Malwarebytes Anti-Exploit

[ichito]

Dziś zadebiutował nowy program pod nazwą Malwarebytes Anti-Exploit ...nazwy jakby są znane bo z jednej strony producent MBAM, a z drugiej program

[Aby zobaczyć linki, zarejestruj się tutaj]

...tylko skąd połączenie tych nazw? Ano stąd, że Malwarebytes ogłosiło właśnie przejęcie ZeroVulnerabilityLabs.

[Aby zobaczyć linki, zarejestruj się tutaj]

Malwarebytes Completes Acquisition of ZeroVulnerabilityLabs

Malwarebytes Acquires Exploit-Focused Software Company, Expands Technology Base in Vulnerability Protection

SAN JOSE, Calif. - June 20th, 2013 – Malwarebytes, a leading provider of anti-malware software, today announced the acquisition of ZeroVulnerabilityLabs, Inc. , a vulnerability, exploit and security research and development firm. ZeroVulnerabilityLabs technology proactively shields software applications from zero-day exploits, malware infections from exploit kits, and other web-based vulnerability exploits.

The acquisition of ZeroVulnerabilityLabs complements and expands Malwarebytes’ industry-leading anti-malware suite, which includes Malwarebytes Anti-Malware and Malwarebytes Anti-Malware Pro. Like Malwarebytes, ZeroVulnerabilityLabs has worked tirelessly to develop software that fights and protects users against malicious attacks.

“ I am very pleased to announce the acquisition of ZeroVulnerabilityLabs and to welcome its employees to the Malwarebytes team,”said Malwarebytes CEO, Marcin Kleczynski. “We are always looking to improve upon our existing offerings, and have done so with the addition of ZeroVulnerabilityLabs’ technology. The proactive nature of this technology makes it a great addition and compliment to the existing Malwarebytes software suite.”

Przejęty przez Malwarebytes program zmienił nazwę i w tej chwili jest okresowo rozpowszechniany za darmo w bogatszej i płatnej wersji "Corporate Edition" , co potwierdził na Wildersach przedstawiciel ZVL (wersja darmowa i uboższa nosiła nazwę "Browser Edition")

A new and improved version of ExploitShield with new features and rebranded as Malwarebytes Anti-Exploit is available for a limited time through the ZeroVulnerabilityLabs website.

To cytat ze strony MAX (Malwarebytes Anti-Exploit)...tak sobie nazwałem...nawet fajnie
A tu cytat z forum W

ZeroVulnLabs
Developer

Join Date: Mar 2012
Location: USA
Posts: 240
Default Re: Malwarebytes bought Zerovulnerabilitylabs
Not an error, it''s on purpose. The new Malwarebytes Anti-Exploit version 0.9.2 is the complete version, what was previously known as ExploitShield Corporate Edition.

In the next release in a few days we''ll activate the "Shield" and "Un-Shield" buttons also.

[Aby zobaczyć linki, zarejestruj się tutaj]

Kilka screenów własnych

[Aby zobaczyć linki, zarejestruj się tutaj]

Strona programu

[Aby zobaczyć linki, zarejestruj się tutaj]

[ktośtam]

In the next release in a few days we''ll activate the "Shield" and "Un-Shield" buttons also.

Czyli będziemy mieli możliwość włączenia/wyłączenia ochrony dla poszczególnych aplikacji.

[chomikos]

Zainstalowałem na próbę. Czysty system, 3-4 dniowy, a IE 10 mi blokuje przy włączaniu.

[ktośtam]

Malwarebytes Anti-Exploit 0.9.2.1200

Lista zmian:

Fix crash when pressing "Clear" button in the LOG tab.
Fix error when opening DOCX/XLSX under certain configurations of MS Office under Windows 7 64bits.
Fix false positive when opening IE10 under certain configurations of Windows 7 64bits.
Fix "Shielded applications" counter in GENERAL tab sometimes does not showing correct count.

To upgrade, follow these steps :
Close all shielded applications (browsers, Office, Acrobat, etc.)
Close Malwarebytes Anti-Exploit by right-clicking on the traybar icon and choosing Exit.
Download and install the new version.

