Anti-Exploit työkalut suojaavat haavoittuvuuksilta, joita virustorjunnat eivät tunnista. Näitä ovat tyypillisesti 0-päivähaavoittuvuudet, jotka hyödyntävät selaimen, pdf-lukijan, Officesovellusten tai vastaavien aukkoja. TOR-selaimen aukkoja on hyödynnetty todellisen identiteetin paljastamiseksi. Seuraavassa kahdesta työkalusta: Microsoft EMET ja Malwarebytes Anti-Exploit. Jälkimmäinen on helppokäyttöisempi ja tehokkaampi. Anti-Exploit ohjelmat eivät korvaa virustorjuntaa, vaan ovat erittäin suositeltava lisäsuoja.
Microsoft Enhanced Mitigation Toolkit (EMET)
The Enhanced Mitigation Experience Toolkit (EMET) is a utility that helps prevent vulnerabilities in software from being successfully exploited. EMET achieves this goal by using security mitigation technologies. These technologies function as special protections and obstacles that an exploit author must defeat to exploit software vulnerabilities. These security mitigation technologies do not guarantee that vulnerabilities cannot be exploited. However, they work to make exploitation as difficult as possible to perform.
Microsoft on ilmoittanut lopettavansa EMET kehityksen vuoden 2018 aikana.
EMET suojaa ohjelmat siten, että verkko- ja sovellushaavoittuvuudet eivät pysty suorittamaan haitallista koodia (ns. shellcode). Testien perustella EMET suojaa kehittyneiltä hyökkäyksiltä, joskus jopa 100-prosenttisesti. EMETin asetuksiin voi määritellä myös Firefox ja Tor-selaimen, jolloin JavaScript virusten asentuminen vaikeutuu. Ohjelmoinnin perusteet hallitsevalle lisätietoa haavoittuvuuksien hyödyntämisestä.
Video, jossa demotaan pdf-tiedostojen käyttöä virusten asennukseen:
Lisätietoa EMET:stä ja lataus löytyvät Microsoftin sivuilta tästä.
Asetuksiin kannattaa tehdä seuraavat muutokset:
- File: Import -> Valitse tiedosto: ../Program Files (x86)/EMET X.X/Deployment/Protection Profiles/Popular Software.xml (sisältää valmiiksi useimmat www-selaimet)
- Quick Profile Name -> Maxium Security Settings
- Configuration: Apps -> Lisää tähän www-selaimesi exe-tiedosto, tarvittaessa myös Tor Browser firefox.exe tiedosto
- TOR Firefox-selaimen ”SimExecFlow” -suojaus pois päältä, selain kaatuu siihen
- Jos Firefox-selain hidastuu liikaa, kytke EAF+ suojaus pois
- Lisää muidenkin käyttämiesi työkalujen exe-tiedostot listaan, esim: pdf-lukijat, tekstinkäsittely, video/musiikkisoittimet jne.
EMET:ssä ei ole automaattista päivitystä, uusia versioita tulee seurata itse Microsoftin sivuilta.
Jos jokin sovellus ei toimi EMETin asennuksen jälkeen, säädä Apps kohdasta valvonta-asetuksia kevyemmiksi, tai poista sovelluksen valvonta kokonaan.
EMET hidastaa valvottavien sovellusten toimintaa. Suoja voidaan valitettavasti taitavissa käsissä ohittaa. Tästä linkistä esimerkki, mukana demovideo.
Teknisemmin suuntautunut voi tutustua ASR (Attack Surface Reduction) suojaukseen, jolla vaikeutetaan haittaohjelman dll-kirjastojen latausta. EMET estää esimerkiksi Flash Player-lisäosan latautumisen Word, Excel ja PowerPoint sovelluksiin. Samoin VBScript-toimintojen latautuminen Internet Exploreriin estetään:
Malwarebytes Anti-Exploit
Malwarebytes Anti-Exploit on kaupallinen, mutta EMET:iä parempi työkalu. Maksu on n. $25 vuodessa sisältäen suojan selaimiin, Officetyökaluihin, PDF-lukijoihin, mediasoittimiin ja itse määriteltyihin sovelluksiin. Työkalu ei tosin ole saatavilla muutoin kuin Malwarebytes Antiviruksen yhteydessä.
Toinen vaihtoehto on ladata erillinen Anti-Exploit Beta, jota voi käyttää maksutta Premium-ominaisuuksilla. Lataus (tarkistettu 7/2017) tästä: https://forums.malwarebytes.com/forum/126-anti-exploit-beta/
Asennus on erittäin helppoa, jonka jälkeen ainoa tarkistettava kohta on Shields-välilehden valvottavien sovellusten luettelo. Lukkokuvake on auki, jos sovellus ei ole valvonnassa:
Settings-välilehden Advanced Settings ei kannata muuttaa, ellei jokin sovellus toimi väärin. Automatically upgrade kannattaa säilyttää valittuna.
Malwarebytes Anti-Exploitin käyttäjät olivat suojassa vuonna 2016 löydetyltä Tor-Firefoxin haavoittuvuudelta, jolla Windows Tor-selaimen identiteetti voitiin paljastaa.