Malwarebytes Anti-Exploit – ваш ефективний захист від експлойтів. Захист від експлойтів для користувачів Windows Потужний захист від exploit

Exploit Guard - нова функція безпеки Захисника Windows, яка була вперше представлена ​​Microsoft у Windows 10 Fall Creators Update.

Захист від експлойтів є інтегрованою версією інструменту Microsoft EMET (Enhanced Mitigation Experience Toolkit), підтримка якого завершиться в середині 2018 року.

Захист від використання вразливостей увімкнено за умовчанням, якщо активовано Windows Defender. Ця функція є єдиною функцією Exploit Guard, яка не вимагає увімкнення захисту в режимі реального часу.

Цю функцію можна настроїти в Центрі безпеки Windows Protection, за допомогою групових політик або команд PowerShell.

Центр безпеки Windows Defender

Користувачі Windows 10 можуть настроїти захист від експлойтів у Центрі безпеки Windows Defender.

  1. Використовуйте клавішу Windows + I для запуску програми “Параметри”.
  2. Перейдіть до “Оновлення та безпека”, а потім виберіть “Захисник Windows”.
  3. Натисніть кнопку Відкрити Центр безпеки Windows Defender.
  4. Виберіть панель “Керування програмами та браузером”.
  5. На сторінці, що відкрилася, виберіть посилання Параметри захисту від експлойтів.

Усі налаштування розділені на дві категорії: Системні параметриі Параметри програм.

На вкладці Системні параметрививодиться список усіх доступних механізмів захисту зі своїми статусом. У Windows 10 Fall Creators Update доступні такі захисту:

  • Захист потоку управління (CFG) – увімк. за замовчуванням.
  • Запобігання виконанню даних (DEP) - увімк. за замовчуванням.
  • Примусовий випадковий розподіл образів (обов'язковий ASLR) - вимк. за замовчуванням.
  • Випадковий розподіл виділення пам'яті (низька ASLR) - вкл. за замовчуванням.
  • Перевірити ланцюжки винятків (SEHOP) - увімк. за замовчуванням.
  • Перевірка цілісності купи – вкл. за замовчуванням.

Параметри програмдають вам можливість настроювати захист для окремих програм та додатків. Ця опція працює аналогічно функції виключень у Microsoft EMET для певних програм. Ця можливість буде особливо корисною, якщо програма помилково працює, коли включені певні модулі захисту.

За промовчанням кілька програм додані у винятки, зокрема svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe та інші основні програми Windows. Зверніть увагу, що ви можете перевизначити ці винятки, вибравши файли та натиснувши кнопку "Редагувати".

Ви можете встановити окремий статус всіх підтримуваних захистів для кожної програми, яку ви додали у налаштуваннях програми. Крім перевизначення системного параметра за замовчуванням та примусового його включення або відключення, існує можливість встановити параметр тільки для аудиту. В останньому випадку відбуватиметься запис подій, які відбувалися, якби статус захисту був увімкнений, до системного журналу Windows.

У списку "Параметри програм" перелічені додаткові параметри захисту, які неможливо налаштувати під системними параметрами, оскільки вони налаштовані для роботи лише на рівні програми.

Серед них:

  • Захист від довільного коду (ACG)
  • Блокування образів низької цілісності
  • Блокування віддалених образів
  • Блокування ненадійних шрифтів
  • Захист цілісності коду
  • Вимкнення точок розширення
  • Вимкнення дзвінків системи Win32k
  • Не дозволяти дочірні процеси
  • Фільтрування адрес експорту (EAF)
  • Фільтрування адрес імпорту (IAF)
  • Імітація виконання (SimExec)
  • Перевірка дзвінків API (CallerCheck)
  • Перевірка використання дескриптора
  • Перевірка цілісності залежностей образу
  • Перевірка цілісності стека (StackPivot)

PowerShell

Ви можете використовувати командний рядок PowerShell для встановлення, видалення або зміни списку заходів. Доступні такі команди:

Щоб переглянути всі захисні заходи цього процесу: Get-ProcessMitigation -Name processName.exe

Щоб встановити захисний захід: Set-ProcessMitigation - - ,

Область дії: -System або -Name.

