סמנכ"ל Symantec הצהיר לאחרונה כי אנטי-וירוס מת. רבים לא יצליחו לחלוק על כך, אך נכון כי כלי אנטי-וירוס מסורתי אינו יכול להגן מפני ניצולים של אפס יום התוקפים פגיעויות במערכת ההפעלה והיישומים. כאן נכנס Malwarebytes Anti-Exploit Premium (24.95 $). הוא תוכנן במיוחד לגילוי התקפות של ניצול ודחייתו, ואין לו צורך בידע קודם על המנצל המדובר.
מכיוון שאין מסד נתונים חתימה, המוצר הוא די קטן, רק 3MB. אין צורך גם בעדכונים שוטפים. מהדורה בחינם, הנקראת Malwarebytes Anti-Exploit Free, מזריקה את ה- DLL המגן שלה לדפדפנים פופולריים (Chrome, Firefox, Internet Explorer ואופרה) ו- Java. מהדורת הפרימיום, הנסקרת כאן, מרחיבה הגנה זו ליישומי Microsoft Office ולקוראי PDF פופולריים ולנגני מדיה. עם מהדורת הפרימיום תוכלו להוסיף מגנים מותאמים אישית גם לתוכניות אחרות.
איך זה עובד
על פי התיעוד, Malwarebytes Anti-Exploit Premium "עוטף יישומים מוגנים בשלוש שכבות הגנה." הרובד הראשון של מערכת הגנה ממתינה לפטנט זו עוקב אחר ניסיונות לעקוף תכונות אבטחה של מערכת ההפעלה, כולל מניעת ביצוע נתונים (DEP) ו- Randomization Layout Layout Address (ASLR). שכבה שנייה עוקבת אחר הזיכרון, במיוחד בכל ניסיון לבצע קוד ניצול מהזיכרון. השכבה השלישית חוסמת התקפות על היישום המוגן עצמו, כולל "בורח ארגז חול ומעקף זיכרון."
הכל נשמע טוב. זה יהיה די קשה לכל תוקף לנצל תוכנית פגיעה מבלי לפגוע באחד מחוטי התיל הללו. הבעיה היחידה היא שקשה מאוד לראות את ההגנה הזו בפעולה.
קשה לבחון
מרבית מוצרי האנטי-וירוס, הסוויטה וחומת האש הכוללים הגנה על ניצול מטפלים בזה באופן שבו הם מבצעים סריקת אנטי-וירוס. עבור כל ניצול ידוע הם מייצרים חתימה התנהגותית שיכולה לאתר את המנצל ברמת הרשת. כשבדקתי את Norton AntiVirus (2014) תוך שימוש במנצלות שנוצרו על ידי כלי החדירה של CORE Impact, הוא חסם כל אחת מהן ודיווח על מספר ה- CVE המדויק (Common Vulnerabilities and Explosures) עבור רבים מהם.
McAfee AntiVirus Plus 2014 תפס כ -30 אחוז מההתקפות אך זיהה רק קומץ בשם CVE. Trend Micro Titanium Antivirus + 2014 תפס קצת יותר מחצי והזהה את רובו כ"עמודים מסוכנים ".
העניין הוא שרוב אותם מעלולים כנראה לא היו יכולים לגרום נזק, גם אם לא נבלם על ידי נורטון. בדרך כלל ניצול פועל נגד גרסה ספציפית מאוד של תוכנית מסוימת, וסומך על תפוצה רחבה כדי להבטיח שהיא פוגעת במערכות פגיעות מספיק. אני אוהב את העובדה שנורטון מאפשר לי לדעת איזה אתר ניסה לנצל; אני לא אלך לשם שוב! אבל רוב הזמן הניצול שזוהה לא יכול היה למעשה לגרום נזק.
ההגנה של Malwarebytes מוזרקת לכל יישום מוגן. אלא אם כן מתקפת ניצול בפועל מכוונת לגרסה המדויקת של אותו יישום, היא אינה עושה דבר. כלי בדיקה שסופק על ידי החברה אימת שהתוכנה עובדת, וכלי ניתוח בו השתמשתי הראה כי ה- DLL של Malwarebytes הוחדר לכל התהליכים המוגנים. אבל איפה האימות המפרסם שלי שהוא יחסום ניצול בעולם האמיתי?
מבחן שהוזמן
מכיוון שקשה כל כך לבדוק את המוצר הזה, Malwarebytes העסיקה את שירותיו של בלוגר אבטחה המכונה Kafeine בלבד. קייפין תקפה מערכת בדיקה באמצעות 11 ערכות ניצול נפוצות: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nuclear Pack, Styx, and Sweet Orange. בכל מקרה, הוא ניסה כמה וריאציות על ההתקפה הבסיסית.
בעוד שבדיקה זו אכן חשפה באג אחד במוצר, ברגע שאותו תוקן באג הוא גרם לטאטא נקי. בכל מקרה היא גילתה ומנעה את מתקפת המנוצלים. אתה יכול להציג את הדו"ח המלא בבלוג של קייפין. תוכנות זדוניות אינן צריכות קפה.
