image

ExploitShield beschermt Windows tegen malware

maandag 1 oktober 2012, 09:54 door Redactie, 24 reacties

Er is een gratis programma voor Windows verschenen dat computers tegen malware beschermt. Het gaat om het programma ExploitShield, dat specifiek ontworpen is om het misbruiken van beveiligingslekken in software, zoals Java, Internet Explorer en Flash Player, onmogelijk te maken. Aanvallen via exploits, ook bekend als drive-by downloads, zijn volgens verschillende anti-virusbedrijven de voornaamste oorzaak dat internetgebruikers met malware besmet raken.

Daarbij maakt het niet uit of het om een bekende exploit, of onbekende (zero-day) exploit gaat. Zo stopte ExploitShield ook de zero-day exploits voor het onlangs gepatchte beveiligingslek in Internet Explorer. Ook zou het alle exploits van de beruchte Blackhole Exploit-kit 2.0 herkennen. Het programma bevindt zich nog in de ontwikkelingsfase, maar een eerste, gratis bètaversie is nu beschikbaar.

Versie
ExploitShield is de afgelopen 12 maanden ontwikkeld door het bedrijf ZeroVulnerabilityLabs, dat is opgericht door Pedro Bustamante en David Sanchez Lavado, die hiervoor bij anti-virusbedrijf Panda Security en beveiligingsbedrijf S21Sec werkten.

Naast de gratis consumentenversie komt er ook een commerciële zakelijke versie. Het programma is vooralsnog alleen via Download.com te downloaden.

Reacties (24)
01-10-2012, 10:57 door Anoniem
01-10-2012, 11:14 door Anoniem
Helaas alleen een filmpje met een leuk muziekje en weinig details.
Maar ik denk dat dit anders werkt dan EMET, zo aan de logmeldingen te zien.
Wellicht dat hij bijvoorbeeld het opstarten van executables vanuit browser plugins blokkeert ofzo.
01-10-2012, 11:59 door Anoniem
Leuk en wel maar is nog beta. Werkt waarschijnlijk nog niet optimaal. En als je leest wat je het beste ervoor moet doen.
Wacht wel tot de volledige versie der is.
01-10-2012, 12:00 door [Account Verwijderd]
[Verwijderd]
01-10-2012, 12:04 door Anoniem
Hahaha "Wellicht dat hij bijvoorbeeld het opstarten van executables vanuit browser plugins blokkeert ofzo." volgens mij moet je eerst maar eens leren hoe dit soort exploits werken.

Het heeft niks te maken met browser plugins.....

Hij kan kijken of er bv veel NOPS of dat de geheugen wordt gesprayed met shellcode. Ja klopt er zijn manieren om de shellcode zo te maken dat het versleuteld is of polymorphic shellcode te gebruiken maar goed ik denk dat de meesten op deze site niet eens weten waar dit allemaal over gaat.
01-10-2012, 12:29 door Anoniem
No, this is not the same as EMET nor BLADE. It is what we call "application shielding" and is able to stop some of the things that bypass EMET.

Of course it is beta and should only be installed in test systems.
01-10-2012, 12:54 door Spiff has left the building
Door Redactie:
Het programma is vooralsnog alleen via Download.com te downloaden.
Dat is niet juist.
De home users ExploitShield Browser Edition is tevens te downloaden via de betreffende pagina:
http://www.zerovulnerabilitylabs.com/home/exploitshield/browser-edition/

Door Anoniem:
Is dit niet hetzelfde als EMET?
Nee, het is niet hetzelfde als EMET.

Door Peter V:
En als altijd: je kan beter geen BETA installeren.
Een bèta versie is inderdaad een testversie.
Op de ExploitShield Browser Edition pagina wordt zeer duidelijk aangegeven dat het een testversie betreft, alleen bedoeld voor wie het programma wil testen:
http://www.zerovulnerabilitylabs.com/home/exploitshield/browser-edition/

En het testen van een bètaversie is uiteraard wat heel anders dan het uitproberen van een definitieve versie.
01-10-2012, 13:20 door [Account Verwijderd]
[Verwijderd]
01-10-2012, 13:57 door Security Scene Team
Door Peter V: Nee hoor, ik vermoed dat dit BLADE is.

