Malwarebytes Anti-Exploit — решение для обнаружения и удаления эксплойтов, использующих 0day-уязвимости. Программа защищает от известных и неизвестных эксплойтов без необходимости настройки и обновления сигнатур.

Давно всем известно, что наиболее опасные угрозы, которые называют угрозами «нулевого дня» большинством антивирусов не обнаруживаются и продолжают выполнять свои задачи.

Данное программное обеспечение использует инновационные запатентованные технологии ZeroVulnerabilityLabs , которые предотвращают проникновение различных эксплойтов на ваш компьютер.

Malwarebytes Anti-Exploit содержит экраны для защиты популярных браузеров, таких как IE, Firefox, Chrome, Opera. Кроме защиты браузеров программа также следит за компонентами для браузеров — Java, Adobe Reader, Flash, Shockwave. Данные браузерные дополнения могут быть еще более уязвимыми и нести особую опасность.

К эксплойтам, которые блокируются программой без необходимости обновления сигнатур относятся такие как Blackhole, Sakura, Phoenix, Incognito.

Программа не требует никаких специальных знаний и не требует настроек. Относится к такому типу программ как установил и забыл. Остальное время она работает незаметно для пользователя.

Утилита входит в комплект мощной программы — Malwarebytes Premium , поэтому загрузить можно только бета версию программы на форуме.

Exploit Guard- новая функция безопасности Защитника Windows, которая была впервые представлена Microsoft в Windows 10 Fall Creators Update .

Защита от эксплойтов представляет собой интегрированную версию инструмента Microsoft EMET (Enhanced Mitigation Experience Toolkit), поддержка которого завершится в середине 2018 года.

Защита от использования уязвимостей включена по умолчанию, если активен Защитник Windows. Эта функция является единственной функцией Exploit Guard, которая не требует включения защиты в режиме реального времени.

Данную функцию можно настроить в Центре безопасности Защитника Windows , с помощью групповых политик или команд PowerShell.

Центр безопасности Защитника Windows

Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.

1. Используйте сочетание клавиша Windows + I для запуска приложения “Параметры”.
2. Перейдите в “Обновление и безопасность”, затем выберите пункт “Защитник Windows”.
3. Нажмите кнопку Открыть Центр безопасности Защитника Windows .
4. Выберите панель “Управление приложениями и браузером”.
5. На открывшейся странице выберите ссылку Параметры защиту от эксплойтов .

Все настройки разделены на две категории: Системные параметры и Параметры программ .

На вкладке Системные параметры выводится список всех доступных механизмов защиту с их статусом. В Windows 10 Fall Creators Update доступны следующие защиты:

• Защита потока управления (CFG) - вкл. по умолчанию.
• Предотвращение выполнения данных (DEP) - вкл. по умолчанию.
• Принудительное случайное распределение для образов (обязательный ASLR) - выкл. по умолчанию.
• Случайное распределение выделения памяти (низкий ASLR) - вкл. по умолчанию.
• Проверить цепочки исключений (SEHOP) - вкл. по умолчанию.
• Проверка целостности кучи - вкл. по умолчанию.

Параметры программ дают вам возможность настраивать защиту для отдельных программ и приложений. Данная опция работает аналогично функции исключений в Microsoft EMET для определенных программ. Данная возможность будет особо полезной, если программа ошибочно работает, когда включены определенные защитные модули.

По умолчанию несколько программ добавлены в исключения, в частности svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows. Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку “Редактировать”.

Вы можете установить отдельный статус всех поддерживаемых защит для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного параметра по умолчанию и принудительного его включения или отключения, существует также возможность установить параметр только для аудита. В последнем случае будет происходить запись событий, которые происходили, если бы статус защиты был включен, в системный журнал Windows.

В списке “Параметры программ” перечислены дополнительные параметры защиты, которые невозможно настроить под системными параметрами, поскольку они настроены для работы только на уровне приложения.

Среди них:

• Защита от произвольного кода (ACG)
• Блокировка образов низкой целостности
• Блокировка удаленных образов
• Блокировка ненадежных шрифтов
• Защита целостности кода
• Отключение точек расширения
• Отключение вызовов системы Win32k
• Не разрешать дочерние процессы
• Фильтрация адресов экспорта (EAF)
• Фильтрация адресов импорта (IAF)
• Имитация выполнения (SimExec)
• Проверка вызовов API (CallerCheck)
• Проверка использования дескриптора
• Проверка целостности зависимостей образа
• Проверка целостности стека (StackPivot)

PowerShell

Вы можете использовать командную строку PowerShell для установки, удаления или изменения списка мер. Доступны следующие команды:

Чтобы просмотреть все защитные меры указанного процесса: Get-ProcessMitigation -Name processName.exe

Чтобы установить защитную меру: Set-ProcessMitigation - - ,

Область действия: -System или -Name .

Действие: либо -Enable или -Disable .

Мера: название защитной меры. Обратитесь к таблице на сайте Microsoft, чтобы посмотреть список доступных мер. Вы можете отделить несколько мер запятой.

