Açık Önleme
Kaspersky'nin çok katmanlı, yeni nesil koruma yaklaşımının parçası olan Açıklardan Yararlanmayı Önleme (EP) , özellikle yazılım güvenlik açıklarından yararlanan kötü amaçlı yazılımları hedefler. En sık hedeflenen programlar ve teknolojiler için ek bir koruma katmanı sağlamak üzere tasarlanmıştır. EP, hem bilinen hem de bilinmeyen açıklardan yararlanma saldırılarını engellemeye ve algılamaya yönelik etkili ve müdahaleci olmayan bir yöntem sunar. EP, Kaspersky'nin davranış tabanlı algılama kabiliyetinin ayrılmaz bir parçasını oluşturur.
Açıklardan yararlanmaya yönelik "ölüm zincirleri" birçok farklı adımdan oluşur. Örneğin, web tabanlı açıklardan yararlanma saldırıları genelde rastgele indirme saldırılarını kullanır. Kurban, kötü amaçlı Javascript kodunun yerleştirildiği ele geçirilmiş web sitesini ziyaret ettiğinde bulaşma başlar. Çeşitli denetimlerden sonra kurban sonunda Flash, Silverlight, Java ya da Web Tarayıcısı açığı içeren bir giriş sayfasına yönlendirilir. Öte yandan, Microsoft Office veya Adobe Reader güvenlik açıkları için bulaşmayı başlatan vektör bir kimlik avı e-postası ya da kötü amaçlı ek olabilir.
İlk iletim aşamasını tamamladıktan sonra saldırgan, işlem yürütme iş akışının kontrolünü ele geçirmek için bir veya daha fazla yazılım güvenlik açığını kullanır ve ardından açıklardan yararlanma aşamasına geçer. İşletim sistemindeki dahili güvenlik önlemleri nedeniyle rastgele kodun doğrudan çalıştırılması genelde mümkün değildir; bu yüzden saldırganın ilk olarak bunları aşması gerekir. Açıklardan başarılı bir şekilde yararlanılması bir kabuk kodun yürütülmesine olanak tanır; böylece saldırganın rastgele kodu çalışmaya başlar ve sonuç olarak yükün yürütülmesi sağlanır. Yükler dosya olarak indirilebilir veya hatta doğrudan sistem belleğinden yüklenip yürütülebilir.
İlk adımlar nasıl gerçekleştirilirse gerçekleştirilsin, saldırganın nihai amacı yükü hedefe yollamak ve kötü amaçlı yazılım etkinliğini başlatmaktır. Başka bir uygulama veya yürütme iş parçacığı başlatmak, özellikle söz konusu uygulamanın böyle bir işleve sahip olmadığı biliniyorsa çok şüpheli görülebilir.
Açıklardan Yararlanmayı Önleme teknolojisi, bu tür eylemleri izler ve uygulamanın yürütme iş akışını duraklatarak eylem girişiminin meşru olup olmadığını kontrol etmek için ek analiz uygular. Şüpheli kodun başlatılmasından önce gerçekleşen program etkinliği (belirli bellek alanlarındaki bellek değişiklikleri ve kod başlatma girişiminin kaynağı), bir açıklardan yararlanma saldırısı tarafından herhangi bir eylem gerçekleştirilip gerçekleştirilmediğini tespit etmek için kullanılır.
EP, bununla kalmayarak açıklardan yararlanma saldırılarında kullanılan saldırı tekniklerinin birçoğuna (Dll Ele Geçirme, Reflektif DLL Enjeksiyonu, Yığın Püskürtme Dağıtımı ve Yığın Pivotlama vb.) yanıt vermek üzere çeşitli güvenlik riski azaltma yöntemleri uygular. Davranış Algılama bileşeninin yürütme izleme mekanizması tarafından sağlanan bu ek davranışsal göstergeler sayesinde teknoloji, yükün yürütülmesini kendinden emin bir şekilde engelleyebilir.
