Video: Malwarebytes Anti Exploit Premium | How to download And Install Malwarebytes (November 2024)
En Symantec-VP förklarade nyligen att antivirus är död. Många skulle vara oeniga, men det är sant att ett traditionellt antivirusverktyg inte kan skydda mot nolldagars exploater som attackerar sårbarheter i operativsystemet och applikationer. Det är där Malwarebytes Anti-Exploit Premium ($ 24, 95) kommer in. Det är specifikt utformat för att upptäcka och avvisa exploateringsattacker, och det har inget behov av förkunskaper om exploaten i fråga.
Eftersom det inte finns någon signaturdatabas är produkten ganska liten, bara 3 MB. Det finns inte heller behov av regelbundna uppdateringar. En gratisversion, kallad Malwarebytes Anti-Exploit Free, injicerar dess skyddande DLL i populära webbläsare (Chrome, Firefox, Internet Explorer och Opera) och Java. Premium-utgåvan som granskas här utvidgar detta skydd till Microsoft Office-applikationer och till populära PDF-läsare och mediaspelare. Med Premium-utgåvan kan du också lägga till anpassade sköldar för andra program.
Hur det fungerar
Enligt dokumentationen lindar Malwarebytes Anti-Exploit Premium "skyddade applikationer i tre defensiva lager." Det första lagret av detta patentsökt skyddssystem tittar på försök att kringgå OS-säkerhetsfunktioner, inklusive DEP (Data Execution Prevention) och Address Space Layout Randomization (ASLR). Lager två håller ett öga på minnet, särskilt för alla försök att köra exploateringskod från minnet. Det tredje lagret blockerar attacker på själva den skyddade applikationen, inklusive "sandlåda undviker och förbigår minnesminskning."
Allt låter bra. Det skulle vara ganska tufft för alla angripare att utnyttja ett sårbart program utan att slå någon av dessa tripwires. Det enda problemet är att det är väldigt svårt att se detta skydd i handling.
Tuff att testa
De flesta antivirusprodukter, svit- och brandväggsprodukter som innehåller skyddsutrustning hanterar det på samma sätt som de gör antivirusskanning. För varje känd exploatering genererar de en beteendesignatur som kan upptäcka exploateringen på nätverksnivå. När jag testade Norton AntiVirus (2014) med användning av exploater skapade av CORE Impact penetrationsverktyget blockerade det varenda och rapporterade det exakta CVE-numret (Common Vulnerabilities and Explosures) för många av dem.
McAfee AntiVirus Plus 2014 fångade cirka 30 procent av attackerna men identifierade bara en handfull med CVE-namn. Trend Micro Titanium Antivirus + 2014 fångade drygt hälften och identifierade de flesta som "farliga sidor."
Saken är att de flesta av dessa exploater förmodligen inte kunde ha gjort någon skada även om den inte blockerades av Norton. En exploit fungerar vanligtvis mot en mycket specifik version av ett visst program och förlitar sig på utbredd distribution för att säkerställa att det träffar tillräckligt sårbara system. Jag gillar det faktum att Norton låter mig veta att en webbplats försökte utnyttja; Jag kommer inte dit igen! Men det mesta av tiden kunde den upptäckta exploaten inte ha skadat.
Malwarebytes skydd injiceras i varje skyddad applikation. Såvida inte en verklig exploateringsattack är riktad mot den exakta versionen av den applikationen, gör den ingenting alls. Ett testverktyg som levererades av företaget verifierade att programvaran fungerar, och ett analysverktyg som jag använde visade att Malwarebytes DLL hade injicerats i alla skyddade processer. Men var är min praktiska verifiering att det kommer att blockera en verklig värld?
Driftsatt test
Eftersom det är så svårt att testa den här produkten, engagerade Malwarebytes tjänsterna hos en säkerhetsblogger, endast känd som Kafeine. Kafeine attackerade ett testsystem med 11 utbredda exploateringssatser: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx och Sweet Orange. I båda fallen försökte han flera varianter av grundattacken.
Medan det här testet avslöjade ett fel i produkten, gjorde det en ren sop när den fanns rätt. I varje fall upptäckte och förhindrade den exploateringsattacken. Du kan se hela rapporten på Kafeines blogg, Malware behöver inte kaffe.
