高级反漏洞利用
高级反漏洞利用 是一项主动检测漏洞利用的实时技术。基于机器学习,可防护一系列已知和未知的漏洞利用攻击,包括无文件内存攻击。
相关设置位于策略的 反恶意软件 > 高级反漏洞利用 模块中。
对于Linux系统, 高级反漏洞利用 是一种预防性安全控制措施,旨在实时(执行时)识别并阻断零日漏洞和高级持续性威胁活动及相关进程。该模块能够执行内核完整性检查,并基于eBPF和KProbes技术监控用户空间实现。
注意
该功能的可用性和运行效果可能因当前订阅计划包含的许可证类型而异。
要启用漏洞利用防护功能,请在策略设置的 反恶意软件 > 高级反漏洞利用 下,勾选 高级反漏洞利用 复选框。
点击开关启用 高级反漏洞利用 .
高级反漏洞利用 默认以推荐配置运行。您可根据需要调整防护设置。
要恢复初始设置,请点击页面右上角的 恢复默认 选项。
GravityZone 将反漏洞利用设置分为三个部分:
-
系统级检测
本部分的防漏洞技术会监控易受攻击的系统进程。
有关可用技术及其配置方法的详细信息,请参阅配置系统级缓解措施。
-
预定义应用程序
该 高级反漏洞利用 模块已预配置常见应用程序列表(如Microsoft Office、Adobe Reader或Flash Player),这些程序最易遭受漏洞攻击。
有关可用技术及其配置方法的详细信息,请参阅配置应用程序特定技术。
-
其他应用程序
在本节中,您可以添加并配置任意数量其他应用程序的保护。
有关可用技术及其配置设置的更多信息,请参阅“配置应用程序特定技术”。
通过点击标题可展开或折叠每个部分,从而快速定位需要配置的设置。
配置系统级防护
在 系统级检测 部分中,您有以下选项:
|
技术 |
描述 |
操作系统 |
|---|---|---|
|
权限提升防护 |
阻止进程获取未经授权的权限及资源访问。 默认操作:终止进程 |
Windows |
|
进程自检 |
在创建子进程时对进程状态进行深度分析,检查潜在的入侵指标。该分析可显示检测到的父进程及其生成的子进程概览。 默认操作:终止进程 |
Windows |
|
LSASS进程保护 |
防止LSASS进程泄露密码哈希值等敏感信息及安全设置。该功能监控系统应用程序读取LSASS进程内存的请求,并根据配置采取相应措施。 默认操作:仅拦截 推荐操作是 仅拦截 。该操作仅阻止应用程序访问LSASS内存的能力(不同于传统场景中直接阻止应用程序)。具体而言, 高级反漏洞利用 会拒绝应用程序读取LSASS内存的请求,但通常不会导致应用程序兼容性问题。 使用 拦截并报告 操作可拒绝应用程序访问LSASS内存,并接收相关通知。此配置适合需要查看和分析检测事件,但可能产生大量通知。 该 仅报告 操作会在应用程序尝试访问LSASS内存时发出通知。此配置可能会产生大量通知(包括任何请求超出所需权限的进程),需谨慎使用,因为LSASS内存并未受到主动保护。 您可以在安全代理本地控制台的 防漏洞利用 类别下查看被阻止的事件。您可以在 配置配置文件 中的 控制中心 部分添加与LSASS相关的排除项。被排除的进程将无法访问LSASS,但不再触发检测。 |
Windows |
|
凭据监控 |
检查进程行为以检测线程的意外凭据更改。 默认操作:仅报告 |
Linux |
|
Ptrace监控 |
监控调试机制的使用,以检测通过
默认操作:仅报告 |
Linux |
|
命名空间监控 |
检查进程行为以检测线程命名空间的意外更改。 默认操作:仅报告 |
Linux |
|
内存破坏监控 |
监控系统调用活动,以检测通过精心构造的系统调用进行内存破坏的尝试。 默认操作:仅报告 |
Linux |
|
SUID监控 |
报告所有尝试为文件设置SUID标志的行为。 默认操作:仅报告 |
Linux |
这些反漏洞技术默认启用。要禁用其中任何一项,请清除其复选框。
您还可以选择在检测时自动采取的操作。从关联菜单中选择可用操作:
-
仅报告 : GravityZone 会记录事件但不会采取缓解措施。您可以在 高级反漏洞 通知中查看事件详情,以及 已阻止应用程序 和 安全审计 报告中查看。
-
阻止并报告 :阻止恶意进程访问未授权资源,同时 GravityZone 会记录事件。您可以在 高级反漏洞 通知中查看事件详情,以及 已阻止应用程序 和 安全审计 报告中查看。
