漏洞入侵防护
漏洞入侵防护 (EP) 是 Kaspersky 的新一代多层保护功能的一部分,它专用于防御利用软件漏洞的恶意软件。它旨在为最常遭受攻击的程序和技术添加额外的保护层。EP 提供了一种有效且非侵入式的方式来阻止和检测已知和未知漏洞。EP 是 Kaspersky 基于行为的检测功能中不可或缺的一部分。
漏洞利用“杀伤链”包括多个阶段。例如,基于 Web 的漏洞利用经常使用偷渡式下载攻击。当受害者访问注入了恶意 Javascript 代码的受感染网站时,感染开始。经过多次检查,受害者最终被重定向到一个登陆页面,该页面包含 Flash、Silverlight、Java 或 Web 浏览器漏洞。另一方面,对于 Microsoft Office 或 Adobe Reader 漏洞,初始感染媒介可能是网络钓鱼电子邮件或恶意附件。
在执行初始交付阶段后,攻击者利用一个或多个软件漏洞来控制进程执行流程,然后进入漏洞利用阶段。由于操作系统内置的安全缓解措施,通常无法直接运行任意代码,因此攻击者必须先绕过它们。实现成功的漏洞利用后,可以执行 shellcode,从而使攻击者的任意代码开始运行,最终导致执行有效负载。有效负载可以作为文件下载,甚至可以直接从系统内存中加载并执行。
无论如何执行初始步骤,攻击者的最终目标都是启动有效负载并开始恶意活动。启动另一个应用程序或执行线程是非常可疑的行为,尤其是在已知相关应用程序缺少此类功能的情况下。
漏洞入侵防护技术可监控这些操作,并暂停应用程序的执行流程,从而应用其他分析来检查尝试的操作是否合法。在可疑代码启动之前发生的程序活动(特定内存区域中的内存更改以及尝试的代码启动的来源)用于识别操作是否是利用漏洞执行的。
不仅如此,EP 还应用了许多安全缓解措施来解决漏洞利用中使用的大多数攻击技术,包括 Dll 劫持、反射性 Dll 注入、堆喷射分配、堆栈转移等。行为检测组件的执行跟踪机制提供了额外的行为指标,使得该技术可以自信地阻止有效负载的执行。