Video: Malwarebytes Anti Exploit Premium | How to download And Install Malwarebytes (Oktober 2024)
Podpredsednik Symantec je pred kratkim razglasil, da je antivirus mrtev. Mnogi se ne strinjajo, toda res je, da se tradicionalni protivirusni pripomoček ne more zaščititi pred izkoriščanjem nič dni, ki napada ranljivosti v operacijskem sistemu in aplikacijah. Od tod prihaja Malwarebytes Anti-Exploit Premium (24, 95 USD). Zasnovan je posebej za odkrivanje in odvračanje izkoriščevalskih napadov, zato ni treba predhodno poznati zadevnega izkoriščanja.
Ker ni podpisne baze podatkov, je izdelek precej majhen, le 3 MB. Prav tako ni potrebe po rednih posodobitvah. Brezplačna izdaja z imenom Malwarebytes Anti-Exploit Free vbrizga zaščitni DLL v priljubljene brskalnike (Chrome, Firefox, Internet Explorer in Opera) in Java. Pregledana izdaja Premium, to zaščito razširja na aplikacije Microsoft Office in na priljubljene bralnike PDF in predvajalnike medijev. Z izdajo Premium lahko dodate ščite po meri tudi za druge programe.
Kako deluje
V skladu z dokumentacijo Malwarebytes Anti-Exploit Premium "ovija zaščitene aplikacije v treh obrambnih slojih." Prva plast tega zaščitnega sistema, ki čaka na patent, opazuje poskuse izogibanja varnostnim funkcijam OS, vključno s preprečevanjem izvajanja podatkov (DEP) in randomizacijo naslova prostorske postavitve (ASLR). Drugi sloj pazi na pomnilnik, zlasti za vsak poskus izvršitve izkoriščene kode iz pomnilnika. Tretja plast blokira napade na zaščiteno aplikacijo, vključno z "pobegi v peskovniku in pomivanjem pomnilnika."
Vse to se sliši dobro. Bilo bi težko, če bi kateri koli napadalec izkoristil ranljiv program, ne da bi zadel enega od teh trojcev. Edina težava je, da je težko zaščititi to zaščito v akciji.
Težko preizkusiti
Večina protivirusnih izdelkov, programskih paketov in požarnega zidu, ki vključujejo zaščito pred izkoriščanjem, ravna tako kot pri protivirusnem skeniranju. Pri vsakem znanem izkoriščanju ustvarijo vedenjski podpis, ki lahko zazna izkoriščanje na omrežni ravni. Ko sem preizkusil Norton AntiVirus (2014) z uporabo podvigov, ustvarjenih z orodjem za prodor CORE Impact, je blokiral vsakega posebej in sporočil natančno številko CVE (pogoste ranljivosti in eksplozije) za mnoge od njih.
McAfee AntiVirus Plus 2014 je zajel približno 30 odstotkov napadov, a jih je identificiral le peščica po imenu CVE. Trend Micro Titanium Antivirus + 2014 je zajel nekaj več kot polovico in večino označil za "nevarne strani".
Stvar je v tem, da večina teh podvigov verjetno ne bi naredila škode, tudi če je Norton ne bi blokiral. Običajno izkoriščanje deluje proti zelo specifični različici določenega programa, pri čemer se zanaša na široko distribucijo, da bi zagotovil, da bo zadel dovolj ranljive sisteme. Všeč mi je dejstvo, da mi Norton sporoča, da je neko spletno mesto poskusilo izkoristiti; Ne grem več tja! Toda večino časa odkritega izkoriščanja dejansko niso mogle narediti škode.
Zaščita pred zlonamerno programsko opremo se vbrizga v vsako zaščiteno aplikacijo. Če dejanski napad izkorišča natančno različico te aplikacije, ta sploh ne naredi ničesar. Testno orodje, ki ga je dobavilo podjetje, je potrdilo, da programska oprema deluje, in orodje za analizo, ki sem ga uporabil, je pokazalo, da je bil DLL Malwarebytes vstavljen v vse zaščitene procese. Toda kje preverjam, ali bo preprečil izkoriščanje v resničnem svetu?
Naročeni test
Ker je ta izdelek tako težko preizkusiti, so Malwarebytes uporabili storitve varnostnega blogerja, znanega samo kot Kafeine. Kafeine je napadel testni sistem z 11 razširjenimi kompleti izkoriščanja: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx in Sweet Orange. Za vsak primer je poskusil več različic osnovnega napada.
Medtem ko je ta test odkril eno napako v izdelku, se je enkrat odpravil, ko je napako odpravil. V vsakem primeru je zaznaval in preprečil eksploatacijski napad. Celotno poročilo si lahko ogledate na blogu Kafeine, zlonamerna programska oprema ne potrebuje kave.
