Davranış Tabanlı Koruma

Davranış tabanlı algılama, Kaspersky'nin çok katmanlı, yeni nesil koruma yaklaşımının bir parçasıdır. Bu çözüm; dosyasız kötü amaçlı yazılım, fidye yazılımı ve sıfır gün kötü amaçlı yazılım gibi gelişmiş tehditlere karşı korunmanın etkili yollarından biridir.

Aşağıdaki koruma kabiliyetleri, Kaspersky'nin Tehdit Algılama Motoru'nun temelini oluşur:

• Davranış algılama
• Açıklardan Yararlanmayı Önleme (EP)
• Düzeltme Motoru
• Kilitleyici koruması

Gerçek hayatta, tehdit aktörleri güvenlik ürünleri tarafından gerçekleştirilen bir öykünmedeki statik algılama teknolojilerini aşmak için kötü amaçlı kodlarını gizlerler. Örneğin, yeni oluşturulan bir fidye yazılımı kodu, genelde öykünme karşıtı özelliği bulunan özel olarak yapılmış bir paketleyici ile paketlenir. Yürütme öncesi, iyi hazırlanmış örneği Talep Üzerine Tarama veya Erişim Üzerine Tarama ile taramak algılama açısından başarı sağlamaz ve tehdit aktörünün görevi gerçekleştirilir.

Ancak yürütme aşamasına gelindiğinde, Tehdit Davranışı Motoru asıl işlem etkinliğini gerçek zamanlı olarak analiz eder ve nesnenin kötü amaçlı doğasını ortaya çıkarır. Ardından yapılması gereken tek şey alarmı işaretleyip işlemi sonlandırmak ve değişiklikleri geri almaktır.

Bahsedilen paketlenmiş fidye yazılımlı senaryoda, örnek aşağıdakileri yapmayı deneyebilir:

• Hedef sistemdeki önemli dosyaları bulma
• Önemli dosyaları şifreleme
• Orijinal dosyaları silme
• Gölge kopyaları silme

Bu tür bilgiler algılama için yeterlidir ve kullanılan paketleyiciye ya da öykünme karşıtı tekniklere bağlı değildir. Davranış bulguları ve ML tabanlı modeller ile güçlendirilmiş, Tehdit Davranışı Motorunu çalıştıran ürün, statik kaçınma tekniklerine ve hatta örnek davranışı değişikliklerine duyarsızlaşır.

Davranış tabanlı kararlar verilirken kötü amaçlı yazılım etkinliğini mümkün olan en kısa sürede algılamak önemlidir. Bu, düzgün bir Düzeltme Motoru ile bir araya geldiğinde, finalde herhangi bir kullanıcı verisinin kaybedilmesini önler. Düzeltme Motoru; dosyalar, kayıt defteri anahtarları, görevler gibi farklı nesneleri korur.

Yukarıdaki örneğe dönelim ve gerçek kötü amaçlı yazılım etkinliğinden önce fidye yazılımının kendisini otomatik çalıştırmaya eklediğini (ör. kayıt defteri aracılığıyla) varsayalım. Algılamadan sonra Düzeltme Motoru, davranış akışını analiz etmeli ve kullanıcı verilerini geri yüklemekle kalmayıp aynı zamanda oluşturulan kayıt defteri anahtarını da silmelidir.

Diğer avantajlarının yanı sıra, davranış tabanlı algılama teknolojisi bazı durumlarda dosyasız kötü amaçlı yazılım gibi tehditleri algılamanın ve bunlardan korunmanın tek yoludur. Örneğin, internette gezinirken bir kullanıcının rastgele bir saldırı tarafından hedeflendiğini varsayalım. Açıktan yararlanıldıktan sonra kötü amaçlı kod, web tarayıcısı bağlamında yürütülür. Kötü amaçlı kodun asıl amacı, kalıcılık için kayıt defterini veya WMI aboneliklerini kullanmaktır; bunun sonucunda statik tarama için birden fazla nesne ortaya çıkar. Buna rağmen Davranış Algılama bileşeni, web tarayıcısının iş parçacığı davranışını analiz eder, algılamayı işaretler ve kötü amaçlı yazılım etkinliğini engeller.

Davranış Motoru bileşeni, davranış bulguları kayıtlarına ek olarak önceden bilinmeyen kötü amaçlı şablonları algılamak için uç noktada ML tabanlı modellerden faydalanır. Farklı kaynaklardan toplanan sistem olayları, ML modeline iletilir. İşlemeden sonra ML, analiz edilen şablon kötü amaçlı ise bir karar üretir. Kötü amaçlı olmadığına dair bir karar verilse bile ML modelinden gelen sonuç, Davranış buluşsal yöntemleri tarafından kullanılır ve bunlar da algılamayı işaretleyebilir.

Davranış Algılama bileşeni, bir Bellek Koruma mekanizması uygular. Bu, Isass.exe gibi sistem açısından kritik işlemleri korur ve mimikatz benzeri kötü amaçlı yazılımların yardımıyla kullanıcı kimlik bilgilerinin sızmasını önler.