Защитите себя от новых вредоносных программ и атак с помощью Anti-Exploit

Благодаря атаке «драйв-бай» злоумышленник может вызвать установку вредоносного программного обеспечения на компьютер пользователя без явного запроса пользователя на удаление каких-либо файлов. Атаки Drive-by представляют собой серьезную угрозу, поскольку запуск вредоносного ПО может происходить при простом просмотре Сети с помощью обычного веб-браузера.

Наиболее подвержены этому виду атаки пользователи, которые не привыкли оперативно обновлять браузер и все используемые плагины.

Злоумышленники все чаще публикуют в Интернете страницы, на которых размещается «вредоносный» контент, способный использовать известные уязвимости в старых версиях браузеров, подключаемых модулей и программного обеспечения, установленного в системе.

Поэтому недостаточно постоянно обновлять браузер (Internet Explorer, Chrome, Firefox, Opera, Safari, …) до последней версии, устанавливая исправления и обновления, важно не забывать проверять используемые вами плагины. Для каждого плагина вам нужно убедиться, что вы всегда используете самую последнюю версию.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

. Среди наиболее целевых плагинов

Java, Flash Player, Adobe Reader и Apple Quicktime: используя устаревшую версию этих надстроек с веб-браузером, велика вероятность того, что рано или поздно во время серфинга в Сети вы можете столкнуться с неприятными проблемами.

В статье Безопасный просмотр и защита браузера: проверка, обновление и удаление плагинов мы предложили целый ряд советов по проверке используемых плагинов и отключению или удалению устаревших.

Установка обновлений для каждого программного обеспечения, присутствующего в системе, имеет принципиальное значение, особенно в случае приложений, которые используются для «общения» в сети или которые в любом случае интегрируют функции для отправки и получения данных в Интернете.

Однако иногда установки последних обновлений недостаточно. Фактически, наиболее опытные авторы вредоносных программ способны запускать даже атаки «нулевого дня».

Этим выражением обычно называют кибератаки, которые начинаются «в нулевой день», то есть с момента обнаружения бреши в безопасности конкретной программы. Этот тип атаки, если его хорошо изучить, может привести к многочисленным жертвам именно потому, что производитель уязвимого приложения, очевидно, еще не успел выпустить корректирующий патч.

Согласно тому, что просочилось несколько месяцев назад, некоторые уязвимости «нулевого дня» в пакете Java использовались для проведения целевых атак на системы некоторых известных компаний: Facebook, Twitter, Apple (а также некоторых американских газет).

В связи с этим мы предлагаем прочитать статью Facebook подтверждает: за атакой стоит пробел в Java и последующая атака также на Apple: палец снова указывает на Java.

Термин «эксплойт», с другой стороны, определяет тот конкретный код, который, используя неустраненную уязвимость в программном обеспечении (поскольку она не была устранена путем установки последних обновлений или потому, что она еще не была устранена производителем приложения), позволяет выполнять потенциально опасные операции без ведома пользователя, получать более высокие привилегии или провоцировать атаки типа «отказ в обслуживании» (DoS).

Таким образом, эксплойты, нацеленные на дыры «нулевого дня», являются наиболее опасными, поскольку они нацелены на дыры в безопасности, которые не могут быть немедленно исправлены пользователями (обычно путем установки исправлений).

Начиная с выпуска Windows XP Service Pack 2, Microsoft начала внедрять в операционную систему ряд инструментов, направленных на блокировку любых кодов эксплойтов в зародыше. В Windows Vista различные технологии защиты получили дальнейшее развитие и затем подтверждены в последующих версиях операционной системы.

DEP (предотвращение выполнения данных) и ASLR (рандомизация размещения адресного пространства) — это две технологии защиты, представленные корпорацией Майкрософт и позволяющие свести к минимуму риск выполнения вредоносного кода.

Цель состоит в том, чтобы не дать злоумышленнику воспользоваться наличием уязвимости в каком-либо программном компоненте, например, для загрузки вредоносного кода.

DEP предотвращает выполнение вредоносного кода из областей памяти, помеченных как области данных (атаки с переполнением буфера), в то время как ASLR гарантирует, что компоненты приложения или операционной системы не всегда могут быть загружены в одно и то же место, тем самым избегая атак, основанных на знании конкретные ячейки памяти, в которых происходит загрузка.

Технологии DEP и ASLR при правильном и одновременном использовании могут защитить систему от большинства атак с использованием эксплойтов. Злоумышленник может выполнить вредоносный код, если он сможет определить уязвимость в системе безопасности, влияющую на его DEP и ASLR (необычный сценарий).