• Set-Processmitigation -System -Enable DEP
• Set-Processmitigation -Name test.exe -Remove -Disable DEP
• Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Импорт и экспорт конфигураций

Конфигурации можно импортировать и экспортировать. Данные операции можно сделать на странице “Параметров защиты эксплойтов” в Центре безопасности Защитника Windows, а также с помощью PowerShell или редактора групповых политик.

Кроме того, конфигурации EMET можно преобразовать для последующего импорта.

Использование настроек защиты от эксплойтов

Вы можете экспортировать конфигурации в приложении “Центр безопасности Защитника Windows”, но не импортировать их. Экспорт добавляет все меры уровня системы и уровня приложения.

Использование PowerShell для экспорта файла конфигурации

1. Запустите команду: Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Использование PowerShell для импорта файла конфигурации

1. Откройте Powershell с правами администратора устройства.
2. Запустите команду: Set-ProcessMitigation -PolicyFilePath filename.xml

Использование групповых политик для установки файла конфигурации

Вы можете установить файлы конфигураций с помощью редактора групповых политик:

1. Нажмите клавишу Windows , введите gpedit.msc и выберите объект, предлагаемый службой поиска Windows.
2. Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Exploit Guard в Защитнике Windows > Защита от эксплойтов .
3. Выберите политику “Используйте общий набор параметров защиты от эксплойтов”.
4. Выберите опцию “Включено”.
5. Добавьте путь и имя файла конфигурации XML в поле “Параметры”.

Преобразование файла EMET

1. Откройте Powershell с правами администратора устройства.
2. Запустите команду: ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Измените emetFile.xml на путь и расположение файла конфигурации EMET.

Измените путь и filename.xml, указав требуемое местоположение и название файла.

Нашли опечатку? Выделите и нажмите Ctrl + Enter

На стадии разработки во все программы и сети встраиваются механизмы защиты от хакеров по типу замков, предупреждающих несанкционированные посягновения извне. Уязвимость же похожа на открытое окно, пробраться через которое не составит большого труда для злоумышленника. В случае с компьютером или сетью злоумышленники могут установить вредоносное ПО, воспользовавшись уязвимостью, с целью получить контроль или инфицировать систему в своих корыстных целях с соответствующими последствиями. Чаше всего все это происходит без ведома пользователя.

Как возникают эксплойты?

Эксплойты вызываются ошибками в процессе разработки программного обеспечения, в результате которых в системе защиты программ оказываются уязвимости, которые успешно используются киберпреступниками для получения неограниченного доступа к самой программе, а через нее дальше - ко всему компьютеру. Эксплойты классифицируются в соответствии с типом уязвимости, которая используется хакером: нулевого дня, DoS, спуфинг или XXS. Разумеется, разработчики программ в скором времени выпустят обновления безопасности с целью устранения найденных дефектов, однако до этого момента программа является по-прежнему уязвимой для злоумышленников.

Как распознать эксплойт?

Так как эксплойты используют бреши в механизмах безопасности программ, у рядового пользователя практически нет шансов определить их наличие. Именно поэтому чрезвычайно важно поддерживать установленные программы обновленными, в особенности своевременно устанавливать обновления безопасности, выпускаемые разработчиками программ. В случае, если разработчик ПО выпустит обновление безопасности для устранения известной уязвимости в своем ПО, но пользователь не установит его, то, к сожалению, программа не получит необходимые самые последние вирусные определения.

Как устранить эксплойт?

Ввиду того, что эксплойты являются последствием совершенных недочетов, их устранение входит в прямые обязанности разработчиков, поэтому именно авторы должны будут подготовить и разослать исправление ошибок. Тем не менее, обязанность поддерживать установленные программы обновленными и своевременно устанавливать пакеты обновлений, чтобы не дать хакерам шансов воспользоваться уязвимостями, лежит полностью на пользователе программы. Одним из возможных способов не пропустить самые свежие обновления - использовать менеджер приложений, который позаботится о том, чтобы все установленные программы были обновлены, или - что еще лучше - воспользоваться инструментом автоматического поиска и установки обновлений.

Как пресечь попытки хакеров воспользоваться уязвимостями сторонних программ

• Убедитесь, что вы установили самые свежие обновления безопасности и патчи для всех программ
• Чтобы быть в безопасности онлайн и оставаться в курсе событий, устанавливайте все обновления сразу после их выпуска
• Установите и используйте антивирус класса премиум, который способен автоматически обновлять установленные программы

Использование традиционных сигнатурных антивирусов по-прежнему актуально. Старые вирусы, трояны и другие виды вредоносных программ никуда не делись. Тем не менее, только антивируса недостаточно для защиты от новейших эксплойтов, так называемых угроз «нулевого дня». Эти зловреды не встречались ранее, и для них не существует сигнатур. является бесплатной версией Malwarebytes Anti-Exploit Premium. Инструмент противостоит эксплойтам и для работы не использует какие-либо сигнатуры.