Дія: або -Enable або -Disable.

Міра: назва захисної міри. Зверніться до таблиці на сайті Microsoft, щоб переглянути список доступних заходів. Ви можете відокремити кілька заходів комою.

  • Set-Processmitigation -System -Enable DEP
  • Set-Processmitigation -Name test.exe -Remove -Disable DEP
  • Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Імпорт та експорт конфігурацій

Конфігурації можна імпортувати та експортувати. Ці операції можна зробити на сторінці “Параметрів захисту експлойтів” у Центрі безпеки Windows Defender, а також за допомогою PowerShell або редактора групових політик.

Крім того, конфігурації EMET можна перетворити на подальший імпорт.

Використання налаштувань захисту від експлойтів

Ви можете експортувати конфігурації у програмі “Центр безпеки Windows”, але не імпортувати їх. Експорт додає всі заходи рівня системи та рівня програми.

Використання PowerShell для експорту конфігураційного файлу

  1. Запустіть команду: Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Використання PowerShell для імпорту конфігураційного файлу

  1. Відкрийте Powershell із правами адміністратора пристрою.
  2. Запустіть команду: Set-ProcessMitigation -PolicyFilePath filename.xml

Використання групових політик для встановлення конфігураційного файлу

Ви можете встановити файли конфігурацій за допомогою редактора групових політик:

  1. Натисніть клавішу Windows, введіть gpedit.mscі виберіть об'єкт, який пропонує служба пошуку Windows.
  2. Перейдіть до Конфігурація комп'ютера > Адміністративні шаблони > Компоненти Windows > Exploit Guard у Захиснику Windows > Захист від експлойтів.
  3. Виберіть політику “Використовуйте загальний набір захисту від експлойтів”.
  4. Виберіть “Увімкнено”.
  5. Додайте шлях та ім'я файлу конфігурації XML у полі “Параметри”.

Перетворення файлу EMET

  1. Відкрийте Powershell із правами адміністратора пристрою.
  2. Запустіть команду: ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Змініть emetFile.xml на шлях та розташування файлу конфігурації EMET.

Змініть шлях і filename.xml, вказавши необхідне розташування та назву файлу.

Знайшли друкарську помилку? Виділіть та натисніть Ctrl+Enter

Число вірусів-здирників за минулий рік потроїлося, а кількість викупів збільшилася на 266% і в середньому по світу становила 1000 доларів з жертви.

ЯківГродзенський, керівник напрямку ІБ "Системного софту"

Обсяг кінцевих пристроїв, включаючи мобільні, у мережах підприємств за останні десятиліття зріс у рази. Це зростання відбувається на гнітючому ландшафті загроз: звіту SymantecЩодня у глобальній мережі з'являється понад мільйон вірусних зразків. Наприклад, кількість вірусів-здирників за минулий рік потроїлася, а кількість викупів збільшилася на 266% і в середньому по світу становила 1000 доларів із жертви.

Схоже, завдання кібербезпеки ендпойнтів сьогодні стало титанічним і навряд чи реалізовується вручну та/або за допомогою лише антивірусу.

І дійсно, аналітики Gartner відзначають стійкий тренд багаторівневого захисту кінцевих пристроїв, включаючи створення білих та чорних списків програм, вузлів та програм та інші інструменти контролю в рамках повного циклу захисту. Що це означає, як гарантувати безпеку підприємства та чи справді бізнесу недостатньо старих добрих антивірусів?

Спробуємо розібратися.

Що таке Endpoint Security для компанії та ринку?

Від чого залежить зріла стратегія захисту кінцевих пристроїв, якщо кожен девайс, підключений до вашої корпоративної мережі, по суті є "дверями" до цінних персональних і ділових даних?

