Video: Malwarebytes Anti Exploit Premium | How to download And Install Malwarebytes (Október 2024)
Zástupca spoločnosti Symantec nedávno vyhlásil, že antivírus je mŕtvy. Mnohí by nesúhlasili, ale je pravda, že tradičný antivírusový program nedokáže chrániť pred zneužitím, ktoré napadá zraniteľné miesta v operačnom systéme a aplikáciách. Tam prichádza Malwarebytes Anti-Exploit Premium (24, 95 dolárov). Je špeciálne navrhnutý na detekciu a potlačenie zneužitia útokov a nevyžaduje predchádzajúcu znalosť príslušného zneužívania.
Pretože neexistuje databáza podpisov, produkt je pomerne malý, iba 3 MB. Pravidelné aktualizácie tiež nie sú potrebné. Bezplatná edícia s názvom Malwarebytes Anti-Exploit Free vstrekuje svoju ochrannú knižnicu DLL do obľúbených prehliadačov (Chrome, Firefox, Internet Explorer a Opera) a Java. Vydanie Premium, tu recenzované, rozširuje túto ochranu na aplikácie balíka Microsoft Office a na populárne čítačky PDF a prehrávače médií. S edíciou Premium môžete pridať vlastné štíty aj pre iné programy.
Ako to funguje
Podľa dokumentácie Malwarebytes Anti-Exploit Premium „zabaluje aplikácie chránené do troch obranných vrstiev“. Prvá vrstva tohto patentového ochranného systému sleduje pokusy obísť bezpečnostné funkcie OS, vrátane prevencie spustenia údajov (DEP) a náhodného rozloženia adresného priestoru (ASLR). Druhá vrstva dohliada na pamäť, najmä pri každom pokuse o vykonanie exploitačného kódu z pamäte. Tretia vrstva blokuje útoky na samotnú chránenú aplikáciu vrátane „únikov karantény a obchádzania zmierňovania pamäte“.
To všetko znie dobre. Pre každého útočníka by bolo dosť ťažké zneužiť zraniteľný program bez toho, aby zasiahlo jeden z týchto drôtov. Jediný problém je, že je skutočne ťažké vidieť túto ochranu v akcii.
Odolná na testovanie
Väčšina antivírusových produktov, balíkov a produktov brány firewall, ktoré obsahujú ochranu pred zneužitím, to zvláda veľmi podobne ako pri antivírusovej kontrole. Pre každý známy exploit vytvárajú behaviorálny podpis, ktorý dokáže detekovať exploit na úrovni siete. Keď som testoval Norton AntiVirus (2014) pomocou exploitov vytvorených pomocou penetračného nástroja CORE Impact, zablokoval každú jednu a nahlásil presné číslo CVE (Common Vulnerabilities and Explosures) pre mnohé z nich.
Program McAfee AntiVirus Plus 2014 zachytil asi 30 percent útokov, ale identifikoval iba hrsť pomocou názvu CVE. Trend Micro Titanium Antivirus + 2014 sa chytil trochu viac ako polovica a najviac sa označil ako „nebezpečné stránky“.
Ide o to, že väčšina z týchto vykorisťovaní pravdepodobne nemohla spôsobiť žiadne škody, aj keď ich Norton nezablokoval. Zvyčajne exploituje proti veľmi špecifickej verzii konkrétneho programu a spolieha sa na rozsiahlu distribúciu, aby zabezpečil, že zasiahne dosť zraniteľné systémy. Páči sa mi skutočnosť, že Norton mi dá vedieť, že niektoré stránky sa pokúsili zneužiť; Nebudem tam znova! Zistené zneužitie však väčšinou nemohlo spôsobiť žiadne škody.
Ochrana malwarebytov sa vstrekne do každej chránenej aplikácie. Pokiaľ skutočný zneužívajúci útok nie je zameraný na presnú verziu tejto aplikácie, nerobí vôbec nič. Testovací nástroj dodávaný spoločnosťou overil, že softvér funguje, a analytický nástroj, ktorý som použil, ukázal, že Malwarebytes DLL bol vstreknutý do všetkých chránených procesov. Ale kde mám moje praktické overenie, že zablokuje využitie v skutočnom svete?
Test uvedený do prevádzky
Pretože je také ťažké testovať tento produkt, Malwarebytes využil služby bezpečnostného bloggera známeho iba ako Kafeine. Kafeine zaútočilo na testovací systém pomocou 11 rozsiahlych exploitačných súprav: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx a Sweet Orange. V každom prípade vyskúšal niekoľko variantov základného útoku.
Aj keď tento test odhalil jednu chybu v produkte, po odstránení tejto chyby došlo k čistému zametaniu. V každom prípade zistil a zabránil zneužitiu útoku. Celú správu si môžete pozrieť na blogu Kafeine, Malware nepotrebuje kávu.
