan till exempel utsättas för en attack via obeställd nedladdning när du surfar på nätet. Den skadliga koden körs sedan via webbläsaren. Det huvudsakliga målet för den skadliga koden är att få åtkomst till register eller WMI-prenumerationer för att kunna klamra sig fast i systemet. Detta innebär att inga enskilda objekt kommer att genomgå statisk skanning. Beteendeidentifieringskomponenten kommer däremot att analysera eventuella hotbeteenden i webbläsaren och flagga samt blockera eventuell skadlig aktivitet.

Beteendeidentifieringskomponenten drar nytta av de maskininlärningsbaserade modellerna hos klienten och tar hjälp av dessa för att identifiera tidigare okända skadliga aktivitetsmönster och sammanställa heuristiska beteendedata. Systemhändelserna samlas in från olika källor och överförs till maskininlärningsmodellen. Maskininlärningsmodellen kommer att bedöma om det analyserade mönstret är skadligt eller inte efter att händelserna har bearbetats. Även om mönstret inte anses vara skadligt kommer resultaten från maskininlärningsmodellen att användas för heuristisk beteendeanalys, vilket kan flagga upptäckten.

Beteendeidentifieringskomponenten har även en minnesskyddsmekanism. Mekanismen skyddar kritiska systemprocesser som lsass.exe och förhindrar att dina inloggningsuppgifter hamnar i fel händer med hjälp av ett program som påminner om skadlig mimikatz-programvara.