Насамперед від розуміння, що ІБ-адміністрування - явище комплексне, а кінцеві пристрої - елемент ІТ- (і значить, ІБ-) інфраструктури і вичленувати, де закінчується їхній захист і починається захист, наприклад, мережі, фактично неможливо і безглуздо.

Тобто політики адміністрування та сам протокол безпеки мають охоплювати захист усіх елементів ІТ-інфраструктури. А сучасна мережа підприємства з'єднує багато кінцевих пристроїв, включаючи ПК, ноутбуки, смартфони, планшети, POS-термінали… і кожен такий пристрій має відповідати вимогам доступу до мережі. А це означає, що їхній кіберзахист має бути як мінімум автоматизований. Більше того, дотримання політик безпеки ендпойнтів з урахуванням зростання загроз сьогодні вимагає використовувати як мінімум:

  1. файрволи для різних типів пристроїв;
  2. антивіруси для електронної пошти;
  3. моніторинг, фільтрацію та захист веб-трафіку;
  4. управління безпекою та захисні рішення для мобільних пристроїв;
  5. контроль роботи додатків;
  6. шифрування даних;
  7. засоби виявлення вторгнень.

При цьому ринок пропонує три основні рішення захисту кінцевих пристроїв та їх комбінації:

1. Традиційні антивіруси, що базуються на сигнатурах. Дають стабільний результат - але лише в межах основи сигнатур. В силу неймовірно великої кількості шкідливих зразків вона не може бути актуальною на 100% у кожний момент часу плюс користувач здатний відключити антивірус на своїй машині.
2. Endpoint Detection and Response (EDR) або виявлення та реагування на інциденти. Такі рішення, наприклад, KEDR від Лабораторії Касперського, розпізнають індикатори. компрометації на кінцевому пристрої та блокують та/або лікують його. Зазвичай ці системи працюють лише за фактом злому (вторгнення) на пристрій або корпоративну мережу.
3. Advanced Endpoint Protection (AEP) або просунутий захист кінцевих пристроїв, що включає превентивні методи захисту від експлойтів та шкідливого ПЗ, контроль пристроїв та портів, персональні файрволи тощо. Тобто АЕР-рішення бореться з погрозами: загроза розпізнається і знищується ще до злому, як, наприклад, у Palo Alto Networks Traps, Check Point SandBlast Agent (це рішення при виявленні підозрілих активностей робить резервні копії) або Forticlient.

Але якого б вендора чи комбінацію сервісів ви не вибрали, спочатку варто знати базові правила оцінки таких рішень та побудови ефективної стратегії кіберзахисту кінцевих пристроїв у вашій мережі.

Сім основних правил Endpoint-кіберзахисты

Правило перше.Захист повинен знешкоджувати весь ланцюжок атак.

На думку аналітиків та представників ринку кіберзахисту, мислити «вірусами та антивірусами» – провальна стратегія для підприємства, яке хоче захистити свій бізнес. Зараження і саме вірусне ПЗ - лише одна ланка в набагато довшому ланцюжку, що веде до злому корпоративних мереж.

І починається вона зі спроби вторгнення у вашу інфраструктуру. Відповідно, ефективний захист від вторгнень сьогодні містить:

  1. засоби ретельної перевірки поштових додатків (електронна пошта, як і раніше, лідирує як «інструмент доставки зловредів» на пристрої користувачів);
  2. засоби захисту від завантаження небажаних програм з інтернету - 76% сайтів містять неприємні вразливості. Тут допоможе технологія, що аналізує весь вхідний та вихідний трафік і пропонує захист браузера, щоб блокувати подібні загрози до запуску на кінцевому пристрої;
  3. потужний захист самих кінцевих пристроїв, тобто сервіс з контролем і додатків і самого девайса.
  1. аналіз репутації файлів та визначення їх ключових атрибутів (початкове розташування файлу та кількість його завантажень). В ідеалі система відстежує та вивчає сотні посилань та мільярди зв'язків між користувачами, сайтами та файлами, щоб відстежити поширення та мутацію зловреду та запобігти атакі;
  2. просунуті елементи машинного навчання. Тобто справді робоча безсигнатурна технологія, здатна аналізувати трильйони файлів у глобальній мережі, самостійно відрізняти «хороші» файли від «поганих» та блокувати шкідливе програмне забезпечення до його спрацьовування;
  3. захист від експлойтів, особливо вразливостей нульового дня та атак читання пам'яті;
  4. поведінковий моніторинг, тобто визначення «небезпечної» поведінки скриптів, додатків, пристроїв та вузлів у мережі – та усунення такої загрози;
  5. якісну емуляцію, або швидке створення «пісочниці» для виявлення та блокування шкідливого ПЗ на пристрої.