Pobieranie:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Miquell]

Koledzy, ile zasobów pożera to cudo? Jak sprawuje się ostatnia wersja? Pojawia się jeszcze dużo krzaków??

[ktośtam]

To wciąż beta, więc krzaki mogą się zdarzać.

[wojek]

w przypadku dodatków do FF (typu TrafficLight, Ghostery, itd.),
czy blokował/utrudniał pracę Firefoxa?

[heros1303]

Ja miałem (czeka mnie format/7 nie wstaje) + różne dodatki do firefox i nic nie krzyczał. Można by powiedzieć że był jak duch jak WB a nawet lżejszy.

[wojek]

dzięki, ja mam Win XP home, wystarcza mi całkowicie,
ale od kwietnia 2014 nie będzie już supportu Microsoftu,
m.in. dlatego myślę o tym MBAE.

oczywiście najłatwiej zainstalować i zobaczyć samemu jak działa,
ale niektóre softy z tej branży (bezpieczeństwa) śmiecą strasznie w rejestrze, np. driverami,
i wcale nie odistalowują się bezproblemowo

[sopel69]

Wrzuciłemznajomej na 10 letniego kompa z Xp (służy tylkodo przeglądania internetu) MBAE + DNS Nortona, poza tym brak innej ochrony w czasie rzeczywistym. Po 2 miesiącach system czysty (skany Hitman pro i MBAM). Komputer chodzi lekko, nie przymula, a wcześniej ciął się na Nod 32.

[wojek]

zainstalowałem wczoraj MBAE, szybko i sprawnie;
wygląda na to, że driver .sys i biblioteka .dll instalują się tylko
w głównym folderze programu, co ułatwia czyste odistalowanie;
zużycie RAMu - kilka MB.

Problemy:

od początku wystąpił u mnie znany problem z HitmanPro.alert, opisany np. tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

po kilku rebootach pojawił się, również znany, problem z brakiem ikonki w trayu,
i brakiem reakcji na ikonę na pulpicie

[Aby zobaczyć linki, zarejestruj się tutaj]

program jednak pracował w tle.

jednak z powodu zwłaszcza tego drugiego problemu, czyli braku reakcji
na próby otwarcia interfejsu, zdecydowałem się odistalować - to odbyło się sprawnie i bez problemu.

Będę czekał na nowy build, i wtedy znowu spróbuję, bo program jest lekki i wydaje się obiecujący

[wojek]

ukazał się nowy build beta: 0.09.4.1000

[Aby zobaczyć linki, zarejestruj się tutaj]

ciekawy jest test z kalkulatorem Windows; warto by popatrzeć, jak sprawują się przy nim różne aplikacje HIPSowe,
czy rezydenty używanych przez nas programów

[zord]

Jak ktoś sobie chce przeprowadzić teścik z kalkulatorem, a nie chce instalować Malwarebytes Anti-Exploit to proszę bardzo sam tester.

[Aby zobaczyć linki, zarejestruj się tutaj]

[sopel69]

Malwarebytes Anti-Exploit od dzisiaj informuje, że skończył się okres testowy.

[ichito]

Malwarebytes Anti-Exploit od dzisiaj informuje, że skończył się okres testowy.

To chyba powszechny błąd, bo wszystkie licencje zdaje się kończą się dzisiaj...na forum MBAE zalecają zainstalowanie nowej wersji

Posted Yesterday, 07:56 PM
Sorry for this guys. The expiration date has been changed in the new upcoming version but it has not been finished checking by QA.

Please upgrade to the next version preview:

[Aby zobaczyć linki, zarejestruj się tutaj]

Nowa wersja

Posted Yesterday, 07:54 PM
We are pleased to announce the availability of a preview of the next beta, version 0.09.5.0250.

The changelog is the following:
• Added new techniques for protection from stage1 exploits.
• Added new techniques for protection from stage2 exploits.
• Added new technique for stage1 and stage2 memory protections.
• Added new hooking of certain Windows 8.x specific functions.
• Added more verbose logging.
• Fixed bug with Acrobat Reader shield.
• Fixed bug installing MBAE in x64 systems where WinDir is in non-C drive.
• Fixed bug "missing MSVCP100D.DLL" when uninstalling MBAE.
• Fixed bug with excluding HitmanPro.Alert upgrades.
• Fixed bug with negative shielded applications counter.
• Fixed issue with Chrome extensions crash when stopping/starting MBAE.

