视频: ä¸è¦å²ç¬æåçæ§ (十月 2024)
赛门铁克副总裁最近宣布防病毒软件已死。 许多人会不同意,但是,传统的防病毒实用程序确实无法抵御零时差攻击,这种零时差攻击攻击了操作系统和应用程序中的漏洞。 这就是Malwarebytes Anti-Exploit Premium(24.95美元)的来源。它专门用于检测和排斥漏洞攻击,并且无需事先了解相关漏洞。
因为没有签名数据库,所以产品很小,只有3MB。 也不需要定期更新。 一个名为Malwarebytes Anti-Exploit Free的免费版本将其保护性DLL注入流行的浏览器(Chrome,Firefox,Internet Explorer和Opera)和Java。 在此进行了评论的高级版将这种保护扩展到了Microsoft Office应用程序以及流行的PDF阅读器和媒体播放器。 使用高级版,您还可以为其他程序添加自定义防护。
这个怎么运作
根据文档,Malwarebytes Anti-Exploit Premium将保护的应用程序分为三个防御层。 这个正在申请专利的保护系统的第一层监视试图绕过OS安全功能的尝试,包括数据执行保护(DEP)和地址空间布局随机化(ASLR)。 第二层密切注意内存,特别是任何尝试从内存执行漏洞利用代码的尝试。 第三层阻止对受保护应用程序本身的攻击,包括“沙盒转义和内存缓解绕过”。
这听起来不错。 对于任何攻击者而言,要在不触及这些绊网之一的情况下利用脆弱的程序将非常困难。 唯一的问题是,很难看到这种保护的实际效果。
难以测试
大多数包含漏洞利用防护的防病毒,套件和防火墙产品都以与防病毒扫描相同的方式来处理它。 对于每个已知的利用,它们都会生成一个行为签名,该行为签名可以在网络级别检测到该利用。 当我使用CORE Impact渗透工具创建的漏洞测试Norton AntiVirus(2014)时,它阻止了每个漏洞,并报告了许多漏洞的精确CVE(常见漏洞和漏洞)数量。
McAfee AntiVirus Plus 2014捕获了大约30%的攻击,但仅通过CVE名称识别出了少数。 趋势科技Titanium Antivirus + 2014捕获了一半以上,大部分被识别为“危险页面”。
问题是,即使没有被诺顿阻止,这些漏洞中的大多数也可能不会造成任何损害。 通常,漏洞利用程序针对特定程序的非常特定的版本,依靠广泛的分布来确保它能够击中足够多的易受攻击的系统。 我喜欢诺顿让我知道某个站点试图进行利用的事实。 我不会再去那里了! 但是大多数时候,检测到的漏洞实际上并没有造成任何损害。
Malwarebytes的保护被注入到每个受保护的应用程序中。 除非实际的利用攻击针对该应用程序的精确版本,否则它什么也不做。 该公司提供的测试工具验证了该软件是否正常运行,而我使用的分析工具表明,该恶意软件DLL已注入所有受保护的进程中。 但是,我动手验证了它会阻止现实世界的利用呢?
委托测试
由于很难测试该产品,因此Malwarebytes聘用了一个仅称为Kafeine的安全博客作者的服务。 Kafeine使用11种广泛使用的攻击套件攻击了一个测试系统:Angler EK,Fiesta,FlashPack,Gondad,GrandSoft,HiMan EK,Infinity,Magnitude,Nuclear Pack,Styx和Sweet Orange。 在每种情况下,他都针对基本攻击尝试了几种变体。
尽管此测试确实揭示了产品中的一个错误,但一旦修复了该错误,便进行了一次彻底的扫描。 在每种情况下,它都能检测并阻止利用攻击。 您可以在Kafeine的博客上查看完整的报告,恶意软件不需要咖啡。