Правило друге. Endpoint Detection and Response (EDR) або розслідування та реакція на інциденти повинні працювати на результат.

Проблема полягає в тому, що 82% сьогоднішніх кіберзлочинців за статистикоюздатні викрасти цінні дані підприємства за хвилину або менше, тоді як 75% компаній не реагують на інциденти як мінімум тижнями. Такий розрив говорить про справді високі ризики в зоні безпеки кінцевих пристроїв.

Просунуті EDR-рішення можуть ізолювати ваш кінцевий пристрій для ефективного розслідування злому, зупинити поширення вірусу та відновити пристрій через його незаражену копію даних.

Правило третє. Система не повинна заважати бізнесу, а отже:

а) Не менш важливими є продуктивність і масштабованість ваших систем захисту. Тобто ваш захист не повинен перешкоджати оперативності бізнес-процесів і швидкому обміну даними в мережі. Плюс, важливо швидко розгорнути систему кібербезпеки на нових робочих місцях, наприклад, у регіональній чи зарубіжній філії.

б) Сукупна вартість її впровадження та використання має бути оптимальною.

Правило четверте. Централізоване керування кібербезпекою. Розрізнені, керовані вручну з різних точок захисні рішення збільшують кількість помилок, надлишкових сповіщень і неправдивих спрацьовувань, не кажучи вже про зайві тимчасові та фінансові витрати на адміністрування цього «зоопарку».

Правило п'яте.Безшовна інтеграція із софтверними та апаратними рішеннями на кожній ділянці мережі для ефективної роботи всієї ІБ-інфраструктури, від захисту шлюзів до SIEM-систем. Важливо, щоб рішення для захисту кінцевих точок були інтегровані з контролем доступу до мережі (Network Access Control, NAC), щоб за певного рівня ризику можна було ізолювати комп'ютер. Також важливо, щоб Endpoint-продукти працювали у зв'язці зі шлюзовими ІБ-рішеннями, які підтримують глибокий аналіз пакетів та інспекцію SSL-трафіку.

Правило шосте.Охоплення всіх можливих ОС, включаючи серверні та мобільні – пам'ятайте про безліч «різношерстих» пристроїв, які співробітники приносять із собою або вибирають для роботи в офісі.

Правило сьоме. Посилений захист даних. Нехай цей момент не пов'язаний безпосередньо із захистом кінцевих пристроїв, але без нього в принципі неможливо розробити ефективну ІБ-стратегію. На захист даних входять:

  1. шифрування;
  2. сегрегація (поділ) ділянок та вузлів мережі, груп користувачів у мережі;
  3. захист від втрати даних; засоби відновлення;
  4. моніторинг цілісності файлів та файлової системи.

… і три додаткові

Перше. Особлива увага до усунення кіберзагроз на мобільних пристроях. Концепції BYOD/CYOD/COPEстають лише популярнішими, а кількість мобільних пристроїв у корпоративних мережах тільки зростає.
До них потрібна особлива увага, адже зазвичай такі пристрої використовуються не тільки для роботи і не тільки в офісі, а отже, ризик зараження корпоративної мережі через них дуже високий.

В ідеалі, стратегія «мобільного ІБ-менеджменту» може містити:

  1. мобільні VPS;
  2. посилену автентифікацію пристроїв у корпоративній мережі;
  3. контроль та моніторинг стороннього контенту;
  4. контейнеризацію додатків.

