Malwarebytes مكافحة استغلال قسط الاستعراض والتقييم

أعلن VP Symantec مؤخراً أن مكافحة الفيروسات قد ماتت. قد لا يوافق الكثيرون ، ولكن صحيح أن أداة مكافحة الفيروسات التقليدية لا يمكنها الحماية من استغلالات اليوم صفر التي تهاجم نقاط الضعف في نظام التشغيل والتطبيقات. هذا هو المكان الذي يأتي به Malwarebytes Anti-Exploit Premium (24.95 دولارًا). إنه مصمم خصيصًا للكشف عن الهجمات واستبعادها ، ولا يحتاج إلى معرفة مسبقة بالاستغلال المذكور.

نظرًا لعدم وجود قاعدة بيانات للتوقيع ، فإن المنتج صغير جدًا ، فقط 3 ميغابايت. ليس هناك حاجة أيضًا إلى تحديثات منتظمة. تقوم النسخة المجانية ، والتي يطلق عليها Malwarebytes Anti-Exploit Free ، بضخ DLL الوقائي الخاص بها في المتصفحات الشائعة (Chrome و Firefox و Internet Explorer و Opera) و Java. الإصدار Premium ، الذي تمت مراجعته هنا ، يمتد هذه الحماية ليشمل تطبيقات Microsoft Office وقارئات PDF الشعبية ومشغلات الوسائط. مع الإصدار Premium ، يمكنك إضافة دروع مخصصة للبرامج الأخرى أيضًا.

كيف تعمل

وفقًا للوثائق ، يلف Malwarebytes Anti-Exploit Premium "التطبيقات المحمية في ثلاث طبقات دفاعية." تراقب الطبقة الأولى من نظام الحماية هذا الذي ينتظر براءة الاختراع محاولات تجاوز ميزات أمان نظام التشغيل ، بما في ذلك منع تنفيذ البيانات (DEP) والعشوائية تخطيط مساحة العنوان (ASLR). تراقب الطبقة الثانية الذاكرة ، لا سيما أي محاولة لتنفيذ تعليمات برمجية استغلال من الذاكرة. تقوم الطبقة الثالثة بحظر الهجمات على التطبيق المحمي نفسه ، بما في ذلك "هروب صندوق الحماية وتجاوزات تخفيف الذاكرة."

كل هذا يبدو جيدا. سيكون من الصعب جدًا على أي مهاجم استغلال برنامج ضعيف دون إصابة أحد هذه الأسلاك. المشكلة الوحيدة هي أنه من الصعب للغاية رؤية هذه الحماية في الواقع.

صعبة للاختبار

معظم منتجات الحماية من الفيروسات والجناح وجدار الحماية التي تتضمن حماية استغلال تتعامل معها كثيرًا بالطريقة التي تقوم بها بمسح الفيروسات. لكل استغلال معروف ، يُنشئون توقيعًا سلوكيًا يمكنه اكتشاف الاستغلال على مستوى الشبكة. عندما اختبرت Norton AntiVirus (2014) باستخدام مآثر تم إنشاؤها بواسطة أداة اختراق التأثير CORE ، قامت بحظر كل واحدة وأبلغت عن رقم CVE الدقيق (نقاط الضعف الشائعة والانفجارات) لكثير منهم.

استحوذ McAfee AntiVirus Plus 2014 على حوالي 30 بالمائة من الهجمات ولكنه لم يحدد سوى حفنة باسم CVE. اشتعلت Trend Micro Titanium Antivirus + 2014 أكثر من النصف بقليل ، ووصفت معظمها بأنها "صفحات خطيرة".

الشيء هو أن معظم هذه الاستغلالات ربما لم تكن لتتسبب في أي ضرر حتى لو لم يتم حظرها بواسطة Norton. عادةً ما يعمل الاستغلال ضد إصدار محدد للغاية من برنامج معين ، معتمداً على التوزيع الواسع النطاق لضمان وصوله إلى أنظمة ضعيفة كافية. يعجبني حقيقة أن Norton يتيح لي معرفة أن بعض المواقع قد حاولت استغلالها ؛ لن اذهب هناك مرة أخرى! لكن في معظم الأوقات لم يكن للاستغلال المكتشف أي ضرر فعلي.

يتم حقن الحماية من البرامج الضارة في كل تطبيق محمي. ما لم يستهدف هجوم استغلال فعلي الإصدار الدقيق من هذا التطبيق ، فهو لا يفعل شيئًا على الإطلاق. لقد أثبتت أداة الاختبار التي قدمتها الشركة أن البرنامج يعمل ، وأظهرت أداة التحليل التي استخدمتها أن Malwarebytes DLL تم حقنه في جميع العمليات المحمية. ولكن أين هو عملي التحقق من أنه سيتم حظر استغلال الواقع الحقيقي؟

اختبار التكليف

نظرًا لأنه من الصعب اختبار هذا المنتج ، فإن Malwarebytes استعانت بخدمات مدون الأمان المعروف باسم Kafeine فقط. هاجم Kafeine نظام اختبار باستخدام 11 مجموعة أدوات استغلال واسعة الانتشار: Angler EK و Fiesta و FlashPack و Gondad و GrandSoft و HiMan EK و Infinity و Magnitude و Nuclear Pack و Styx و Sweet Orange. في كل حالة ، حاول العديد من الاختلافات في الهجوم الأساسي.

بينما كشف هذا الاختبار عن وجود خطأ واحد في المنتج ، إلا أنه بمجرد إصلاح هذا الخطأ ، كان يتم إجراء عملية مسح نظيفة. في كل حالة ، اكتشفت ومنعت استغلال الهجوم. يمكنك عرض التقرير الكامل على مدونة Kafeine ، لا تحتاج البرامج الضارة إلى القهوة.