Come funzionano le impostazioni Anti-Exploit di ThreatDown?

Come funzionano le impostazioni Anti-Exploit di ThreatDown?

La Exploit protection di ThreatDown by Malwarebytes protegge gli endpoint da exploit dovuti a vulnerabilità presenti nei programmi installati su un endpoint. Le impostazioni di default nelle policy di ThreatDown offrono un equilibrio tra le prestazioni di un endpoint e la sua protezione.

N.B. Dalle impostazioni avanzate si può ulteriormente personalizzare Exploit Protection, ma si raccomanda di utilizzare quelle di default, a meno di casi eccezionali.

Per rivedere o modificare le impostazioni avanzate di Exploit Protection, andare in Configure → Policies → scegliere la propria policy → scegliere quindi Protection settings → Advanced settings → Anti-exploit settings.


Application hardening

Le impostazioni di Application hardening rendono i programmi più resilienti agli exploit.

  1. DEP Enforcement: attiva DEP (Data Execution Prevention) anche per i programmi che non la prevedono per impostazione predefinita.
  1. Anti-Heap Spraying Enforcement: riserva porzioni di memoria per prevenire l’abuso da parte di tecniche heap spray.
  1. Dynamic Anti-Heap Spraying Enforcement: analizza gli heap di memoria di un processo to per cercare shell code dannoso.
  1. Bottom-Up ASLR Enforcement: aggiunge la randomizzazione all’heap di memoria all’avvio del processo.
  1. Disable Internet Explorer VB Scripting: impedisce il caricamento del motore di script di Visual Basic, dato che spesso viene sfruttato in modo improprio. Solo per i browser basati su Internet Explorer.
  1. Detection of Anti-Exploit fingerprinting attempts: rileva i tentativi di idividuare vulnerabilità da parte degli exploit kit più diffusi.

Advanced memory protection

La protezione avanzata della memoria impedisce che lo shell code di eventuali exploit venga eseguito.

  • Malicious Return Address Detection:  detto anche “caller mitigation”, rileva se del codice viene eseguito all’esterno di moduli caricati in memoria.
  • DEP Bypass Protection: rileva i tentativi di disattivare Data Execution Prevention.
  • Memory Patch Hijack Protection: rileva e previene tentativi di utilizzare WriteProcessMemory per aggirare Data Execution Prevention.
  • Stack Pivoting Protection: rileva e impedisce a del codice malevolo l’utilizzo di uno stack di memoria fasullo.
  • ROP Gadget detection: rileva e impedisce i Return Oriented Programming gadgets quando viene chiamata un’API di Windows. Include istruzioni per la protezione personalizzata delle istruzioni “CALL” e “RET”.

Application behavior protection

Le impostazioni di Application behavior protection impediscono l’esecuzione del payload relativo a un exploit. Questo livello è l’ultima difesa nel caso in cui un exploit sia stato in grado di superare i livelli precedenti. Questo livello rileva e blocca anche gli exploit che non si basano sulla memory corruption, come per esempio gli escape sandbox Java o gli application design abuse exploits.

  1. Malicious Load Library Protection: impedisce la distribuzione di una libreria di payload da un percorso UNC.
  1. Protection for Internet Explorer VB Scripting: rileva e previene gli exploit correlati alla vulnerabilità di progettazione dell’applicazione nota come CVE-2014-6332. Per ulteriori informazioni su questo exploit, vedere questa pagina.
  1. Protection for Message Box Payload impedisce agli exploit l’utilizzo di un messagebox come payload. Questa opzione è disattivata di default – questi tipi di payload sono solitamente innocui e vengono solitamente utilizzati nelle POC
  1. Protection for Office WMI abuse: protegge dagli exploit macro di Microsoft Office che utilizzano WMI (Windows Management Instrumentation).
  1. Protection for Office VBA7 abuse e Protection for Office VBE7 object abuse: protegge dagli exploit macro di Microsoft Office che utilizzano Visual Basic, Applications Edition.
  1. Protection for Office Scripting app abuse: protegge dagli exploit di scripting delle applicazioni Microsoft Office.
  1. Protection for Office loading points abuse: protegge dagli exploit dei punti di caricamento di Microsoft Office all’avvio delle applicazioni.
  1. Protection for Office spawning batch commands: protegge dagli exploit che usano comandi batch di Microsoft Office.
  1. Protection for Excel macro 4.0 abuse: protegge dagli exploit di Microsoft Office macro 4.0.
  1. Protection for Excel macro 4.0 abuse: protegge dagli exploit di scripting sui client di posta elettronica.

Java Protection

Java Protecion protegge dagli exploit comunemente utilizzati nelle applicazioni Java.

  1. Prevent Web-Based Java Command Line: protegge da applicazioni Java Web-based che cercano di dare comandi di sistema.
  1. Java Malicious Inbound Shell Protection: protegge dagli exploit della shell remota i cui payload utilizzano socket in entrata.
  1. Java Malicious Outbound Shell Protection: protegge dagli exploit della shell remota i cui payload utilizzano socket in uscita.
  1. Java Metasploit/Meterpreter Generic Protection: rileva e impedisce i tentativi di utilizzare il payload Metasploit Java/Meterpreter.
  1. Java Metasploit/Meterpreter Command Execution Protection: rileva e blocca i comandi in una sessione Java/Meterpreter stabilita.
  1. Allow Insecure Java Operations in Internal IP Ranges: consente agli strumenti e alle applicazioni di rete aziendali interne non sicure pur continuando a proteggere dalle minacce Java esterne.