Hoppa till huvudinnehållet
Technology

Skydd mot utsatthet

Med den här tekniken kan du både visa och blockera skadlig programvara från att utnyttja sårbarheter i programvaran.


Skydd mot utsatthet utgör en del av Kasperskys senaste säkerhetslösningar på flera nivåer och hanterar framförallt skadlig programvara som utnyttjar systemsårbarheter. Detta är en extra säkerhetsåtgärd för de program och tekniker som ofta utsätts för attacker. Skyddet mot utsatthet (EP, Exploit Prevention) är ett effektivt sätt att identifiera och blockera både kända och okända intrång utan att påverka systemprestandan. Skyddet är en väsentlig del av Kasperskys beteendebaserade identifieringsfunktioner.

Kryphålsattacker består av flera olika steg. Webbaserade kryphål används till exempel ofta för attacker via obeställda hämtningar. Smittan sprider sig när offret besöker en skadlig webbplats med skadlig Javascript-kod. Efter ett flertal kontroller omdirigeras offret till en startsida med ett Flash-, Silverlight-, Java- eller Web Browser-kryphål. När det gäller sårbarheter i Microsoft Office eller Adobe Reader kan den initiala smittan istället spridas via nätfiske eller en skadlig bilaga.

Efter den initiala leveransfasen kommer angriparen att utnyttja en eller flera sårbarheter i programvaran för att få kontroll över körningsprocesserna och går vidare till smittspridningsfasen. Eftersom operativsystemen har inbyggda säkerhetsåtgärder går det inte att köra den godtyckliga koden förrän angriparen har tagit sig förbi dessa. När angriparen tagit sig in i systemet kan en shellcode-körning utföras, vilket innebär att den godtyckliga koden körs och smittan kan spridas. Koden kan hämtas till systemet i filformat eller t.o.m. överföras och köras direkt via systemminnet.

Oavsett tillvägagångssätt är angriparens främsta mål att sprida de skadliga koderna och utföra skadliga aktiviteter. Var uppmärksam på program eller körningssekvenser som startar av sig själva, framförallt om programmet i fråga inte brukar göra detta.

EP-tekniken övervakar dessa typer av åtgärder och pausar körningsprocessen för programmet och utför ytterligare analyser för att kontrollera om åtgärden är befogad eller inte. Programmets aktivitet innan den misstänkta koden startades (ändringar i minnet för specifika områden och källan för koden som försökte starta) jämförs för att avgöra om åtgärden beror på krypshålsintrång.

Skyddet mot utsatthet tillämpar dessutom ett antal säkerhetsåtgärder för att hantera de flesta attacktekniker som används vid krypshålsintrång som Dll-kapning, Reflective Dll-inmatning, Heap Spray-allokering, Stack Pivot m.m. Med hjälp av dessa beteendeindikatorer och körningsspårningen i Behavior Detection-komponenten blockeras smittspridningen på ett säkert och effektivt sätt.

Relaterade produkter

Oberoende prestandamåttsresultat

Relaterad teknik