En als altijd: je kan beter geen BETA installeren.

nu FAIL je wéér in beveiliging, raad mensen toch niet steeds de verkeerde dingen aan. als je niks weet houd je mond dan aub.

ik raad aan: gebruik wél beta mocht je een bug vinden mail die dan naar de ontwikkelaars, deste meer kans dat dit een goed programma gaat worden, want zoals het er nu uit ziet zijn het alleen beweringen. en met beweringen is rome niet gebouwd, en met peter v breek je rome alleen maar af :-)

-1 peter v

en oh ja, dit is GEEN blade. dat een ander bedrijf een zelfde soort idee aan het opbouwen is ja, maar geen blade.
01-10-2012, 13:59 door Anoniem
Door Anoniem: Hahaha "Wellicht dat hij bijvoorbeeld het opstarten van executables vanuit browser plugins blokkeert ofzo." volgens mij moet je eerst maar eens leren hoe dit soort exploits werken.

Het heeft niks te maken met browser plugins.....

Hij kan kijken of er bv veel NOPS of dat de geheugen wordt gesprayed met shellcode. Ja klopt er zijn manieren om de shellcode zo te maken dat het versleuteld is of polymorphic shellcode te gebruiken maar goed ik denk dat de meesten op deze site niet eens weten waar dit allemaal over gaat.

Dat hoef je niet uit te leggen, waar het om gaat is dat die shellcode uiteindelijk meestal een gedownloade exe gaat opstarten en die actie kun je op systeemnivo blokkeren.
In dat filmpje zie je een aantal voorbeelden waarbij Java getricked wordt om een .exe op te starten en daar grijpt dat ding in en roept Java is now protected.
De vraag is dus waarom triggert dat ding. Dat meldt het filmpje niet. Maar het feit dat hij uiteindelijk weet te melden dat hij voorkomen heeft dat er een .exe gestart wordt suggereert dat hij niet zozeer ingrijpt op het planten van en springen naar shellcode (zoals EMET) maar op het uitvoeren van die .exe.
01-10-2012, 14:10 door Anoniem
Dit werkt doormiddel van user land hooks op wel bekende API's als WinExec, ShellExecute,...
Wanneer hij ziet dat er een extrern process gestart word vangt hij deze af, en doet dat best aardig(heb wat zitten testen).

Echter een payload als meterpreter komt er gewoon door heen, want logish is als je naar de techniek kijkt die ze gebruiken.
01-10-2012, 14:56 door john west
Ik heb er ook Emet opstaan,installeren gaat goed,maar bij het opnieuw opstarten computer werkte dit programma
niet goed.
ProcessExplorer geeft error opening .
01-10-2012, 15:04 door S-q.
@Anoniem 13.59
Dank voor je begrijpelijke uitleg.
Als je de Anoniem van 12.04 bent, had dat nu meteen gedaan!

Anders; sorry. @Anoniem van 12.04: Doe niet zo lullig. Als je onderkent dat er mensen zoals ik mee lezen, probeer ons dan wat opzinvolle wijze te leren!

Nu kijken of de uitleg van 13.59 stand houdt.
01-10-2012, 15:06 door Spiff has left the building
@ john west,

Ik begrijp niet goed wat je bedoelt.
Bedoel je een probleem met ExploitShield, of bedoel je met EMET?
01-10-2012, 15:18 door EDLIN
Er komen een gratis en een betaalde versie van Exploit shield.
In de gratis versie zitten shields voor:
Firefox, Chrome ,Ie ,Opera ,Java en browser components (pdf/flash/java)
In de betaalversie komen daar nog bij shields oa voor:
Office (word excel powerpoint) ,Adobe ,Foxit ,Wmp ,Vlc player,Quicktime en Winamp.

Voor de liefhebbers.Interessant topic met ook reacties van Zero Vulnerability Labs:
http://www.wilderssecurity.com/showthread.php?t=333127
01-10-2012, 15:54 door [Account Verwijderd]
[Verwijderd]
01-10-2012, 16:20 door Rubbertje
Ik hoop maar dat mijn Internet Security programma dit soort beveiligingsshields inbouwt. Ik kan anders wel aan de gang blijven; ExploitShield, EMET, firewalls, aparte programma's voor malware, aparte voor spyware, voor scrips, voor dit, aparte voor dat... Straks heb ik tig programma's draaien. Ik heb gewoon een Internet Security pakket van een gerespecteerde vendor en ik gebruik gezond verstand.
Je kan je pc wel helemaal dichttimmeren, maar het moet wel leuk blijven.
01-10-2012, 18:41 door john west
Door Spiff:
@ john west,

Ik begrijp niet goed wat je bedoelt.
Bedoel je een probleem met ExploitShield, of bedoel je met EMET?


