Видео: Malwarebytes Anti Exploit Premium | How to download And Install Malwarebytes (Септември 2024)
VP на Symantec наскоро обяви, че антивирусът е мъртъв. Мнозина биха се съгласили, но е вярно, че традиционната антивирусна програма не може да се защити от експлоатация с нулев ден, която атакува уязвимостите в операционната система и приложенията. Оттам идва Malwarebytes Anti-Exploit Premium ($ 24.95). Той е специално създаден за откриване и отблъскване на експлоатационни атаки и няма нужда от предварително познаване на въпросния експлоатация.
Тъй като няма база данни с подписи, продуктът е доста малък, само 3MB. Също така няма нужда от редовни актуализации. Безплатно издание, наречено Malwarebytes Anti-Exploit Free, инжектира защитната си DLL в популярни браузъри (Chrome, Firefox, Internet Explorer и Opera) и Java. Прегледаното тук Premium издание разширява тази защита за приложения на Microsoft Office и за популярни PDF четци и медийни плейъри. С Premium Edition можете да добавите персонализирани екрани и за други програми.
Как работи
Според документацията Malwarebytes Anti-Exploit Premium "обвива защитени приложения в три защитни слоя." Първият слой на тази чакаща система за защита следи за опити за заобикаляне на защитни функции на ОС, включително Предотвратяване на изпълнението на данни (DEP) и Рандомизация на разпределението на адресното пространство (ASLR). Слоят втори следи паметта, по-специално за всеки опит за изпълнение на експлоатационен код от паметта. Третият слой блокира атаките срещу самото защитено приложение, включително „пясъчниците се избягват и облекчаването на паметта обходи“.
Всичко това звучи добре. Би било доста трудно всеки нападател да използва уязвима програма, без да удря някое от тези трипровода. Единственият проблем е, че е страшно трудно да се види тази защита в действие.
Трудно за тестване
Повечето антивирусни, пакети и защитни стени, които включват защита от експлоатация, се справят много по начина, по който правят антивирусно сканиране. За всеки известен експлоатация те генерират поведенчески подпис, който може да открие експлоатацията на мрежово ниво. Когато тествах Norton AntiVirus (2014), използвайки подвизи, създадени от инструмента за проникване на въздействието на CORE, той блокира всеки един и докладва точния номер на CVE (общи уязвимости и експлозии) за много от тях.
McAfee AntiVirus Plus 2014 улови около 30 процента от атаките, но идентифицира само шепа от името на CVE. Trend Micro Titanium Antivirus + 2014 улови малко повече от половината, определяйки повечето като „опасни страници“.
Работата е там, че повечето от тези подвизи вероятно не биха могли да нанесат щети, дори да не бяха блокирани от Нортън. Обикновено експлоатацията работи срещу много специфична версия на определена програма, разчитайки на широко разпространение, за да се гарантира, че тя засяга достатъчно уязвими системи. Харесва ми факта, че Нортън ме уведомява, че някой сайт се е опитал да експлоатира; Няма да отида там отново! Но през повечето време откритата експлоатация не можеше да нанесе вреда.
Защитата от Malwarebytes се инжектира във всяко защитено приложение. Освен ако действителната експлоатационна атака не е насочена към точната версия на това приложение, тя изобщо не прави нищо. Инструмент за тестване, предоставен от компанията, потвърди, че софтуерът работи, а използваният от мен инструмент за анализ показа, че DLL на Malwarebytes е инжектиран във всички защитени процеси. Но къде ми е практическата проверка, че ще блокира експлоатация в реалния свят?
Въведен тест
Тъй като е толкова трудно да се тества този продукт, Malwarebytes ангажира услугите на блогър за сигурност, известен само като Kafeine. Kafeine атакува тестова система, използвайки 11 широко разпространени комплекта за експлоатация: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx и Sweet Orange. Във всеки случай той опита няколко вариации на основната атака.
Докато този тест разкри една грешка в продукта, след като тази грешка беше отстранена, тя направи чиста проверка. Във всеки случай той откриваше и предотвратяваше експлоатационната атака. Можете да видите пълния отчет в блога на Kafeine, Malware не се нуждае от кафе.
