Vídeo: Malwarebytes Anti Exploit Premium | How to download And Install Malwarebytes (Setembre 2024)
Un vicepresident de Symantec va proclamar recentment que l’antivirus està mort. Molts no estarien d'acord, però és cert que una utilitat antivirus tradicional no pot protegir-se contra les explotacions del dia zero que ataquen les vulnerabilitats del sistema operatiu i les aplicacions. És allà on arriba Malwarebytes Anti-Exploit Premium (24, 95 dòlars). Està dissenyat específicament per detectar i rebutjar els atacs d'explotació i no té necessitat de coneixement previ de l'explotació en qüestió.
Com que no hi ha cap base de dades de signatures, el producte és bastant petit, de només 3 MB. Tampoc és necessari que hi hagi actualitzacions periòdiques. Una edició gratuïta, anomenada Malwarebytes Anti-Exploit Free, injecta la seva DLL protectora als navegadors populars (Chrome, Firefox, Internet Explorer i Opera) i Java. L’edició Premium, revisada aquí, estén aquesta protecció a les aplicacions de Microsoft Office i als lectors de PDF i reproductors multimèdia populars. Amb l’edició Premium, també podeu afegir escuts personalitzats per a altres programes.
Com funciona
Segons la documentació, Malwarebytes Anti-Exploit Premium "embolca aplicacions protegides en tres capes defensives". La primera capa d’aquest sistema de protecció pendent de patent procura intentar obviar les funcions de seguretat del sistema operatiu, inclosa la prevenció d’execució de dades (DEP) i l’atenció de l’espai d’adreces (ASLR). La capa dos vigila la memòria, en particular per a qualsevol intent d'executar codi d'explotació des de la memòria. La tercera capa bloqueja els atacs a la pròpia aplicació protegida, incloent "escapçades de la caixa de sorra i bypasss de mitigació de la memòria".
Tot sona bé. Seria bastant difícil que qualsevol atacant exploti un programa vulnerable sense haver de colpejar un d’aquests viatges. L’únic problema és, és molt difícil veure aquesta protecció en acció.
Difícil de provar
La majoria de productes antivirus, suite i tallafoc que inclouen la protecció d’explotació ho gestionen molt de la manera en què fan l’exploració antivirus. Per a cada explotació coneguda, generen una signatura de comportament que pot detectar la explotació a nivell de xarxa. Quan vaig provar Norton AntiVirus (2014) mitjançant exploits creats per l’eina de penetració CORE Impact, es va bloquejar i es va informar del número de CVE precís (vulnerabilitats i explosions comunes) per a molts d’ells.
McAfee AntiVirus Plus 2014 va capturar al voltant del 30 per cent dels atacs, però només va identificar un grapat per nom de CVE. Trend Micro Titanium Antivirus + 2014 va capturar una mica més de la meitat, identificant la majoria com a "pàgines perilloses".
El cas és que, probablement, la majoria d'aquestes explotacions no haurien pogut fer cap mal encara que no sigui bloquejat per Norton. Típicament una explotació funciona amb una versió molt específica d’un programa en particular, basant-se en una distribució generalitzada per assegurar-se que tingui força sistemes vulnerables. M'agrada el fet que Norton em permeti conèixer algun lloc que va intentar explotar; No tornaré cap allà! Però la majoria de vegades l'explotació detectada no hauria pogut fer cap mal.
La protecció de Malwarebytes s’injecta a cada aplicació protegida. A menys que un atac real d'explotació tingui com a objectiu la versió precisa d'aquesta aplicació, no fa res de res. Una eina de prova subministrada per l’empresa va verificar que el programari funciona, i una eina d’anàlisi que vaig utilitzar va mostrar que la DLL de Malwarebytes s’havia injectat a tots els processos protegits. Però, on és la meva verificació pràctica de que bloquejarà una explotació del món real?
Prova per encàrrec
Com que és tan difícil provar aquest producte, Malwarebytes es va dedicar als serveis d'un blocari de seguretat conegut només com a Kafeine. Kafeine va atacar un sistema de prova amb 11 kits d’explotació generalitzats: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Pack Nuclear, Styx i Orange Orange. En cada cas, va intentar diverses variacions en l’atac bàsic.
Si bé aquesta prova va revelar un error en el producte, un cop corregit el problema, es va arrossegar. En tots els casos es va detectar i evitar l’atac d’explotar. Podeu veure l’informe complet al bloc de Kafeine, el programa maliciós no necessita Cafè.
