Video: Malwarebytes Anti-Exploit Premium (Studeni 2024)
VP iz Symanteca nedavno je proglasio da je antivirus mrtav. Mnogi se ne slažu, ali istina je da se tradicionalni antivirusni program ne može zaštititi od nula dnevnih napada koji napadaju ranjivosti u operativnom sustavu i aplikacijama. Tu dolazi Malwarebytes Anti-Exploit Premium (24, 95 USD). Posebno je dizajniran za otkrivanje i odbijanje eksplozivnih napada i nema potrebe za prethodnim znanjem o predmetnom eksploataciji.
Budući da ne postoji baza podataka s potpisima, proizvod je prilično mali, samo 3 MB. Također nema potrebe za redovitim ažuriranjima. Besplatno izdanje, pod nazivom Malwarebytes Anti-Exploit Free, ubrizgava svoj zaštitni DLL u popularne preglednike (Chrome, Firefox, Internet Explorer i Opera) i Java. Ovdje objavljeno Premium izdanje proširuje ovu zaštitu na Microsoft Office aplikacije i na popularne PDF čitatelje i medijske uređaje. S Premium izdanjem možete dodati prilagođene oklope i za ostale programe.
Kako radi
Prema dokumentaciji, Malwarebytes Anti-Exploit Premium "omota zaštićene aplikacije u tri obrambena sloja." Prvi sloj ovog zaštitnog sustava na čekanju pazi na pokušaje zaobilaženja sigurnosnih značajki OS, uključujući prevenciju izvršavanja podataka (DEP) i nasumičnost rasporeda adresnog prostora (ASLR). Drugi sloj čuva memoriju, posebno za svaki pokušaj izvršavanja iskorištavajućeg koda iz memorije. Treći sloj blokira napade na samu zaštićenu aplikaciju, uključujući "napade sandžaka i zaobilaznice za ublažavanje memorije".
Ovo sve zvuči dobro. Bilo bi prilično teško da bilo koji napadač iskoristi ranjivi program, a da ne pogodi nijednu od ovih trostrukih žica. Jedini problem je što je strašno teško vidjeti ovu zaštitu na djelu.
Teško za testiranje
Većina antivirusnih programa, programa i zaštitnog zida koji uključuju zaštitu od eksploatacije postupaju slično kao što rade antivirusno skeniranje. Za svaki poznati eksploziv stvaraju bihevioralni potpis koji može otkriti eksploziv na mrežnoj razini. Kad sam testirao Norton AntiVirus (2014) koristeći podvige stvorene alatom CORE Impact penetration, blokirao je svaki pojedinačni i iznio točan CVE broj (zajedničke ranjivosti i eksplozije) za mnoge od njih.
McAfee AntiVirus Plus 2014 uhvatio je oko 30 posto napada, ali je identificirao samo šačicu imena CVE. Trend Micro Titanium Antivirus + 2014 uhvatio se nešto više od pola, identificirajući većinu kao "opasne stranice".
Stvar je u tome što većina tih iskorištavanja vjerojatno ne bi napravila nikakvu štetu čak i da ju nije blokirao Norton. Obično eksploatacija djeluje protiv vrlo specifične verzije određenog programa, oslanjajući se na široku distribuciju kako bi se osiguralo da on pogodi dovoljno ranjive sustave. Sviđa mi se činjenica da mi Norton daje do znanja da je neko mjesto pokušalo iskoristiti; Neću više ići tamo! Ali većinom otkriveni eksploatati zapravo nije mogao napraviti nikakvu štetu.
Zaštita od zlonamjernog softvera ubacuje se u svaku zaštićenu aplikaciju. Ako stvarni eksploatacijski napad ne cilja preciznu verziju te aplikacije, ona ništa ne radi. Alat za testiranje koji je isporučila tvrtka potvrdio je da softver funkcionira, a alat za analizu koji sam koristio pokazao je da je DLL Malwarebytes bio ubrizgan u sve zaštićene procese. Ali gdje je moja provjera da će ona blokirati stvarni podvig?
Naručeni test
Budući da je toliko teško testirati ovaj proizvod, Malwarebytes je angažirao usluge sigurnosnog blogera poznatog samo kao Kafeine. Kafeine je napao testni sustav koristeći 11 široko postavljenih eksploatacijskih kompleta: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx i Sweet Orange. Za svaki je slučaj pokušao nekoliko varijacija osnovnog napada.
Dok je ovaj test otkrio jednu pogrešku u proizvodu, jednom kada je greška ispravljena, napravila se čista pretraga. U svakom slučaju otkrili su i spriječili eksploatacijski napad. Kompletno izvješće možete pogledati na blogu Kafeine, a malware ne treba kavu.
