Vídeo: Malwarebytes Anti-Exploit Premium (Outubro 2024)
Um Symantec VP proclamou recentemente que o antivírus está morto. Muitos discordariam, mas é verdade que um utilitário antivírus tradicional não pode proteger contra explorações de dia zero que atacam vulnerabilidades no sistema operacional e nos aplicativos. É aí que o Malwarebytes Anti-Exploit Premium (US $ 24, 95) entra. Ele foi projetado especificamente para detectar e repelir ataques de exploração, e não é necessário conhecimento prévio da exploração em questão.
Como não há banco de dados de assinaturas, o produto é bem pequeno, apenas 3 MB. Também não há necessidade de atualizações regulares. Uma edição gratuita, chamada Malwarebytes Anti-Exploit Free, injeta sua DLL protetora em navegadores populares (Chrome, Firefox, Internet Explorer e Opera) e Java. A edição Premium, revisada aqui, estende essa proteção aos aplicativos do Microsoft Office e aos populares leitores de PDF e players de mídia. Com a edição Premium, você também pode adicionar escudos personalizados para outros programas.
Como funciona
De acordo com a documentação, o Malwarebytes Anti-Exploit Premium "agrupa aplicativos protegidos em três camadas defensivas". A primeira camada desse sistema de proteção com patente pendente observa tentativas de ignorar os recursos de segurança do SO, incluindo Prevenção de Execução de Dados (DEP) e Randomização de Layout de Espaço de Endereço (ASLR). A camada dois fica de olho na memória, especialmente em qualquer tentativa de executar o código de exploração da memória. A terceira camada bloqueia ataques ao próprio aplicativo protegido, incluindo "escapes de sandbox e desvios de mitigação de memória".
Tudo isso parece bom. Seria muito difícil para qualquer invasor explorar um programa vulnerável sem atingir um desses fios de trip. O único problema é que é muito difícil ver essa proteção em ação.
Difícil de testar
A maioria dos produtos antivírus, suítes e firewall que incluem proteção contra exploração o manipula da mesma maneira que faz a verificação antivírus. Para cada exploração conhecida, eles geram uma assinatura comportamental que pode detectar a exploração no nível da rede. Quando testei o Norton AntiVirus (2014) usando explorações criadas pela ferramenta de penetração CORE Impact, ele bloqueou todas e relatou o número preciso de CVE (Vulnerabilidades e Explosões Comuns) para muitas delas.
O McAfee AntiVirus Plus 2014 capturou cerca de 30% dos ataques, mas identificou apenas um punhado pelo nome do CVE. O Trend Micro Titanium Antivirus + 2014 capturou um pouco mais da metade, identificando-a como "páginas perigosas".
O fato é que a maioria dessas explorações provavelmente não poderia ter causado nenhum dano, mesmo que não fosse bloqueada pelo Norton. Normalmente, uma exploração funciona contra uma versão muito específica de um programa específico, contando com uma ampla distribuição para garantir que ele atinja sistemas vulneráveis suficientes. Gosto do fato de o Norton me informar que algum site tentou uma exploração; Eu não vou lá novamente! Mas na maioria das vezes a exploração detectada não poderia realmente causar nenhum dano.
A proteção do Malwarebytes é injetada em cada aplicativo protegido. A menos que um ataque de exploração real atinja a versão precisa desse aplicativo, ele não faz nada. Uma ferramenta de teste fornecida pela empresa verificou que o software funciona e uma ferramenta de análise que usei mostrou que a DLL do Malwarebytes havia sido injetada em todos os processos protegidos. Mas onde está minha verificação prática de que ele bloqueará uma exploração do mundo real?
Teste encomendado
Por ser tão difícil testar esse produto, a Malwarebytes contratou os serviços de um blogueiro de segurança conhecido apenas como Kafeine. Kafeine atacou um sistema de teste usando 11 kits de exploração difundidos: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx e Sweet Orange. Em cada caso, ele tentou várias variações no ataque básico.
Embora esse teste tenha revelado um bug no produto, uma vez que o bug foi corrigido, ele fez uma varredura limpa. Em todos os casos, ele detectou e impediu o ataque de exploração. Você pode ver o relatório completo no blog da Kafeine, Malware não precisa de café.
