Cтарший вице-президент Symantec Брайан Дай в мае выступил с сенсационным заявлением, что антивирусы умерли. Многие из Вас не согласятся с этим утверждением. Однако, традиционные антивирусы действительно не могут защитить ваш цифровой мир от эксплойтов нулевого дня, которые нацелены на уязвимости в системе и приложениях. Для решения данной проблемы Malwarebytes предлагает использовать Anti-Exploit Premium (стоимость лицензии – 24,95 долларов). Продукт специально разработан для обнаружения и отражения атак на базе эксплойтов и для своей работы не требует никаких специальных знаний.
Программа не использует антивирусные сигнатуры, поэтому ее размер очень мал – всего 3 мегабайта. Кроме того, продукт не нуждается в постоянных обновлениях. Бесплатная версия Malwarebytes Anti-Exploit Free внедряет свою защитную библиотеку DLL в популярные браузеры (Chrome, Firefox, Internet Explorer и Opera), а также в среду Java. Платная Premium версия расширяют эту защиту на документы Microsoft Office, программы, просмотрщики PDF файлов и медиаплееры. В Malwarebytes Anti-Exploit Premium пользователи могут самостоятельно добавлять защиту также и для других программ.
Как это работает?
Согласно документации Malwarebytes Anti-Exploit Premium добавляет к приложениям три оборонительных слоя. Первый слой этой запатентованной технологии защиты следит за попытками обойти системные защитные функции, включая предотвращение выполнения данных (Data Execution Prevention, DEP) и технологию изменения адресов процессов важных структур (Address Space Layout Randomization, ASLR). Второй слой выполняет мониторинг памяти, в частности попыток выполнения кода эксплойта в памяти. Третий слой блокирует атаки, нацеленные непосредственно на защищаемые приложения.
Все это звучит очень хорошо. Действительно, очень трудно исполнить эксплойт, который останется незамеченным всеми тремя уровнями защиты. Единственная проблема состоит в том, что очень трудно реально оценить эффективность данной защиты в действии.
Сложности при тестировании
Большинство антивирусов, комплексных антивирусных продуктов и фаерволов, которые содержат защиту от эксплойтов блокируют их в процессе антивирусного сканирования. Для каждого известного эксплойта они генерирует поведенческую сигнатуру, которая может обнаружить угрозу еще на сетевом уровне. При испытании Norton AntiVirus (2014) с использованием коллекции эксплойтов, созданного набором Core IMPACT, продукт успешно заблокировал все угрозы и присвоил правильные идентификаторы CVE (Common Vulnerabilities and Explosures) для большинства из них.
McAfee AntiVirus Plus 2014 обнаружил около 30 процентов атак, но только несколько из них идентифицировал по имени CVE. Trend Micro Titanium Antivirus+ 2014 заблокировал больше половины эксплойтов, назвав их «опасными страницами».
Примечательно, что большинство тестовых эксплойтов вряд ли бы принесли какой-либо вред, даже при игнорировании со стороны Norton. Обычно эксплойт работает против конкретной версии отдельной программы. Киберпреступники рассчитывают на широкую распространенность и высокую вероятность неустраненной уязвимости. Конечно, пользователи не будут посещать сайт, который содержит эксплойты по версии Norton. Тем не менее, большинство эксплойтов не смогут принести какого-либо реального ущерба.
Защитные механизмы Malwarebytes внедряются в каждую защищаемую программу. Пока конкретная эксплойт-атака не нацелена на точную версию приложения, она ничего не сможет сделать. Диагностические утилиты подтвердили наличие библиотек Malwarebytes DLL во всех защищаемых процессах.
Тест заказывали?
Данный продукт очень сложно протестировать, поэтому Malwarebytes воспользовалась услугами известного блогера Kafeine. Kafeine атаковал тестовую систему при помощи 11 широкораспространенных эксплойтов: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx и Sweet Orange. В каждом случае он использовал несколько вариантов атак.
Первоначально испытание выявило одну ошибку в продукте. Ошибка была исправлена очень оперативно, в результате Malwarebytes Anti-Exploit показал стопроцентный результат. Программа обнаружила и заблокировала абсолютно все атаки. Подробный отчет Вы сможете найти в блоге Kafeine - Malware don't need Coffee.