Друге. Аналіз KPI зрілості захисту кінцевих пристроїв.

Аналітики Forrester Research розрізняють п'ять (з урахуванням нульової шість) стадій зрілості ІБ-стратегії підприємства:

Нульова чи відсутня- Немає потреби, немає розуміння, немає формалізованих вимог.

AdHoc чи стихійна- потреба в кіберзахисті виникає час від часу, немає планування ІБ-ресурсів, процеси не документовані.

Вимушена- інтуїтивна, недокументована, застосовується несистемно, за потребою.

Усвідомлена- процеси задокументовані, сама стратегія розуміється і передбачувана, але оцінка дій і ресурсів проводиться час від часу.

Вивірена- впроваджено якісні інструменти управління, гарний рівень формалізації та (нерідко) автоматизації процедур, регулярна оцінка дій, процесів та інвестицій.

Оптимізована- процеси та рівні захисту зазвичай автоматизовані, а сама стратегія вибудована з урахуванням довгострокового, ефективного та проективного захисту бізнесу. Високий рівень інтеграції ІБ-сервісів та систем.

Відповідно, дешевше та безпечніше перебувати на останніх трьох стадіях. З цією градацією також простіше ставити цілі покращення ІБ-стратегії, якщо ви перебуваєте на перших трьох.

Третє. І нарешті, ваші користувачі кінцевих пристроїв знають, що таке кіберзахист, і постійно нарощують свої знання ІВ і навички. Найруйнівніший чинник - людський, і без грамотного персоналу будь-який навіть найпросунутіший захист виявиться провальним. Протистояти людському фактору без шкоди для оперативної роботи бізнесу ніхто не навчився. Тому простіше та набагато дешевше вчасно навчати людей азам безпечної поведінки та використання своїх гаджетів.

Використання традиційних сигнатурних антивірусів, як і раніше, актуальне. Старі віруси, трояни та інші види шкідливих програм нікуди не поділися. Проте лише антивірусу недостатньо для захисту від нових експлойтів, так званих загроз «нульового дня». Ці зловреди не зустрічалися раніше, і їм немає сигнатур. є безкоштовною версією Malwarebytes Anti-Exploit Premium. Інструмент протистоїть експлойтам і для роботи не використовує сигнатури.

Захист браузера

Безкоштовна версія впроваджує захист у Chrome, Firefox, Internet Explorer та Opera. Anti-Exploit захищає не тільки сам браузер, а й плагіни та доповнення, а також середовище Java. Купивши версію Premium за 24,95 доларів на рік, Ви отримаєте захист документів Microsoft Office, програм для перегляду PDF-файлів і медіаплеєрів.

У платній версії користувач може включати і вимикати захист для окремих програм, а також створювати щити. Налаштування безкоштовної версії зафіксовані, захист поширюється лише на 5 програм, не більше та не менше.

Все працює!

Кожен експлойт націлений на конкретну версію програми-жертви, а з іншими версіями він не працюватиме. Цей факт висуває підвищені вимоги до умов тестування. Malwarebytes не буде реагувати на експлойт, якщо у нього не буде потенціалу завдати шкоди. Malwarebytes брала участь у випробуваннях відомого блогера Kafeine. У своїх тестах він використав 11 найпоширеніших експлойтів, і програма успішно заблокувала їх усі.

Для проведення власних незалежних тестів експерт з комп'ютерної безпеки Нейл Дж. Рубенкінг звернувся до лабораторії MRG-Effitas. Технічний директор організації люб'язно надав колекцію експлойтів, захоплених Fiddler Web Debugger. Тестова система була ретельно налаштована, було встановлено коректні версії програм, після чого почали фіксуватися атаки. Продукт Malwarebytes успішно заблокував абсолютно всі загрози.

Kafeine надав список зламаних експлойтами сайтів, включаючи ресурс великого рітейлера. Декілька сайтів зі списку були вже виправлені, а ось інші в повному обсязі були заблоковані Malwarebytes.

