Video: Malwarebytes Anti Exploit Premium | How to download And Install Malwarebytes (Lokakuu 2024)
Symantec VP: n julisti äskettäin virustentorjunta on kuollut. Monet ovat eri mieltä, mutta on totta, että perinteinen virustentorjuntaohjelma ei voi suojata nollapäivän hyväksikäytöltä, joka hyökkää käyttöjärjestelmän ja sovellusten haavoittuvuuksiin. Sieltä tulee Malwarebytes Anti-Exploit Premium (24, 95 dollaria). Se on erityisesti suunniteltu havaitsemaan ja torjumaan hyväksikäyttöhyökkäykset, eikä sillä tarvita ennakkotietoa kyseisestä hyväksikäytöstä.
Koska allekirjoitustietokantaa ei ole, tuote on melko pieni, vain 3 Mt. Säännöllisiä päivityksiä ei myöskään tarvitse. Ilmainen versio, nimeltään Malwarebytes Anti-Exploit Free, ruiskuttaa suojaavan DLL: n suosituihin selaimiin (Chrome, Firefox, Internet Explorer ja Opera) ja Java-ohjelmiin. Täällä tarkistettu premium-painos laajentaa tämän suojan Microsoft Office -sovelluksiin ja suosittuihin PDF-lukijoihin ja mediasoittimiin. Premium-version avulla voit lisätä mukautettuja suojauksia myös muille ohjelmille.
Kuinka se toimii
Asiakirjojen mukaan Malwarebytes Anti-Exploit Premium "kääri suojatut sovellukset kolmeen puolustavaan kerrokseen". Tämän patenttihakemuksen alaisen suojausjärjestelmän ensimmäinen kerros tarkkailee yrityksiä ohittaa käyttöjärjestelmän suojausominaisuudet, mukaan lukien tietojen suorittamisen estäminen (DEP) ja osoiteruen asettelun satunnaistaminen (ASLR). Taso 2 seuraa muistia etenkin kaikissa yrityksissä suorittaa hyväksikäyttökoodi muistista. Kolmas kerros estää hyökkäykset itse suojattuun sovellukseen, mukaan lukien "hiekkalaatikko karkaa ja muistin lieventämisen ohitukset".
Tämä kaikki kuulostaa hyvältä. Kaikille hyökkääjille olisi melko vaikeaa hyödyntää haavoittuvaa ohjelmaa lyömättä yhtä näistä kolmilankoista. Ainoa ongelma on, että on todella vaikea nähdä tätä suojausta toiminnassa.
Vaikea testata
Useimmat virustorjunta-, ohjelmisto- ja palomuurituotteet, jotka sisältävät hyväksikäytön, käsittelevät sitä samalla tavalla kuin virustorjunta skannaa. Jokaiselle tunnetulle hyväksikäytölle he luovat käyttäytymissignaalin, joka pystyy havaitsemaan hyväksikäytön verkkotasolla. Kun testasin Norton AntiVirus (2014) -sovellusta CORE Impact -läpäisytyökalun avulla, se esti jokaisen ja ilmoitti monille niistä tarkan CVE-arvon (yleiset haavoittuvuudet ja räjähdykset).
McAfee AntiVirus Plus 2014 pyysi noin 30 prosenttia hyökkäyksistä, mutta tunnisti vain kourallisen CVE-nimellä. Trend Micro Titanium Antivirus + 2014 oli hiukan yli puolet, tunnistaen useimmat "vaarallisiksi sivuiksi".
Asia on, että suurin osa näistä hyväksikäytöistä ei todennäköisesti voinut tehdä mitään vahinkoa, vaikka Norton ei estäisi niitä. Yleensä hyväksikäyttö toimii tietyn ohjelman tiettyä versiota vastaan ja luottaa laajaan jakeluun varmistaakseen, että se osuu riittävän haavoittuviin järjestelmiin. Pidän siitä, että Norton ilmoittaa minulle, että jotkut sivustot ovat yrittäneet hyväksikäyttöä; En mene takaisin sinne! Mutta suurimman osan ajasta havaittu hyväksikäyttö ei olisi voinut todella aiheuttaa vahinkoa.
Malwarebytes-suojaus injektoidaan jokaiseen suojattuun sovellukseen. Ellei todellinen hyökkäys kohdistu sovelluksen tarkkaan versioon, se ei tee mitään. Yrityksen toimittama testaustyökalu varmisti ohjelmiston toimivuuden, ja käyttämäni analyysityökalu osoitti, että Malwarebytes DLL oli injektoitu kaikkiin suojattuihin prosesseihin. Mutta missä on käytännön todennus, että se estää reaalimaailman hyväksikäytön?
Tilattu testi
Koska tämän tuotteen testaaminen on niin vaikeaa, Malwarebytes harjoitti vain Kafeine-nimisen tietoturvabloggerin palveluita. Kafeine hyökkäsi testijärjestelmään käyttämällä 11 laaja-alaista hyödyntämispakettia: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx ja Sweet Orange. Kummassakin tapauksessa hän yritti useita muunnelmia perushyökkäyksessä.
Vaikka tämä testi paljasti yhden virheen tuotteessa, sen korjaamisen jälkeen se teki puhtaan pyyhkäisyn. Joka tapauksessa se havaitsi ja esti hyväksikäyttöhyökkäyksen. Voit tarkastella koko raporttia Kafeinen blogissa. Haittaohjelmat eivät tarvitse kahvia.
