Botnet Erkennung

Die Botnet-Erkennung bietet einen zusätzlichen, netzwerkbasierten Schutz vor aufkommenden Bedrohungen.

Sie überprüft die ausgehende Netzwerkkommunikation nach bekannten schädlichen Mustern und gleicht die Gegenstelle mit einer Blacklist ab. Jede erkannte schädliche Kommunikation wird blockiert und dem Nutzer gemeldet.

ESETs Erweiterter Speicherscanner bildet mit dem Exploit Blocker zusammen ein starkes Team zur Abwehr moderner Schadsoftware. Immer mehr Malware wird verschlüsselt und/oder getarnt, um einer Erkennung zu entgehen.

Normale Erkennungsansätze mittels Emulation oder Heuristik-Engines scheitern hier häufig. ESETs neue Technologie zur Verhaltensanalyse ist jedoch in der Lage, diese Schädlinge im Speicher zu enttarnen und zu stoppen. Der Erweiterte Speicherscanner ergänzt das ESET „Hostbased Intrusion Prevention System (HIPS)".

ESET LiveGrid basiert auf dem ESET Frühwarnsystem ThreatSense.NET. Millionen von Nutzern senden automatisch (oder manuell), neue verdächtige Malware-Samples an ESETs Virenlabor zur Analyse. Die Analyse-Spezialisten können auf diese Weise ein detailliertes, globales Bild der aktuellen Bedrohungslage entwerfen, erstellen neue Updates für die Viren-Signaturdatenbanken und passen die Abwehrstrategien auf neuartige Angriffe an.

Diese Informationen werden auch für das reputationsbasierte Scannen genutzt. Beim Überprüfen von ausführbaren oder komprimierten Dateien auf dem Computer des Nutzers wird zunächst deren eindeutiger Fingerabdruck (kryptographischer Hash) in der Reputationsdatenbank gesucht.

Ist die Datei auf der Whitelist als sicher eingestuft, wird sie von allen zukünftigen Überprüfungen ausgeschlossen, insofern sie unverändert bleibt. Handelt es sich um einen Blacklist-Eintrag, werden sofort geeignete Abwehrmaßnahmen durchgeführt. Ein vollständiger Scan ist demzufolge nur dann notwendig, wenn es keinen Treffer in der Reputationsdatenbank gibt. Die Erkenntnisse der Prüfung werden in die Datenbank eingepflegt, sodass die Scangeschwindigkeit enorm steigt, bei gleichzeitig sinkendem Ressourcenverbrauch.

Der Exploit Blocker wurde entwickelt, um besonders häufig angegriffene Programme (z.B. Browser, PDF-Reader, MS Office, E-Mail-Programme) noch stärker gegen Angriffe abzusichern.

Das Verhalten dieser Programme wird laufend überwacht, um bei kritischen Auffälligkeiten sofort den Nutzer zu informieren und den betroffenen Prozess zu stoppen. Einige verdächtige Verhaltensmuster erfordern eine zusätzliche cloudbasierte Analyse, um sogenannte „zero-day-exploits" besser zu erkennen und bekämpfen zu können. „Zero-day-exploits" nutzen brandneue Sicherheitslücken aus und sind noch in keiner Signaturdatenbank gelistet.

Die neue Schwachstellenprüfung (nur in der ESET Smart Security enthalten) ist eine Ergänzung zur Firewall und hindert sogenannte Exploits daran, Schwachstellen im Netzwerk bzw. in Netzwerkprotokollen auszunutzen und sich auf diese Weise Zugang zum System zu verschaffen.

Erkennungsmechanismen für die sogenannten CVEs (common vulnerabilities and exposures) sind für weitverbreitete Protokolle wie beispielsweise SMB, RPC und RDP implementiert. Sie dienen ebenfalls dazu neuartige Angriffe über Netzwerke und noch nicht korrigierte Schwachstellen zu verhindern.