Варто спробувати

Malwarebytes Anti-Exploit Free не забиває мережевий канал передачі даних, завантажуючи об'ємні оновлення і на диску займає лише 3 мегабайти. Програма є чудовим доповненням до вашої колекції утиліт додаткового захисту. Ви навіть не помітите активність програми, доки не буде заблоковано експлойт. Для користувачів, які стурбовані лише веб-атаками, пропонований захист браузера може бути достатнім. Якщо Вам також потрібний захист документів MS Office та PDF, а також захист від прямих атак, що таргетуються, уважно придивіться до Malwarebytes Anti-Exploit Premium.

Огляд Malwarebytes Anti-Exploit Free:

Переваги

  • захищає браузери та середовище Java від експлойтів;
  • для роботи не потрібні сигнатури;
  • невелика та невибаглива до ресурсів програма;
  • у версії Premium додано захист документів Microsoft Office, програм для перегляду PDF-файлів та медіаплеєрів;
  • ефективність продукту доведено тестами;
  • повністю безкоштовний продукт.

Недоліки

  • складно оцінити ефективність.

Загальна оцінка

Malwarebytes Anti-Exploit Free захищає ваші браузери проти атак із використанням експлойтів, навіть у разі новітніх загроз нульового дня. Спробуйте це повністю безкоштовний інструмент додаткової безпеки.

Цієї осені Windows 10 оновилася до версії 1709 з кодовою назвою Fall Creators Update або Redstone 3. Серед багатьох змін нас насамперед зацікавив покращений захист від невідомих зловредів. У Microsoft вжили низку заходів для протидії троянам-шифрувальникам та експлоїтам. Наскільки ж вони виявилися успішними?

Старий новий захисник

Все нове – це добре ребрендоване старе. В «осінньому оновленні для дизайнерів» вбудовані компоненти захисту об'єднали в Центрі безпеки Windows Defender. Навіть програмний файрвол став називатися "Брандмауер захисника Windows", але ці зміни - чисто косметичні. Більше суттєві стосуються нових функцій, які ми докладніше розглянемо нижче.

Ще один старий новий компонент, що з'явився в Redstone 3, називається «Захист від експлоїтів». Windows Defender Exploit Guard, або просто EG, включається через «Центр безпеки Windows» у розділі «Керування програмами та браузером».

Технічно Exploit Guard - це колишня службова програма Enhanced Mitigation Experience Toolkit з набором функцій, що злегка виріс, і новим інтерфейсом. EMET з'явилася ще за часів Windows Vista, тепер її підтримка припинена, а Exploit Guard зайняв її місце. Він відноситься до засобів просунутого захисту від загроз (Advanced Threat Protection), поряд з менеджером пристроїв Device Guard, що підключаються, і захисником додатків Application Guard. Злі мови подейкують, що в Microsoft спочатку хотіли уявити загальний компонент Advanced System Security Guard, але абревіатура вийшла зовсім неблагозвучною.

Захист від експлоїтів

Exploit Guard - це лише інструмент зниження ризику, він не позбавляє необхідності закривати вразливості в софті, але ускладнює їх використання. Загалом принцип роботи Exploit Guard полягає в тому, щоб забороняти ті операції, які найчастіше використовуються шкідниками.

Проблема в тому, що багато легітимних програм теж їх використовують. Більше того, є старі програми (а точніше динамічні бібліотеки), які просто перестануть працювати, якщо задіяти в Windows нові функції контролю пам'яті та інші сучасні засоби захисту.

Тому налаштування Exploit Guard – це такі ж вила, якими раніше було використання EMET. На моїй пам'яті багато адміністраторів місяцями вникали в тонкощі налаштувань, а потім просто припиняли використовувати обмежувальні функції через численні скарги користувачів.