To install, please follow these instructions:

1- Save the attached "mbae-setup-0.09.5.0250.zip" to your Desktop and extract it.
2- Close all browsers and other protected apps (Word, Acrobat, etc.).
3- Uninstall MBAE from Control Panel.
4- Install the new version by running "mbae-setup-0.09.5.0250.exe" from your Desktop.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Patrick Bateman]

O, wreszcie będzie mi działać z HitmanPro.Alert, instaluję .

[KaMiL]

Nowa wersja

Malwarebytes Anti-Exploit BETA 0.09.5.1000.

The changelog is the following:
• Added new techniques for protection from stage1 exploits.
• Added new techniques for protection from stage2 exploits.
• Added new technique for stage1 and stage2 memory protections.
• Added new hooking of certain Windows 8.x specific functions.
• Added more verbose logging.
• Fixed bug with Acrobat Reader shield.
• Fixed bug installing MBAE in x64 systems where WinDir is in non-C drive.
• Fixed bug "missing MSVCP100D.DLL" when uninstalling MBAE.
• Fixed bug with excluding HitmanPro.Alert upgrades.
• Fixed bug with negative shielded applications counter.
• Fixed issue with Chrome extensions crash when stopping/starting MBAE.

[Aby zobaczyć linki, zarejestruj się tutaj]

[wojek]

rozpoczął sięnabór alpha testerów MBAE w wersji 0.10:

[Aby zobaczyć linki, zarejestruj się tutaj]

[ichito]

Ponieważ MBAE jest podobnie działającym i chroniącym programem, zadawano sobie pytanie, czy również i jego dotyczy problem obejścia osłon EMET 4.1...nie ma jednoznacznej odpowiedzi ani adekwatnych testów, jest natomiast komentarz autora programu nieco rozsiany po wątku na Wildersach

ZeroVulnLabs
Developer (aka "pbust")

It''s good that there are new anti-exploit products coming to market, it shows there is a need that is not being filled by traditional security products. Looking forward to actually testing the product. This one seems like a copycat of EMET which activates various OS protections, although with some improvements. The important thing however is not the number of activated techniques but the detection logic which applies those techniques, as many individual techniques can and have been bypassed.

MBAE as you know takes a different and proven approach to blocking exploits than EMET and this is not reflected in the comparison. For example in addition to memory protections MBAE also has other protection layers which look at application behavior and which prevents exploits even when there are bypasses for those memory protections or sandbox escapes.

Many things shown as negatives on the table we do internally or using other methods not reflected in the table, like for example the per process mitigation. The fact we internally finetune and apply our techniques per process means it is a benefit (instead of a negative) in terms of stability, compatibility and provides the best protection for that specific application, as opposed to applying standard mitigations which can cause incompatibilities such as the known EMET issues. It also means end users who are not experienced vulnerability researchers might turn off important mitigations or not turn on the correct ones for a specific application. Also there are some incorrect statements in the table and irrelevant ones when comparing exploit mitigations (the last 6 or so).

[Aby zobaczyć linki, zarejestruj się tutaj]

Quote:

Originally Posted by harshisthere
I am skeptical about MBAE because no one has till now made a recommendation that it works. The ones like Fire eye or bromium and others who expose so many exploits. They all recommend EMET.

MBAE, in addition to the memory protections similar to those found in EMET (and some not found in EMET) also has a different layer of application behavior protection which has been proven time and again in stopping memory protection bypasses and sandbox escapes as in the typical Java exploits found ITW which bypass even EMET 4.1 (haven''t looked at the default install of EMET 5.0 yet). In this particular scenario it would likely prevent the payload from running after all the memory protections have been bypassed.

But as others have said above, MBAE is still beta and we continue developing, adding new techniques every new beta version that is released and we have bigger plans for it in the near future which prevent the limitations inherent in userland protections. Due that we don''t have time to spend on researching bypasses for EMET and other popular applications, but once we get closer to release I hope we''ll be able to dedicate some resources to that as well.

[zord]

MBAE to coś bardziej jak antiexe, kiedyś widziałam artykuł w necie źe to można obejść.