Відео: Malwarebytes Anti Exploit Premium | How to download And Install Malwarebytes (Вересень 2024)
Нещодавно віце-президент Symantec заявив, що антивірус мертвий. Багато хто не погодиться, але це правда, що традиційна антивірусна утиліта не може захистити від нульових днів експлуатації, які атакують вразливості в операційній системі та додатках. Ось тут надходить Malwarebytes Anti-Exploit Premium ($ 24, 95). Він спеціально розроблений для виявлення та відбиття експлуатованих атак, і у нього немає необхідності в попередньому знанні про відповідний експлуататор.
Оскільки немає бази даних підписів, продукту досить мало, всього 3 Мб. Також не потрібно регулярних оновлень. Безкоштовне видання під назвою Malwarebytes Anti-Exploit Free вводить свою захисну DLL у популярні браузери (Chrome, Firefox, Internet Explorer і Opera) та Java. Розглянуте тут видання Premium розширює цей захист на додатки Microsoft Office та на популярні читачі PDF та медіаплеєри. З версією Premium ви можете додавати власні екрани для інших програм.
Як це працює
Згідно з документацією, Malwarebytes Anti-Exploit Premium "обгортає захищені програми в три захисні шари". Перший шар цієї системи захисту, що очікує на патент, спостерігає за спробами обходу функцій захисту ОС, включаючи запобігання виконанню даних (DEP) та рандомізацію макетів простору адрес (ASLR). Другий рівень стежить за пам'яттю, зокрема для будь-якої спроби виконувати експлуатаційний код із пам'яті. Третій шар блокує атаки на сам захищений додаток, включаючи "втечу пісочниці та обхід пом'якшення пам'яті".
Це все звучить добре. Будь-якому зловмисникові було б досить важко використовувати вразливу програму, не забиваючи жодного з цих провідників. Єдина проблема - жахливо важко бачити цей захист в дії.
Важко перевірити
Більшість антивірусних, пакетних та брандмауерів, що включають захист від експлуатації, справляються з ним так само, як і антивірусне сканування. Для кожного відомого подвигу вони генерують поведінковий підпис, який може виявити експлуатацію на мережевому рівні. Коли я тестував Norton AntiVirus (2014), використовуючи подвиги, створені інструментом проникнення CORE, він заблокував кожен окремий і повідомив точне число CVE (загальні вразливості та вибухи) для багатьох з них.
McAfee AntiVirus Plus 2014 охопив близько 30 відсотків атак, але виявив лише декілька по імені CVE. Trend Micro Titanium Antivirus + 2014 потрапив трохи більше половини, визначивши більшість як "небезпечні сторінки".
Річ у тім, що більшість із цих подвигів, ймовірно, не могли завдати шкоди, навіть якщо не були заблоковані Нортоном. Зазвичай експлуатація працює проти дуже конкретної версії певної програми, покладаючись на широке розповсюдження, щоб забезпечити потрапляння на досить вразливі системи. Мені подобається те, що Нортон дає мені знати, що якийсь сайт намагався використати; Я більше не поїду туди! Але більшість часу виявлений вибух фактично не міг завдати шкоди.
Захист від зловмисних програм вводиться у кожну захищену програму. Якщо фактична експлуатаційна атака не націлена на точну версію цієї програми, вона взагалі нічого не робить. Інструмент для тестування, що надається компанією, підтвердив, що програмне забезпечення працює, і застосований нами інструмент аналізу показав, що DLL Malwarebytes був введений у всі захищені процеси. Але де моя практична перевірка того, що це заблокує реальний подвиг?
Тест на замовлення
Оскільки так важко перевірити цей продукт, Malwarebytes задіяв послуги блогера із безпеки, відомого лише як Kafeine. Kafeine атакувала тестову систему, використовуючи 11 найпоширеніших наборів для експлуатації: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx та Sweet Orange. У кожному випадку він спробував кілька варіацій основної атаки.
Хоча цей тест виявив одну помилку в продукті, після виправлення цієї помилки вона зробила чистий аналіз. У кожному випадку він виявляв і запобігав вибуховій атаці. Ви можете переглянути повний звіт у блозі Kafeine, зловмисне програмне забезпечення не потребує кави.