Якщо ж безпека понад усе і потрібно закрутити гайки тугіше, то найбільш популярними функціями Exploit Guard були (з часів EMET) і залишаються:

  • DEP(Data Execution Prevention) – запобігання виконанню даних. Не дозволяє запустити на виконання фрагмент коду, який опинився в не призначеній для цього області пам'яті (наприклад, внаслідок помилки переповнення стека);
  • випадковий перерозподіл пам'яті- запобігає атакі за відомими адресами;
  • відключення точок розширення- перешкоджає впровадженню DLL в процеси, що запускаються (див. про обхід UAC, де цей метод широко використовувався);
  • команда ДозволеноChildProcessCreation- забороняє зазначеному додатку створювати дочірні процеси;
  • фільтрація таблиць адрес імпорту (IAF) та експорту (EAF)- не дозволяє (шкідливому) процесу виконувати перебір таблиць адрес та звертатися до сторінки пам'яті системних бібліотек;
  • CallerCheck- перевіряє наявність прав на виклик конфіденційних API;
  • SimExec- Імітація виконання. Перевіряє перед реальним виконанням коду, кому повернуться дзвінки конфіденційних API.

Команди можуть бути передані через PowerShell. Наприклад, заборона створювати дочірні процеси виглядає так:

Set-ProcessMitigation -Name виконуваний_файл.exe -Enable DisallowChildProcessCreation

Всі x86-процесори і чіпсети останніх десяти років випуску підтримують DEP на апаратному рівні, а для старих доступна програмна реалізація цієї функції. Однак для сумісності нових версій Windows зі старим софтом Microsoft досі рекомендує включати DEP у режимі «тільки для системних процесів». З тієї ж причини було залишено можливість відключати DEP для будь-якого процесу. Все це успішно використовується в техніках обходу системи запобігання виконанню даних.

Тому сенс від використання Exploit Guard буде лише в тому випадку, якщо є можливість задіяти відразу кілька захисних функцій, не викликаючи збій хоча б у роботі основних програм. Насправді це рідко вдається. Ось приклад профілю EG, конвертованого з EMET, який взагалі викликає звалювання Windows 10 у BSoD. Колись у «Хакері» була рубрика «Західнобудування», і Exploit Guard у неї чудово вписався б.

Продовження доступне лише учасникам

Варіант 1. Приєднайтесь до спільноти «сайт», щоб читати всі матеріали на сайті

Членство у спільноті протягом зазначеного терміну відкриє тобі доступ до ВСІХ матеріалів «Хакера», збільшить особисту накопичувальну знижку та дозволить накопичувати професійний рейтинг Xakep Score!

Захист від експлойтів (Exploit Guard) - ця нова функція в Windows Defender в Windows 10 1709, яка є об'єднаною і більш покращеною версією інструменту EMET від Microsoft. Exploit Guard призначений для захисту комп'ютера від експлоїтів та зараження вашої системи шкідливими програмами. Спеціально активувати Захист від експлойтів не потрібно, це відбувається автоматично, але лише при увімкненому захиснику Windows.

Змінити параметри Exploit Guard за замовчуванням можна у Центрі безпеки Windows Defender.

Усього є дві основні категорії зміни конфігурацій на комп'ютері. Розглянемо кожну їх докладніше.

Тут відображається список доступних користувачеві механізмів захисту Windows. Поруч вказується статус – увімкнено, відключено. Доступні:

  1. CFG. Захист потоку керування та забезпечення його цілісності для здійснення непрямих викликів (ввімкнено за замовчуванням).
  2. SEHOP. Перевірка ланцюжків винятків та забезпечення її цілісності під час відправлення.
  3. DEP. Запобігання виконанню даних (за умовчанням).
  4. Обов'язковий ASLR. Примусовий випадковий розподіл для образів, які не відповідають /DYNAMICBASE (вимкнено за замовчуванням).
  5. Низький ASLR. Випадковий розподіл виділення пам'яті. (ввімкнена за замовчуванням).
  6. Перевірка цілісності купи. У разі виявлення пошкоджень процес автоматично завершується. (ввімкнена за замовчуванням).

Користувач може вимкнути їх незалежно один від одного.

