Video: Malwarebytes Anti Exploit Premium | How to download And Install Malwarebytes (Oktober 2024)
En Symantec-VP erklærede for nylig, at antivirus er død. Mange vil være uenige, men det er rigtigt, at en traditionel antivirusværktøj ikke kan beskytte mod nul-dages udnyttelse, der angriber sårbarheder i operativsystemet og applikationer. Det er her Malwarebytes Anti-Exploit Premium ($ 24, 95) kommer ind. Det er specifikt designet til at opdage og afvise udnyttelsesangreb, og det har ikke behov for forudgående viden om den pågældende udnyttelse.
Da der ikke er nogen signaturdatabase, er produktet ganske lille, bare 3 MB. Der er heller ikke behov for regelmæssige opdateringer. En gratis udgave, kaldet Malwarebytes Anti-Exploit Free, injicerer dets beskyttende DLL i populære browsere (Chrome, Firefox, Internet Explorer og Opera) og Java. Premium-udgaven, der gennemgås her, udvider denne beskyttelse til Microsoft Office-applikationer og til populære PDF-læsere og medieafspillere. Med Premium-udgaven kan du også tilføje tilpassede skjolde til andre programmer.
Hvordan det virker
Ifølge dokumentationen indpakker Malwarebytes Anti-Exploit Premium "beskyttede applikationer i tre defensive lag." Det første lag i dette patentsøgt beskyttelsessystem holder øje med forsøg på at omgå OS-sikkerhedsfunktioner, herunder forebyggelse af dataudvikling (DEP) og adresselokallayout Randomization (ASLR). Lag to holder øje med hukommelsen, især for ethvert forsøg på at udføre udnyttelseskode fra hukommelsen. Det tredje lag blokerer angreb på selve den beskyttede applikation, herunder "sandkasse undslipper og hukommelsesbegrænsning.
Alt dette lyder godt. Det ville være temmelig hårdt for enhver angriber at udnytte et sårbart program uden at ramme en af disse tripwires. Det eneste problem er, det er forfærdeligt svært at se denne beskyttelse i handling.
Hårdt at teste
De fleste antivirus-, suite- og firewall-produkter, der inkluderer beskyttelse mod udnyttelse, håndterer det meget, som de gør antivirus-scanning. For hver kendt udnyttelse genererer de en adfærdssignatur, der kan registrere udnyttelsen på netværksniveau. Da jeg testede Norton AntiVirus (2014) ved hjælp af udnyttelser oprettet af CORE Impact-penetrationsværktøjet, blokerede det for hver enkelt og rapporterede det nøjagtige CVE-nummer (Common Vulnerabilities and Explosures) for mange af dem.
McAfee AntiVirus Plus 2014 fangede omkring 30 procent af angrebene, men identificerede kun en håndfuld ved hjælp af CVE-navn. Trend Micro Titanium Antivirus + 2014 fangede lidt over halvdelen og identificerede mest som "farlige sider."
Sagen er, at de fleste af disse udnyttelse sandsynligvis ikke kunne have gjort nogen skade, selvom de ikke blev blokeret af Norton. En exploit fungerer typisk mod en meget specifik version af et bestemt program og er afhængig af udbredt distribution for at sikre, at det rammer nok sårbare systemer. Jeg kan godt lide det faktum, at Norton lader mig vide, at et websted har forsøgt at udnytte; Jeg vil ikke gå der igen! Men det meste af tiden kunne den fundne udnyttelse ikke have gjort nogen skade.
Malwarebytes 'beskyttelse injiceres i hver beskyttet applikation. Medmindre et faktisk udnyttelsesangreb er rettet mod den nøjagtige version af den applikation, gør det overhovedet intet. Et testværktøj leveret af virksomheden bekræftede, at softwaren fungerer, og et analyseværktøj, jeg brugte, viste, at Malwarebytes DLL var blevet injiceret i alle de beskyttede processer. Men hvor er min praktiske bekræftelse af, at det blokerer for den virkelige verden?
Ibrugtagne test
Fordi det er så svært at teste dette produkt, engagerede Malwarebytes tjenesterne af en sikkerhedsblogger, der kun er kendt som Kafeine. Kafeine angreb et testsystem ved hjælp af 11 udbredte udnyttelsessæt: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx og Sweet Orange. I begge tilfælde prøvede han flere variationer på det grundlæggende angreb.
Mens denne test afslørede en fejl i produktet, gjorde den, når denne fejl var løst, et rent feje. I alle tilfælde opdagede og forhindrede den udnyttelsesangrebet. Du kan se den fulde rapport på Kafeines blog, Malware behøver ikke kaffe.