Защита браузера

Беcплатная версия внедряет защиту в Chrome , Firefox , Internet Explorer и Opera . Anti-Exploit защищает не только сам браузер, но и плагины и дополнения, а также среду Java. Купив версию Premium за 24,95 долларов в год, Вы получите также защиту документов Microsoft Office, программ для просмотра PDF-файлов и медиаплееров.

В платной версии пользователь может включать и отключать защиту для отдельных приложений, а также создавать пользовательские щиты. Настройки бесплатной версии зафиксированы, защита распространяется только на 5 программ, не больше и не меньше.

Все работает!

Каждый эксплойт нацелен на конкретную версию программы-жертвы, а с другими версиями он работать не будет. Данный факт предъявляет повышенные требования к условиям тестирования. Malwarebytes не будет реагировать на эксплойт, если у него не будет потенциала нанести вред. Malwarebytes участвовала в испытаниях известного блогера Kafeine. В своих тестах он использовал 11 наиболее распространенных эксплойтов, и программа успешно заблокировала их все.

Для проведения своих собственных независимых тестов эксперт по компьютерной безопасности Нейл Дж. Рубенкинг обратился в лабораторию MRG-Effitas. Технический директор организации любезно предоставил коллекцию эксплойтов, захваченных с помощью Fiddler Web Debugger. Тестовая система была тщательно настроена, были установлены корректные версии программ, после чего стали фиксироваться атаки. Продукт Malwarebytes успешно заблокировал абсолютно все угрозы.

Kafeine предоставил список взломанных эксплойтами сайтов, включая ресурс крупного ритейлера. Пару сайтов из списка были уже исправлены, а вот остальные в полном объеме были заблокированы Malwarebytes.

Стоит попробовать

Malwarebytes Anti-Exploit Free не забивает сетевой канал передачи данных, скачивая объемные обновления и на диске занимает всего 3 мегабайта. Программа является отличным дополнением к вашей коллекции утилит дополнительной защиты. Вы даже не заметите активность программы, пока не будет заблокирован эксплойт. Для пользователей, которые обеспокоены только веб-атаками, предлагаемая защита браузера может быть достаточной. Если Вам также нужна защита документов MS Office и PDF, а также защита от прямых таргетированных атак, внимательно присмотритесь к Malwarebytes Anti-Exploit Premium.

Обзор Malwarebytes Anti-Exploit Free:

Достоинства

• защищает браузеры и среду Java от эксплойтов;
• для работы не требуются сигнатуры;
• небольшая и нетребовательная к ресурсам программа;
• в версии Premium добавлена защита документов Microsoft Office, программ для просмотра PDF-файлов и медиаплееров;
• эффективность продукта доказана тестами;
• полностью бесплатный продукт.

Недостатки

• сложно оценить эффективность.

Общая оценка

Malwarebytes Anti-Exploit Free защищает ваши браузеры против атак с использованием эксплойтов, даже в случае новейших угроз нулевого дня. Попробуйте сами этот полностью бесплатный инструмент дополнительной безопасности.

Хотя эксплойты не принято считать «полноценными» вирусами, опасность, которую они могут представлять для системы, очень велика. Задача эксплойта не столько навредить непосредственно, сколько отыскать в системе или программном обеспечении уязвимость, лазейку, а затем, получив наивысшие привилегии, подгрузить в систему шпионское ПО, трояны, шифровальщики и другие опасные вредоносные программы.

Чтобы антивирус мог успешно идентифицировать эксплойты, он должен обладать качественным модулем поведенческого анализа и это единственно эффективный способ их выявления. Есть также специальные утилиты, позволяющие успешно бороться с этим типом угроз, например, Malwarebytes Anti-Exploit от известной компании Malwarebytes.

Основное предназначение Malwarebytes Anti-Exploit заключается в защите Windows от эксплойтов, использующих так называемые уязвимости нулевого дня. Программа применяет инновационные технологии ZeroVulnerabilityLabs, специально разработанные для предотвращения проникновение эксплойтов, не нуждаясь при этом в постоянном обновлении сигнатур и сложных настройках.

Malwarebytes Anti-Exploit включает в себя несколько основных компонентов защиты (экранов) для популярных приложений, чаще всего подвергающихся атаке эксплойтов. Сюда входят браузеры Chrome, Firefox, IE и Opera, браузерные дополнения разных типов, среда Java. В премиум-версии утилиты список дополняется программами для чтения PDF, мультимедийными плеерами, а также документами Microsoft Office. Кроме того, платная версия предусматривает большее количество пользовательских уровней защиты и возможность гибкого управления ими.

К плюсам программы можно отнести совместимость с другими антивирусными продуктами, нетребовательность к системным ресурсам, работа по принципу «установил и забыл». Кроме показа значка в трее, Malwarebytes Anti-Exploit ничем себя не проявляет за исключением тех случаев, когда в системе будет обнаружен и заблокирован эксплойт. Для защиты от веб-атак вполне будет достаточно бесплатной версии приложения, тем же пользователям, которые нуждаются в защите файлов MS Office и PDF, лучше сразу присмотреться к версии Malwarebytes Anti-Exploit Premium.