У цьому розділі можна окремо редагувати додаткові параметри захисту для кожного виконуваного файлу, додавати їх до списку винятків. Якщо ПЗ конфліктує при якомусь активованому в системних параметрах модулі, його можна вимкнути. При цьому налаштування інших програм залишаться незмінними.

Опція працює за тим же принципом, що й виключення в інструменті EMET від Microsoft. За промовчанням тут вже є деякі штатні програми Windows.

Додати новий файл, що виконується, до списку можна тут же, натиснувши на кнопку «Додавання програми для індивідуального налаштування». Для цього вкажіть назву програми або точний шлях до неї. Після цього він з'явиться у списку.

Користувач може редагувати параметри кожної окремої програми. Для цього виберіть її зі списку, і натисніть «Редагувати», після чого примусово вимкніть/увімкніть потрібну опцію. За бажанням програму можна видалити зі списку винятків.

Для редагування доступні лише параметри, які неможливо налаштувати через категорію «Системні». Деякі опції мають значення «Аудит». Після активації Windows буде записувати події в системний журнал, що зручно для подальшого аналізу.

Імпорт та експорт налаштувань

Експортувати поточні настройки Exploit Guard можна через Центр безпеки Windows. Для цього достатньо натиснути на відповідну кнопку та зберегти файл у форматі XML.

Експортувати настройки можна і через командний рядок Windows PowerShell. Для цього є команда:

Get-ProcessMitigation -RegistryConfigFilePath C:\Users\Alex\Desktop\Settings.xml

Для імпорту необхідно замінити командлет Getна Setі за аналогією з прикладом вказати назву та шлях до файлу.

Встановити вже існуючий XML файл із налаштуваннями можна через редактор локальних групових політик gpedit.msc:

  1. У лівій частині екрана перейдіть у гілку редактора Конфігурація комп'ютера -> Адміністративні шаблони -> Компоненти Windows -> Exploit Guard у Захиснику Windows -> Захист від експлойтів. Відкрийте політику Використовуйте загальний набір захисту від експлойтів.
  2. Змініть значення на «Увімкнено», а в полі, що з'явилося, вкажіть шлях або URL-адресу до існуючого XML файлу з конфігурацією.

Збережіть внесені зміни, натиснувши «Застосувати». Налаштування набудуть чинності негайно, тому перезавантажувати комп'ютер не обов'язково.

Налаштування Exploit Guard за допомогою PowerShell

Для редагування списку модулів захисту можна використовувати командний рядок Windows PowerShell.

Тут доступні такі команди:

  1. Get-ProcessMitigation -Name iexplore.exe – отримати список усіх захисних заходів для вибраного процесу. У цьому прикладі це iexplore.exe, ви можете вказати будь-який інший. Замість імені програми можна вказати точний шлях.
  2. Стан NOTSET(не встановлено) для категорії системних параметрів означає, що встановлено значення за замовчуванням, для категорії програм тут слід вписати параметр, до якого будуть присвоєні заходи захисту.
  3. Setз додатковою командою ProcessMitigationвикористовується для редагування кожного окремого значення. Щоб активувати SEHOP для конкретного виконуваного файлу (у нашому прикладі test.exe) за адресою C:\Users\Alex\Desktop\test.exe, використовуйте команду PowerShell: Set-ProcessMitigation -Name C:\Users\Alex\Desktop\test .exe -Enable SEHOP
  4. Щоб застосувати цей захід для всіх файлів, а не для конкретної програми, використовуйте команду: Set-Processmitigation -System -Enable SEHOP
  5. -Enable- увімкнути, - Disable- Вимкнути.
  6. Командлет - Removeвикористовується для відновлення стандартних налаштувань і вказується відразу після — Name.
  7. -Enableабо - Disable AuditDynamicCode- Активувати або вимкнути аудит.

При введенні команд враховуйте, що кожен окремий параметр заходу має відокремлюватися комою. Подивитися їх список ви можете тут же, PowerShell. Вони з'являться після введення команди Get-ProcessMitigation -Name ім'я_процесу.exe .

Прикладка © 2024 Мобільні та комп'ютерні гаджети