-
终止进程 :立即结束被利用的进程。
-
阻止进程 :阻止恶意进程访问未授权资源。
配置应用特定技术
无论是预定义应用还是额外添加的应用,它们都共享同一套防漏洞利用技术。具体描述如下:
|
技术 |
描述 |
|---|---|
|
ROP模拟 |
检测利用面向返回编程(ROP)技术将数据内存页设置为可执行的尝试。 默认操作:终止进程 |
|
ROP堆栈枢轴 |
通过验证堆栈位置,检测利用ROP技术劫持代码流的尝试。 默认操作:终止进程 |
|
ROP非法调用 |
通过验证敏感系统函数的调用者,检测利用ROP技术劫持代码流的尝试。 默认操作:终止进程 |
|
ROP堆栈未对齐 |
通过验证堆栈地址对齐,检测利用ROP技术破坏堆栈的尝试。 默认操作:终止进程 |
|
ROP返回到堆栈 |
通过验证返回地址范围,检测利用ROP技术直接在堆栈上执行代码的尝试。 默认操作:终止进程 |
|
ROP使堆栈可执行 |
通过验证堆栈页面保护,检测利用ROP技术破坏堆栈的尝试。 默认操作:终止进程 |
|
Flash通用检测 |
检测Flash Player漏洞利用尝试。 默认操作:终止进程 |
|
Flash载荷 |
通过扫描内存中的Flash对象,检测在Flash Player中执行恶意代码的尝试。 默认操作:终止进程 |
|
VBScript通用检测 |
检测VBScript漏洞利用尝试。 默认操作:终止进程 |
|
Shellcode执行 |
检测利用shellcode创建新进程或下载文件的尝试。 默认操作:终止进程 |
|
Shellcode LoadLibrary |
检测利用shellcode通过网络路径执行代码的尝试。 默认操作:终止进程 |
|
反绕行 |
检测绕过安全检查以创建新进程的尝试。 默认操作:终止进程 |
|
Shellcode EAF(导出地址过滤) |
检测恶意代码从DLL导出表中访问敏感系统函数的尝试。 默认操作:终止进程 |
|
Shellcode线程 |
通过验证新创建的线程来检测注入恶意代码的尝试。 默认操作:终止进程 |
|
反Meterpreter |
通过扫描可执行内存页面来检测创建反向shell的尝试。 默认操作:终止进程 |
|
过时的进程创建 |
检测使用过时技术创建新进程的尝试。 默认操作:终止进程 |
|
子进程创建 |
阻止任何子进程的创建。 默认操作:终止进程 |
|
强制Windows DEP |
强制执行数据执行保护(DEP)以阻止从数据页执行代码。 默认:禁用 |
|
强制模块重定位(ASLR) |
通过重定位内存模块防止代码被加载到可预测的位置。 默认:启用 |
|
新兴漏洞防护 |
防范任何新出现的威胁或漏洞。在实施更全面的变更前,该类别会通过快速更新提供保护。 默认:启用 |
若要监控预定义应用之外的其他应用程序,请点击 添加Windows应用程序 按钮(位于 自定义Windows应用程序 .
配置应用程序的反漏洞利用设置:
-
对于现有应用程序,点击其名称;对于新应用程序,点击 添加Windows应用程序 按钮。
新页面将显示所选应用程序的所有技术及其设置。
重要提示
添加需监控的新应用程序时务必谨慎。 Bitdefender 无法保证与所有应用程序的兼容性。建议先在非关键终端上测试该功能,再部署至整个网络。
-
添加新应用程序时,请在专用字段输入其名称及进程名称。多个进程名称间用分号(;)分隔。
-
如需快速查看技术描述,请点击其名称旁的箭头图标。
-
根据需要勾选或取消勾选漏洞利用技术对应的复选框。
使用 全选 选项可一次性标记所有技术。
-
如需更改检测后的自动操作,请从关联菜单中选择:
-
终止进程 :立即结束被利用的进程。
-
仅报告 : GravityZone 将记录事件但不采取缓解措施。您可在 高级反漏洞利用 通知及报告中。
默认情况下,预定义应用程序的所有技术均设置为缓解问题,而其他应用程序仅设置为报告事件。
要快速一次性更改所有技术的操作,请从 全部 选项关联的菜单中选择操作。
-
-
点击 保存 以确认现有应用程序的设置。
点击 添加 以确认新应用程序的设置。
点击页面顶部的 返回 按钮可返回到反漏洞利用常规设置。