Очень часто бывает так, что некоторые программы или DLL-библиотеки, которые они используют, не используют DEP и ASLR, тем самым давая сторону атакам. Одной из библиотек, которая не использует преимущества дополнительной защиты, предлагаемой DEP и ASLR, является, например, msvcr71.dll, файл, используемый Java 6, пакет, который до сих пор очень популярен на персональных компьютерах пользователей по всему миру.

На превентивном уровне действует EMET (Enhanced Mitigation Experience Toolkit), бесплатное программное обеспечение, разработанное Microsoft и недавно достигшее версии 4.0 (см. Вот EMET 4, для защиты старых приложений и предыдущую статью Блокируйте вредоносное ПО, включив функцию SEHOP в Windows). .

EMET — очень интересное программное обеспечение, которое позволяет защищать различные приложения в системе, обнаруживая те, которые не полагаются на технологии защиты, предлагаемые операционной системой.

Последняя версия EMET уже при запуске позволяет заставить основные приложения использовать функции безопасности Windows:

Как видите, при выборе параметра «Использовать рекомендуемые настройки» EMET также автоматически настраивает такие программы, как Adobe Acrobat, Adobe Reader и Java, чтобы они использовали DEP, ASLR и другие технологии защиты, предлагаемые операционной системой.

Нажав значок «Приложения» на панели инструментов EMET, можно проверить, какие установленные приложения используют или будут использовать функции безопасности Windows, как только они запустятся:

Malwarebytes, компания, которая разрабатывает и распространяет одноименное антивирусное ПО, недавно представила Anti-Exploit, программу, которая является результатом приобретения небольшой компании по разработке программного обеспечения ZeroVulnerabilityLabs.

Malwarebytes Anti-Exploit использует подход «задним числом», что означает, что программное обеспечение пытается перехватить код эксплойта до его запуска. Anti-Exploit, ранее известный как ZeroVulnerabilityLabs ExploitShield, постоянно отслеживает использование шелл-кода, кода, который представляет собой полезную нагрузку, являющуюся фундаментальной частью процедуры эксплуатации уязвимости в программном обеспечении.

В последние дни «в итальянской сети» были написаны реки слов об ExploitShield или, скорее, о Malwarebytes Anti-Exploit, который собирает свое наследие.

Имейте в виду, что Anti-Exploit по своей природе не может быть «всесторонним» программным обеспечением для обеспечения безопасности. Программа надежна, и приобретение компании Malwarebytes, лидера в области решений для распознавания и устранения угроз, является ярким тому подтверждением.

Anti-Exploit может быть принят с целью защиты слоев, не предусматривающих устранение или замену какого-либо элемента «кучи». Другими словами, антивирус/антивредоносное ПО не следует откладывать на второй план и необходимо полагаться на защитные функции операционной системы (в первую очередь DEP и ASLR), с которыми Anti-Exploit может идти рука об руку.

Такие программы, как Anti-Exploit, хотя и очень хороши, сами по себе не могут обеспечить полную защиту. Кроме того, хотя приложение обеспечивает превосходную защиту от большинства кодов эксплойтов, в некоторых случаях злоумышленник все же может выполнить вредоносный код.

Anti-Exploit, как уже говорилось, фактически действует апостериорно: если программа вмешивается при выполнении определенных действий (перехват определенных вызовов API), значит, вы ранее давали согласие на выполнение этих операций. Таким образом, способность Anti-Exploit выявлять подозрительное поведение и звонки зависит от способности Anti-Exploit.

Таким образом, Anti-Exploit — это программное обеспечение, способное защитить от нескольких эксплойтов, но которое все же следует использовать в сочетании с другими функциями защиты системы (например, DEP и ASLR). Поэтому мы имеем дело не с заменой, а с приложением, способным интегрировать уровень защиты, обеспечиваемый операционной системой.

Сама по себе работа Anti-Exploit очень проста: после установки ПО в систему (для него по понятным причинам требуются административные права) его достаточно запустить, чтобы тут же активировать его защиту.

В конце установки Anti-Exploit не выводит никаких сообщений, а незаметно отображается на панели задач Windows:

По двойному клику по выделенному на рисунке щиту Анти-Эксплойт показывает количество отслеживаемых приложений (Защищенные приложения):

Чтобы узнать, какие это приложения, просто нажмите на вкладку Журналы:

Чтобы понять, какие программы умеет держать под контролем Anti-Exploit, достаточно выбрать вкладку Shields:

Никаких действий: после запуска Anti-Exploit может обеспечить защиту от большинства кодов эксплойтов.

Однако мы надеемся, что Anti-Exploit будет интегрирован в одно из решений безопасности Malwarebytes (например, в знаменитое Anti-Malware). Наконец, следует иметь в виду, что приложение еще не выпущено в окончательном виде.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *