Video: Malwarebytes Anti-Exploit Premium (Octombrie 2024)
Un VP Symantec a proclamat recent că antivirusul este mort. Mulți nu ar fi de acord, dar este adevărat că o utilitate antivirus tradițională nu se poate proteja împotriva exploatării de zero zile care atacă vulnerabilitățile din sistemul de operare și aplicații. Acolo intervine Malwarebytes Anti-Exploit Premium (24, 95 USD). Este conceput special pentru a detecta și respinge atacurile de exploatare și nu are nevoie de cunoștințe prealabile despre exploatarea în cauză.
Deoarece nu există o bază de date cu semnătura, produsul este destul de mic, la doar 3 MB. De asemenea, nu este nevoie de actualizări periodice. O ediție gratuită, numită Malwarebytes Anti-Exploit Free, își injectează DLL-ul de protecție în browserele populare (Chrome, Firefox, Internet Explorer și Opera) și Java. Ediția Premium, revizuită aici, extinde această protecție la aplicațiile Microsoft Office și la cititorii PDF și playerele media populare. Cu ediția Premium, puteți adăuga și scuturi personalizate pentru alte programe.
Cum functioneaza
Conform documentației, Malwarebytes Anti-Exploit Premium „înfășoară aplicații protejate în trei straturi defensive”. Primul strat al acestui sistem de protecție pendent de brevet urmărește încercările de a ocoli caracteristicile de securitate ale sistemului de operare, inclusiv Prevenirea executării datelor (DEP) și Randomizarea dispunerii spațiului de adrese (ASLR). Stratul doi urmărește memoria, în special pentru orice încercare de a executa codul de exploatare din memorie. Al treilea strat blochează atacurile asupra aplicației protejate în sine, inclusiv „scăparea sandbox-ului și bypass-urile de atenuare a memoriei”.
Totul sună bine. Ar fi destul de greu pentru orice atacator să exploateze un program vulnerabil fără să lovească una dintre aceste călătorii. Singura problemă este că este extraordinar de greu să vezi această protecție în acțiune.
Greu de testat
Majoritatea produselor antivirus, suite și firewall care includ protecția de exploatare se ocupă mult de modul în care fac scanarea antivirus. Pentru fiecare exploat cunoscut, ele generează o semnătură comportamentală care poate detecta exploitarea la nivelul rețelei. Când am testat Norton AntiVirus (2014) folosind exploitări create de instrumentul de penetrare CORE Impact, acesta a blocat fiecare și a raportat numărul precis CVE (vulnerabilități și explozii comune) pentru multe dintre ele.
McAfee AntiVirus Plus 2014 a prins aproximativ 30 la sută din atacuri, dar a identificat doar o mână cu numele CVE. Antivirus Trend Micro Titanium + 2014 a prins un pic peste jumătate, identificându-se majoritatea drept „pagini periculoase”.
Chestia este că, cele mai multe dintre aceste exploatări probabil că nu ar fi putut face niciun prejudiciu, chiar dacă nu a fost blocat de Norton. În mod obișnuit, un exploit funcționează împotriva unei versiuni foarte specifice a unui anumit program, bazându-se pe o distribuție pe scară largă pentru a se asigura că acesta afectează suficient sisteme vulnerabile. Îmi place faptul că Norton mă anunță că un site a încercat o exploatare; Nu mă voi mai duce acolo! Însă de cele mai multe ori exploatarea detectată nu ar fi putut efectua vreun prejudiciu.
Protecția Malwarebytes este injectată în fiecare aplicație protejată. Cu excepția cazului în care un atac efectiv de exploatare vizează versiunea precisă a aplicației respective, ea nu face nimic deloc. Un instrument de testare furnizat de companie a verificat că software-ul funcționează, iar un instrument de analiză pe care l-am folosit a arătat că Malwarebytes DLL a fost injectat în toate procesele protejate. Dar unde este verificarea mea simplă că va bloca o exploatare din lumea reală?
Testul comandat
Deoarece este atât de greu să testezi acest produs, Malwarebytes a angajat serviciile unui blogger de securitate cunoscut doar ca Kafeine. Kafeine a atacat un sistem de testare folosind 11 truse de exploatare răspândite: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx și Sweet Orange. În fiecare caz, a încercat mai multe variații ale atacului de bază.
În timp ce acest test a scos la iveală un singur bug în produs, odată rezolvat acest bug a făcut o curățare curată. În fiecare caz, a detectat și a prevenit atacul de exploatare. Puteți vedea raportul complet pe blogul Kafeine, Malware-ul nu are nevoie de Cafea.