Тестирование в реальных условиях
При тестировании способности антивирусов блокировать вредоносные загрузки использовалась коллекция вредоносных ссылок, собранная лабораторией MRG-Effitas. Для этого испытания использовались только те ссылки, которые приводили к загрузке исполняемого файла. Для тестирования Malwarebytes, наоборот, выбирались только те ссылки, которые не указывают на файлы.
Результат разочаровал. Malwarebytes вообще никак не реагировал на ссылки, а некоторые ссылки уже были неработоспособны.
Света Миладинова (Sveta Miladinova), коммерческий директор и основатель MRG-Effitas не была удивлена. Она отметила, что «тестировать защиту от эксплойтов в реальных условиях очень сложно и затратно по времени. Вам нужно учитывать большое количество факторов для того, чтобы эксплойты работали. Для испытания требуются конкретные версии ОС и программ, а также широкий спектр IP адресов из разных стран».
Технический директор MRG-Effitas Золтан Балаз (Zoltan Balasz) согласился: «Тест на эксплойты является одним из самых сложных испытаний. Последний раз, когда мы проводили тест на эксплойты я написал скрипт, который посещал около 3 URL адресов в минуту, а я в это время следил за заражениями системы. Были дни, когда не попадался ни один рабочий эксплойт, а были удачные дни, когда я находил 10 эксплойтов».
Попытки собственного тестирования
Итак, если тестировать эксплойты в реальных условиях так сложно даже для экспертов по компьютерной безопасности, как же провести собственные испытания эффективности? Балаз записал более 30 эксплойтов, используя Fiddler Web Debugger. Он предоставил записанные сессии и снабдил инструкциями по воспроизведению их с помощью Fiddler.
При подготовке к испытанию пришлось откатить Internet Explorer 8 к оригинальной версии без патчей. Аналогичные операции пришлось проделать с Adobe Reader и Java. Кроме того, была установлена утилита SysInternals Process Monitor для мониторинга запуска нежелательного процесса эксплойтом.
После корректной настройки системы тестирование началось. Два эксплойта так и не заработали, возможно из-за недостаточного опыта работы с Fiddler. Но не один эксплойт не смог обойти Malwarebytes. Kafeine также проводил тест на блокировку взломанных сайтов, включая ресурс одного крупного ритейлера. Malwarebytes заблокировал их все.
Полезный уровень защиты
Malwarebytes Anti-Exploit Premium обеспечивает полезный, нетребовательный к ресурсам уровень защиты, который Вы не получите от других антивирусных продуктов. Идеальный рецепт – комбинация бесплатной версии и стационарной антивирусной программы. Malwarebytes Anti-Exploit Free защищает браузеры и Java, для большинства пользователей это достаточно. Если Вы всерьез обеспокоены целенаправленными атаками, которые часто внедрены в офисные документы и PDF файлы, Вам стоит приобрести платную версию.
Обзор Malwarebytes Anti-Exploit Premium: Оценка PC Magazine
Достоинства
- защищает браузеры, среду Java, офисные документы, программы для просмотра файлов PDF и медиаплееры от эксплойтов;
- для работы не требуются сигнатуры;
- небольшой размер и нетребовательность к системным ресурсам ПК;
- подтвержденная тестами эффективность.
Недостатки
- сложно наглядно оценить эффективность продукта.
Общая оценка
Malwarebytes Anti-Exploit Premium защищает систему от атак на базе эксплойтов, в том числе от новейших угроз нулевого дня, которые не встречались ранее. Обязательно добавьте данный уровень защиты к вашей коллекции для поддержания полной безопасности.
Последние обзоры и тесты
• Лучший антивирус 2024: Тестирование антивирусов для Windows 11 на максимальных настройках защиты
• AV-Test 2024: Лучшие антивирусы для защиты от шифровальщиков и инфостилеров
• AV-Comparatives 2024: Лучшие антивирусы для защиты от целевых атак
• Антивирусы с минимальным влиянием на производительность Windows ПК – AV-Comparatives 2024
• AV-Test 2024: Тестирование 31 антивируса для Windows. Как антивирусы справляются с реальными атаками
• AV-Test 2024: Лучшие антивирусы для Windows 11 и Windows 10