Video: Malwarebytes Anti Exploit Premium | How to download And Install Malwarebytes (Oktober 2024)
En Symantec-direktør forkynte nylig at antivirus er død. Mange vil være uenige, men det er sant at et tradisjonelt antivirusverktøy ikke kan beskytte mot nulldagers utnyttelse som angriper sårbarheter i operativsystemet og applikasjonene. Det er her Malwarebytes Anti-Exploit Premium ($ 24, 95) kommer inn. Den er spesielt designet for å oppdage og avvise utnyttelsesangrep, og den har ikke behov for forhåndskunnskap om den aktuelle utnyttelsen.
Fordi det ikke er noen signaturdatabase, er produktet ganske lite, bare 3 MB. Det er heller ikke behov for regelmessige oppdateringer. En gratis utgave, kalt Malwarebytes Anti-Exploit Free, injiserer den beskyttende DLL-en i populære nettlesere (Chrome, Firefox, Internet Explorer og Opera) og Java. Premium-utgaven, som er gjennomgått her, utvider denne beskyttelsen til Microsoft Office-applikasjoner og til populære PDF-lesere og mediaspillere. Med Premium-utgaven kan du også legge til tilpassede skjold for andre programmer.
Hvordan det fungerer
I følge dokumentasjonen innpakker Malwarebytes Anti-Exploit Premium "beskyttede applikasjoner i tre defensive lag." Det første laget av dette patentsøkte beskyttelsessystemet ser etter forsøk på å omgå OS-sikkerhetsfunksjoner, inkludert DEP (Data Execution Prevention) og Address Space Layout Randomization (ASLR). Lag to holder øye med minnet, spesielt for ethvert forsøk på å utføre utnyttelseskode fra minnet. Det tredje laget blokkerer angrep på selve den beskyttede applikasjonen, inkludert "sandkasse rømmer og minneforebygging."
Alt dette høres bra ut. Det ville være ganske tøft for enhver angriper å utnytte et sårbart program uten å treffe en av disse tripwires. Det eneste problemet er, det er veldig vanskelig å se denne beskyttelsen i aksjon.
Tøft å teste
De fleste antivirus-, suite- og brannmurprodukter som inkluderer beskyttelse mot utnyttelse, håndterer det på samme måte som de gjør antivirus-skanning. For hver kjent utnyttelse genererer de en atferdssignatur som kan oppdage utnyttelsen på nettverksnivå. Da jeg testet Norton AntiVirus (2014) ved bruk av utnyttelser laget av CORE Impact-penetrasjonsverktøyet, blokkerte det hver eneste en og rapporterte det nøyaktige CVE-nummeret (Common Vulnerabilities and Explosures) for mange av dem.
McAfee AntiVirus Plus 2014 fanget rundt 30 prosent av angrepene, men identifiserte bare en håndfull med CVE-navn. Trend Micro Titanium Antivirus + 2014 fanget litt over halvparten, og identifiserte de fleste som "farlige sider."
Saken er at de fleste av disse utnyttelsene sannsynligvis ikke kunne ha gjort noen skade, selv om de ikke ble blokkert av Norton. Vanligvis fungerer en utnytte mot en veldig spesifikk versjon av et bestemt program, og er avhengig av utbredt distribusjon for å sikre at den treffer nok sårbare systemer. Jeg liker det faktum at Norton gir meg beskjed om at noen nettsteder forsøkte utnyttelse; Jeg vil ikke dra dit igjen! Men mesteparten av tiden kunne den oppdagede utnyttelsen ikke ha gjort noen skade.
Malwarebytes 'beskyttelse injiseres i hver beskyttet applikasjon. Med mindre et faktisk utnyttelsesangrep er rettet mot den nøyaktige versjonen av applikasjonen, gjør det ikke noe i det hele tatt. Et testverktøy levert av selskapet bekreftet at programvaren fungerer, og et analyseverktøy jeg brukte viste at Malwarebytes DLL hadde blitt injisert i alle de beskyttede prosessene. Men hvor er min praktiske bekreftelse på at det vil blokkere en ekte verden?
Gjennomført test
Fordi det er så vanskelig å teste dette produktet, engasjerte Malwarebytes tjenestene til en sikkerhetsblogger kjent bare Kafeine. Kafeine angrep et testsystem ved bruk av 11 utbredte utnyttelsessett: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx og Sweet Orange. I begge tilfeller prøvde han flere varianter av det grunnleggende angrepet.
Mens denne testen avslørte en feil i produktet, gjorde den en fei når den feilen ble løst. I alle tilfeller oppdaget og forhindret det utnyttelsesangrepet. Du kan se hele rapporten på Kafeines blogg. Malware trenger ikke kaffe.
