Video: Malwarebytes Anti Exploit Premium | How to download And Install Malwarebytes (Ottobre 2024)
Un VP di Symantec ha recentemente dichiarato che l'antivirus è morto. Molti non sarebbero d'accordo, ma è vero che un'utilità antivirus tradizionale non può proteggere dagli exploit zero-day che attaccano le vulnerabilità del sistema operativo e delle applicazioni. È qui che entra in gioco Malwarebytes Anti-Exploit Premium ($ 24, 95). È specificamente progettato per rilevare e respingere gli attacchi di exploit e non ha bisogno di una conoscenza preliminare dell'exploit in questione.
Poiché non esiste un database di firme, il prodotto è piuttosto piccolo, solo 3 MB. Non sono inoltre necessari aggiornamenti regolari. Un'edizione gratuita, chiamata Malwarebytes Anti-Exploit Free, inietta la sua DLL protettiva nei browser più diffusi (Chrome, Firefox, Internet Explorer e Opera) e Java. L'edizione Premium, qui rivista, estende questa protezione alle applicazioni di Microsoft Office e ai lettori e lettori multimediali PDF più diffusi. Con l'edizione Premium, puoi aggiungere scudi personalizzati anche per altri programmi.
Come funziona
Secondo la documentazione, Malwarebytes Anti-Exploit Premium "avvolge le applicazioni protette in tre livelli difensivi". Il primo strato di questo sistema di protezione in attesa di brevetto controlla i tentativi di eludere le funzionalità di sicurezza del sistema operativo, tra cui la prevenzione dell'esecuzione dei dati (DEP) e la randomizzazione del layout dello spazio degli indirizzi (ASLR). Il livello due tiene d'occhio la memoria, in particolare per ogni tentativo di eseguire codice exploit dalla memoria. Il terzo livello blocca gli attacchi all'applicazione protetta stessa, inclusi "escape sandbox e bypass di mitigazione della memoria".
Tutto suona bene. Sarebbe piuttosto difficile per qualsiasi utente malintenzionato sfruttare un programma vulnerabile senza colpire uno di questi fili trip. L'unico problema è che è terribilmente difficile vedere questa protezione in azione.
Difficile da testare
La maggior parte dei prodotti antivirus, suite e firewall che includono la protezione dagli exploit la gestiscono in modo molto simile alla scansione antivirus. Per ogni exploit noto, generano una firma comportamentale in grado di rilevare l'exploit a livello di rete. Quando ho testato Norton AntiVirus (2014) utilizzando exploit creati dallo strumento di penetrazione CORE Impact, ha bloccato tutti e riportato il numero preciso CVE (vulnerabilità comuni ed esplosioni) per molti di essi.
McAfee AntiVirus Plus 2014 ha catturato circa il 30 percento degli attacchi, ma ha identificato solo una manciata con il nome CVE. Trend Micro Titanium Antivirus + 2014 ha catturato un po 'più della metà, identificando la maggior parte come "pagine pericolose".
Il fatto è che la maggior parte di quegli exploit probabilmente non avrebbe potuto fare alcun danno anche se non bloccato da Norton. In genere un exploit funziona contro una versione molto specifica di un determinato programma, basandosi su una distribuzione diffusa per garantire che colpisca abbastanza sistemi vulnerabili. Mi piace il fatto che Norton mi faccia sapere che qualche sito ha tentato un exploit; Non ci andrò di nuovo! Ma la maggior parte delle volte l'exploit rilevato non avrebbe potuto effettivamente causare alcun danno.
La protezione di Malwarebytes viene iniettata in ogni applicazione protetta. A meno che un attacco di exploit non abbia come obiettivo la versione precisa di quell'applicazione, non fa nulla. Uno strumento di test fornito dalla società ha verificato il funzionamento del software e uno strumento di analisi che ho usato ha mostrato che la DLL Malwarebytes era stata iniettata in tutti i processi protetti. Ma dov'è la mia verifica pratica che bloccherà un exploit nel mondo reale?
Test commissionato
Poiché è così difficile testare questo prodotto, Malwarebytes ha assunto i servizi di un blogger di sicurezza noto solo come Kafeine. Kafeine ha attaccato un sistema di test usando 11 kit di exploit diffusi: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx e Sweet Orange. In ogni caso, ha provato diverse varianti dell'attacco di base.
Mentre questo test ha rivelato un bug nel prodotto, una volta risolto il bug ha fatto una pulizia pulita. In ogni caso ha rilevato e prevenuto l'attacco di exploit. Puoi visualizzare il rapporto completo sul blog di Kafeine, i malware non hanno bisogno di caffè.