Na installatie werkt alles,maar als de computer
opnieuw opgestart is zie ik niets,en het programma starten mislukt.
Exploitshield kan niet worden opgestart

Ook zonder Emet werkt het niet goed.
Avira security suite en Malwarebytes Anti-Malware zijn aanwezig.
01-10-2012, 18:57 door Spiff has left the building
Dank je voor de toelichting van 18:41, john west,
het probleem betreft dus ExploitShield, begrijp ik.

(En ik realiseer me nu dat mijn vraag van 15:06 door het gebruik van het woord "met" op verschillende manieren te lezen was. Jij interpreteerde "met" als "in aanwezigheid van", terwijl ik bedoelde "betreffende".)

Waarom ExploitShield na opnieuw opstarten van je computer niet meer werkt, dat is uiteraard nog onduidelijk. Het zou wellicht waardevol kunnen zijn wanneer je je bevindingen aan ZeroVulnerabilityLabs zou willen doorgeven.
01-10-2012, 19:23 door Anoniem
ExploitShield does not come back after reboot because you need to run in an admin-level user account. This is a known issue with the beta as mentioned on our site and forum.

There are some good comments here and some good insight. Unfortunately I can't participate in your language, but if you want to learn more or provide intelligent feedback like I see here so far please join us at our forum at www.zerovulnerabilitylabs.com/forum

Thanks!
01-10-2012, 19:33 door Spiff has left the building
Door Peter V, 12:00:
En als altijd: je kan beter geen BETA installeren.
Door Security Scene Team, 13:57:
ik raad aan: gebruik wél beta
mocht je een bug vinden mail die dan naar de ontwikkelaars, des te meer kans dat dit een goed programma gaat worden
Beta-testen is beslist nuttig, maar betreft het een bèta-versie die wellicht nog te ver af zit van het release candidate stadium, dan is het verstandig om te testen in een test-omgeving, zoals een aparte test-machine.

Peters advies was nogal ongenuanceerd neergezet, maar hij bedoelde misschien zoiets als "realiseer je goed dat het een testversie betreft, en gebruik die alleen wanneer je jezelf in staat acht een testversie te gebruiken, en anders niet".

Het advies van Security Scene Team, "gebruik bèta", dat kun je eveneens als ongenuanceerd beschouwen, omdat het voorbij gaat aan dat deel van de lezertjes dat zich onvoldoende raad weet met een bèta-versie en zich daarmee mogelijk problemen op de hals haalt.

Als iedereen nou eens wat genuanceerder neerzet wat ie bedoelt, dan hoeft er minder gekibbeld te worden ;-)
01-10-2012, 20:21 door Anoniem
Ik hoop dat men rekening gehouden heeft met andere beveiligingssoftware die op je PC aanwezig kan zijn in de zin van, gaat dit beta programma daar niet mee 'vechten'.
Meer ken ik er niet van punt
01-10-2012, 22:26 door csorg
Door Bastos: Ik hoop maar dat mijn Internet Security programma dit soort beveiligingsshields inbouwt. Ik kan anders wel aan de gang blijven; ExploitShield, EMET, firewalls, aparte programma's voor malware, aparte voor spyware, voor scrips, voor dit, aparte voor dat... Straks heb ik tig programma's draaien. Ik heb gewoon een Internet Security pakket van een gerespecteerde vendor en ik gebruik gezond verstand.
Je kan je pc wel helemaal dichttimmeren, maar het moet wel leuk blijven.

Haha, ignorance is bliss!

Wel leuk dat je het woord "gewoon" gebruikt in deze context.
01-10-2012, 22:53 door Anoniem
Door Anoniem: Dit werkt doormiddel van user land hooks op wel bekende API's als WinExec, ShellExecute,...
Wanneer hij ziet dat er een extrern process gestart word vangt hij deze af, en doet dat best aardig(heb wat zitten testen).

Echter een payload als meterpreter komt er gewoon door heen, want logish is als je naar de techniek kijkt die ze gebruiken.
Yes our ExploitShield Browser Edition does not block the meterpreter payloads. But we are working on an ExploitShield Corporate Edition which does. Check out our website for more info.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.