高级漏洞防御
高级漏洞防御 是一项实时检测漏洞利用的主动防护技术。基于机器学习机制,可防御包括无文件内存攻击在内的一系列已知和未知漏洞利用。
相关设置位于 反恶意软件 > 高级反漏洞利用 策略部分。
对于Linux系统, 高级反漏洞利用 是一种预防性安全控制措施,旨在实时(执行时)识别并阻断零日漏洞和高级持续性威胁活动及相关进程。该模块能够执行内核完整性检查,并依赖eBPF和KProbes监控用户空间实现。
注意
该功能的可用性和运行情况可能因当前计划包含的许可证而异。
点击切换开关以启用 高级反漏洞利用 .
高级反漏洞利用 默认以推荐设置运行。您可以根据需要调整防护级别。
要恢复初始设置,请点击页面右上角的 重置为默认值 选项。
GravityZone 将反漏洞利用设置分为三个部分:
-
系统级检测
本部分的防漏洞技术会监控作为漏洞目标的系统进程。
有关可用技术及配置设置的更多信息,请参阅配置系统级缓解措施。
-
预定义应用程序
该 高级反漏洞利用 模块预置了常见应用程序列表(如Microsoft Office、Adobe Reader或Flash Player),这些应用最易遭受漏洞攻击。
有关可用技术及配置设置的更多信息,请参阅《配置应用专属技术》。
-
其他应用程序
本节中,您可自由添加并配置任意数量应用程序的保护措施。
有关可用技术及配置设置的更多信息,请参阅《配置应用专属技术》。
点击章节标题可展开或折叠每个部分,从而快速定位需要配置的设置项。
配置系统级防护
在 系统级检测 章节下,您可进行以下配置:
|
技术 |
描述 |
操作系统 |
|---|---|---|
|
权限提升防护 |
阻止进程获取非授权权限及资源访问。 默认操作:终止进程 |
Windows |
|
进程内省 |
创建子进程时对进程状态进行深度分析,检测潜在入侵指标。该分析可显示检测到的父进程及其生成的子进程概况。 默认操作:终止进程 |
Windows |
|
LSASS进程保护 |
防止LSASS进程泄露密码哈希值等安全信息。该功能监控系统应用读取LSASS进程内存的请求,并按配置采取相应措施。 默认操作:仅拦截 推荐操作是 仅拦截 。此操作仅阻止应用程序访问LSASS内存的能力(不同于传统场景中直接拦截应用程序)。具体而言, 高级反漏洞利用 会拒绝应用程序读取LSASS内存的请求,但通常不会引发应用兼容性问题。 使用 阻止并报告 操作可拒绝应用程序访问LSASS内存并接收相关尝试通知。此配置适用于需要查看并深入分析检测事件的情况,但可能会产生大量通知。 采用 仅报告 操作会通知您应用程序尝试访问LSASS内存的行为。该配置可能产生大量通知(包括任何请求超出所需权限的进程),需谨慎使用,因为LSASS内存未得到主动保护。 您可以在安全代理本地控制台的 反漏洞利用 类别下查看被阻止事件。您可以在 配置配置文件 部分的 控制中心 中添加LSASS相关排除项。被排除的进程将无法访问LSASS,但不再触发检测。 |
Windows |
|
凭据监控 |
检查进程行为以检测线程的异常凭据变更。 默认操作:仅报告 |
Linux |
|
Ptrace监控 |
监视调试机制的使用,以检测通过
默认操作:仅报告 |
Linux |
|
命名空间监控 |
检查进程行为以检测线程命名空间的异常变更。 默认操作:仅报告 |
Linux |
|
内存破坏监控 |
监视系统调用活动,以检测通过精心构造的系统调用进行内存破坏的尝试。 默认操作:仅报告 |
Linux |
|
SUID监控 |
报告所有尝试为文件设置SUID标志的行为。 默认操作:仅报告 |
Linux |
这些防漏洞技术默认启用。若要禁用任一技术,请取消勾选其复选框。
您还可以选择更改检测到威胁时自动执行的操作。从关联菜单中选择可用操作:
-
仅报告 : GravityZone 仅记录事件而不采取缓解措施。您可以在 高级反漏洞 通知、 已阻止应用程序 及 安全审计 报告中查看事件详情。
-
仅阻止 :在不通过 GravityZone 上报事件的情况下,阻止恶意进程访问未授权资源。
-
阻止并报告 :阻止恶意进程访问未授权资源,同时 GravityZone 会上报事件。您可以在 高级反漏洞 通知、 已阻止应用程序 及 安全审计 报告。
-
终止进程 :立即终止被利用的进程。
配置应用特定技术
无论是预定义应用还是额外添加的应用,它们都共享同一套反漏洞利用技术。具体描述如下:
|
技术 |
描述 |
|---|---|
|
ROP模拟 |
通过返回导向编程(ROP)技术检测将数据内存页设置为可执行的尝试。 默认操作:终止进程 |
|
ROP堆栈枢轴 |
通过验证堆栈位置,检测利用ROP技术劫持代码流的尝试。 默认操作:终止进程 |
|
ROP非法调用 |
通过验证敏感系统函数的调用者,检测利用ROP技术劫持代码流的尝试。 默认操作:终止进程 |
|
ROP堆栈未对齐 |
通过验证堆栈地址对齐,检测利用ROP技术破坏堆栈的尝试。 默认操作:终止进程 |
|
ROP返回到堆栈 |
通过验证返回地址范围,检测利用ROP技术在堆栈上直接执行代码的尝试。 默认操作:终止进程 |
|
ROP使堆栈可执行 |
通过验证堆栈页保护属性,检测利用ROP技术破坏堆栈的尝试。 默认操作:终止进程 |
|
Flash通用检测 |
检测Flash Player漏洞利用尝试。 默认操作:终止进程 |
|
Flash载荷 |
通过扫描内存中的Flash对象,检测试图在Flash Player中执行恶意代码的行为。 默认操作:终止进程 |
|
VBScript通用检测 |
检测VBScript漏洞利用尝试。 默认操作:终止进程 |
|
Shellcode执行 |
检测使用shellcode创建新进程或下载文件的尝试。 默认操作:终止进程 |
|
Shellcode LoadLibrary |
检测使用shellcode通过网络路径执行代码的尝试。 默认操作:终止进程 |
|
反绕行检测 |
检测试图绕过安全检查以创建新进程的行为。 默认操作:终止进程 |
|
Shellcode EAF(导出地址过滤) |
检测恶意代码通过DLL导出表访问敏感系统函数的尝试。 默认操作:终止进程 |
|
Shellcode线程注入 |
通过验证新创建的线程,检测注入恶意代码的尝试。 默认操作:终止进程 |
|
反Meterpreter检测 |
通过扫描可执行内存页,检测创建反向shell的尝试。 默认操作:终止进程 |
|
过时进程创建 |
检测使用过时技术创建新进程的尝试。 默认操作:终止进程 |
|
子进程创建 |
阻止任何子进程的创建。 默认操作:终止进程 |
|
强制启用Windows DEP |
强制执行数据执行保护(DEP)以阻止从数据页执行代码。 默认值:禁用 |
|
强制模块重定位(ASLR) |
通过重定位内存模块,防止代码被加载到可预测位置。 默认值:启用 |
|
新兴漏洞利用 |
防范任何新出现的威胁或漏洞利用。在实施更全面的变更前,该类别会采用快速更新机制。 默认值:启用 |
要监控预定义应用之外的其他应用程序,请点击 添加Windows应用程序 按钮(位于 自定义Windows应用程序 .
配置应用程序的反漏洞利用设置:
-
对于现有应用程序,点击应用名称;对于新应用程序,点击 添加Windows应用程序 按钮。
新页面将显示所选应用的所有技术及其设置。
重要提示
添加新监控应用程序时需谨慎。 Bitdefender 无法保证与所有应用程序的兼容性。建议先在非关键终端上测试该功能,再部署到整个网络。
-
若添加新应用程序,请在专用字段输入其名称及进程名称。进程名称间用分号(;)分隔。
-
如需快速查看技术描述,点击技术名称旁的箭头。
-
根据需要勾选或取消勾选漏洞利用技术复选框。
使用 全部 选项可一次性标记所有技术。
-
如需更改检测后的自动操作,请从关联菜单中选择可用操作:
-
终止进程 :立即终止被利用的进程。
-
仅报告 : GravityZone 仅报告事件而不采取任何缓解措施。您可以在 高级反漏洞利用 通知和报告中查看事件详情。
默认情况下,预定义应用程序的所有技术均设置为缓解问题,而其他应用程序仅设置为报告事件。
若要快速一次性更改所有技术的操作,请从 全部 选项关联的菜单中选择操作。
-
-
点击 保存 以确认现有应用程序的设置。
点击 添加 以确认新应用程序的设置。