基于行为的保护
基于行为的检测是 Kaspersky 新一代多层保护方法的一部分。这是抵御无文件恶意软件、勒索软件和零日恶意软件等高级威胁的最有效方法之一。
Kaspersky 的威胁行为引擎由以下保护功能组成:
- 行为检测
- 漏洞入侵防护 (EP)
- 修复引擎
- 反锁定
在现实生活中,恶意攻击者会混淆恶意代码,从而绕过安全产品中的静态检测技术和安全产品执行的模拟。例如,刚创建的勒索软件代码通常由具有反模拟功能的定制打包程序进行打包。在执行之前,通过“按需扫描”或“访问时扫描”对精心制作的样本执行任何扫描时,都无法成功实现检测,导致恶意攻击者的任务在系统中得逞。
但是,对于执行阶段,威胁行为引擎会实时分析实际的进程活动并揭示其恶意性质。随后,只需要标记警报,终止进程,然后由修复引擎执行变更回滚。
在前述的包含打包式勒索软件的示例中,样本可能尝试
- 在目标系统上查找重要文件
- 加密重要文件
- 删除原始文件
- 删除影子副本
借助此类信息已足以完成检测,不依赖于使用的打包程序或反模拟技术。通过运行威胁行为引擎(由行为启发法和基于 ML 的模型提供支持),该产品可以无视静态规避技术乃至样本行为修改。
要做出基于行为的判断,必须尽快检测到恶意活动,通过结合使用适当的修复引擎,可以防止任何最终用户的数据丢失。修复引擎可以保护多种不同的对象,例如文件、注册表项、任务等。
回到上面的样本,我们假设勒索软件在进行实际的恶意活动之前,将自身添加到了自动运行中(例如,通过注册表)。进行检测后,修复引擎应分析行为流,不仅要还原用户的数据,还要删除创建的注册表项。
除其他优点外,在某些情况下,基于行为的检测技术成为了检测并防范无文件恶意软件等威胁的唯一手段。例如,在浏览互联网时,用户遭受了偷渡式攻击。遭遇攻击后,恶意代码将在 Web 浏览器的上下文中执行。恶意代码的主要目标是借助注册表或 WMI 订阅实现自身在系统上的持久存在,最终,静态扫描无法检测到任何恶意对象。但是,行为检测组件会分析 Web 浏览器的线程行为,标记检测并阻止恶意活动。
行为引擎组件受益于端点上基于 ML 的模型,除了行为启发式记录外,还可以检测以前未知的恶意模式。从不同来源收集的系统事件将传递到 ML 模型。经过处理后,ML 模型会裁定分析的模式是否是恶意的。即使裁定为非恶意,行为启发法也可以使用 ML 模型的结果来标记检测。
行为检测组件实施了内存保护机制。它可以保护 lsass.exe 等系统关键进程,并可以防止类似 mimikatz 的恶意软件导致的用户凭据泄漏。