Configurações anti-exploit na nebulosa Malwarebytes

0
(0)

O Exploit Protection protege contra exploração de vulnerabilidade de programas em seus terminais. As configurações padrões equilibram o desempenho entre o terminal e a proteção. É possível personalizar a proteção contra exploits usando as Configurações Avançadas.

Para seguir as etapas neste artigo, ative a opção Nova experiência de políticas na página Políticas.

Se você desativou a experiência de novas políticas, localize essas configurações de política consultando: Malwarebytes Nebula policy with new experience disabled.

IMPORTANTE: Embora esse artigo sirva como uma referência para as Configurações Avançadas, recomendamos que elas não sejam alteradas a menos que orientado por um técnico de suporte da Malwarebytes.

Para revisar ou editar as configurações avançadas de proteção contra exploração, vá para Políticas > selecione uma política> selecione Configurações de proteção Configurações avançadas Configurações anti-exploração.

AE.PNG

ae2.PNG

Proteção de aplicativos (Application Hardening)

As configurações de Proteção de aplicativos ajudam os programas a serem mais resilientes contra exploits.

  • Imposição obrigatória DEP: Ativa a prevenção da execução de dados permanentemente nos aplicativos que não fazem isso por padrão.
  • Imposição obrigatória Anti-HeapSpraying: Reserva partes da memória para evitar o abuso por técnicas de ataque heap spraying.
  • Imposição obrigatória Anti-HeapSpraying dinâmica: Analisa a memória heap de um processo protegido para procurar por códigos shell maliciosos.
  • Imposição obrigatória ASLR ascendente: Agrega o uso aleatório da memória heap quando o processo é iniciado.
  • Desabilitar o processamento de scripts do IE VB: Impede o carregamento do mecanismo de script do Visual Basic, pois os exploits costumam abusar dessa tecnologia. Aplica-se somente aos navegadores Internet Explorer.
  • Detecção de tentativas de rastreio anti-exploit: Detecta tentativas dos kits de exploits populares para identificar o terminal e determinar sua vulnerabilidade.

Proteção avançada da memória (Advanced Memory Protection)

Proteção de memória avançada impede que o código shell exploit execute seu código payload na memória.

  • Detecção de endereço de retorno malicioso: Também chamada de mitigação “Caller”. Detecta se o código é executado fora de qualquer módulo carregado.
  • Proteção de bypass DEP: Detecta tentativas de desativar a prevenção de execução de dados.
  • Proteção contra sequestro de patch de memória: Detecta e previne tentativas maliciosas de usar o WriteProcessMemory para fazer o bypass da prevenção de execução de dados.
  • Proteção de Stack Pivoting: Detecta e previne que o código exploit use um stack de memória falso.
  • Detecção de gadget ROP: Detecta e previne gadgets de programação orientada a retorno quando uma API do Windows é chamada. São feitas provisões para proteção individualizada das instruções “CALL” e “RET”.

Proteção por comportamento de aplicativos (Application Behavior Protection)

As configurações de proteção do Application Behavior Protection previnem que o payload do exploit seja executado e infectado pelo sistema. Elas representam a última linha de defesa se um exploit conseguir se infiltrar pelas camadas de proteção anteriores. Essa camada também detecta e bloqueia exploits que não dependem de corrupção de memória, como fuga de sandbox Java ou exploits que abusam do projeto do aplicativo.

  • Proteção contra LoadLibrary maliciosa: Evita a utilização ou entrega de uma biblioteca payload a partir de um caminho de rede UNC.
  • Proteção contra processamento de VB scripts do IE: Detecta e previne exploits referentes à vulnerabilidade de design do aplicativo, mais conhecida como CVE-2014-6332. Para mais informações sobre esse exploit, consulte https://nvd.nist.gov/vuln/detail/CVE-2014-6332.
  • Proteção contra conteúdo de MessageBox: Previne que exploits entreguem uma messagebox como payload. Essa opção fica desabilitada por padrão; esses tipos de payloads são inofensivos e usados, em geral, apenas em provas de conceito.
  • Proteção contra abuso de Office WMI: Protege contra exploit de macros do Microsoft Office que usam a Instrumentação de Gerenciamento do Windows (WMI).
  • Proteção contra abuso de Office VBA7: Protege contra exploits de macro do Microsoft Office que usam aplicativos Visual Basic.

Proteção Java (Java Protection)

O Java Protection protege contra exploits geralmente usados em programas Java.

  • Previne linha de comando de Java com base na Web: Protege contra programas Java com base na Web que enviam comandos para o sistema.
  • Proteção Shell de entrada maliciosa em Java: Protege contra shell exploits remotos cujos payloads utilizam sockets de entrada.
  • Proteção Shell de saída maliciosa em Java: Protege contra shell exploits remoto cujos payloads utilizam sockets de saída.
  • Proteção genérica Metasploit/Meterpreter Java: Detecta e previne tentativas de usar o payload Metasploit Java/Meterpreter.
  • Proteção de execução de comando Metasploit/Meterpreter Java: Detecta e bloqueia comandos em uma sessão Java/Meterpreter estabelecida.
  • Permite operações Java não seguras nas faixas IP internas: Permite ferramentas e aplicativos inseguros em rede corporativa interna ao mesmo tempo que protege contra ameaças Java externas.

Source : Official Malwarebytes Brand
Editor by : BEST Antivirus KBS Team

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

(Visited 14 times, 1 visits today)
Tagged: