Un outil pour bloquer les attaques exploitant les f. L

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1789
Inscription : 02 juin 2012 20:48

Un outil pour bloquer les attaques exploitant les f. L

Message par Parisien_entraide » 03 oct. 2012 15:56

C'est juste une présentation, dont on ne connait la réelle efficacité du programme (PC Mag a cependant testé)

Source :

http://www.lemondeinformatique.fr/actua ... 50676.html

"ZeroVulnerabilityLabs, une start-up de la Silicon Valley, a mis à disposition un logiciel gratuit qui, selon elle, empêcherait des malwares d'exploiter un large éventail de vulnérabilités indépendamment du fait que ces failles soient publiquement connues ou non. Disponible dès à présent en version bêta pour les utilisateurs et les organismes sans but lucratif (la version entreprise ayant besoin d'une licence), Browser Edition ExploitShield est conçu pour être «installé et oublié», a indiqué la jeune compagnie.

Une fois installé, le logiciel nomme 17 applications comme étant protégées, parmi lesquels des outils couramment utilisés tels qu'Adobe Reader et Flash, Java, Microsoft Office, différents navigateurs différents et un certain nombre de lecteurs vidéo. D'autres pourront prochainement s'ajouter : des innovations de sécurité apparaissent de temps à autre, et l'outil Browser Edition ExploitShield représente une approche latérale de ce qui est probablement devenu le problème majeur des particuliers et des entreprise qui doivent apprendre à sécuriser leurs PC quand des failles logicielles surgissent sur une base presque quotidienne."

Lien de téléchargement (site sur lequel on voit une vidéo de présentation) :

http://www.zerovulnerabilitylabs.com/ho ... r-edition/

C'est une beta (mais fonctionnelle) donc qui a quelques bug connus :

http://www.zerovulnerabilitylabs.com/fo ... 011aea8b2b


PC MAG a effectué un test : par le biais de Neil Rubenking affiché comme "Lead Analyst for Security"

http://www.pcmag.com/article2/0,2817,2410274,00.asp

Globalement le ton est optimiste

L'éditeur propose meme des url pour des exploits

http://www.zerovulnerabilitylabs.com/fo ... ?f=14&t=55


Only Amiga... was possible !


compte-supprime666
Intermédiaire Expert
Intermédiaire Expert
Messages : 259
Inscription : 02 févr. 2012 12:03

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par compte-supprime666 » 04 oct. 2012 13:05

Salut,


Ce n'est pas de l'heuristique, pas du scan sur liste, alors c'est un bloqueur comportemental, un de plus, les bons antivirus en ont souvent un aussi, sans pour autant le crier sous tous les toits.

Attention aux conflits possibles avec l'antivirus en place.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1789
Inscription : 02 juin 2012 20:48

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par Parisien_entraide » 04 oct. 2012 15:21

Justin a écrit :Salut,


Ce n'est pas de l'heuristique, pas du scan sur liste, alors c'est un bloqueur comportemental, un de plus, les bons antivirus en ont souvent un aussi, sans pour autant le crier sous tous les toits.

Attention aux conflits possibles avec l'antivirus en place.

Pour l'analyse c'est ce que j'en ai déduis après avoir lu leurs pages, parce que c'est le SEUL type d'analyse dont ils ne font pas état du moins qui n'est pas mis en avant :-)
(leur prog n'est pas basé sur des listes blanches ou noires, pas de cloud VM boite à sable, signatures d'attaques, signatures de détection d'intrusion)

A un seul endroit Ils disent juste qu'il s'agit d'un nouveau brevet. Sur une autre page ils disent qu'il s'agit d'une détection proactive (ce que font les AV modernes) Donc quid ?

Ils indiquent également que leur but n'est pas de remplacer un antivirus ou une suite d'antivirus mais que le prog est un complément et peut l'améliorer (ils font donc mieux ?)

Parce que qui dit proactive-comportementale dit capable de détecter les 2 tonnes de malwares qui sont en fait des fichiers dont le code est caché par les moults crypters - dropers, et le comportement sera donc le meme puisque les strings en mémoire sont à l'identique

Les comportements général des droppers peuvent être aussi à l'identiques d’une famille à l’autre mais si il s'agit d'une nouvelle famille ?

Il y a donc pas mal d'interrogations et de questions en suspend

Du reste pour l'instant vu les problèmes connus (dont celui avec File Hippo update Checker) c'est à tester dans une VM et pas à installer sur un PC de travail (c'est une beta il faut s'en rappeler)

Concernant les conflits possibles avec les AV, j'ai eu beau scruter le forum, personne n'en fait état ou fait part de ralentissements etc
Only Amiga... was possible !

compte-supprime666
Intermédiaire Expert
Intermédiaire Expert
Messages : 259
Inscription : 02 févr. 2012 12:03

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par compte-supprime666 » 04 oct. 2012 16:02

"Les comportements général des droppers peuvent être aussi à l'identiques d’une famille à l’autre mais si il s'agit d'une nouvelle famille ?"

Avec ce type d'outils, silencieux en général, sauf l'UAC, si ça touche où il faut pas, pan!


"Concernant les conflits possibles avec les AV, j'ai eu beau scruter le forum, personne n'en fait état ou fait part de ralentissements etc"

Mets le avec Bitdefender ou Kaspersky... je ne suis pas sûr qu'il survivra à l'installation, en outre, qui dit conflit peut vouloir dire silence et absence de filtration.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1789
Inscription : 02 juin 2012 20:48

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par Parisien_entraide » 05 oct. 2012 15:58

Justin a écrit : (...)
Avec ce type d'outils, silencieux en général, sauf l'UAC, si ça touche où il faut pas, pan!

"Concernant les conflits possibles avec les AV, j'ai eu beau scruter le forum, personne n'en fait état ou fait part de ralentissements etc"

Mets le avec Bitdefender ou Kaspersky... je ne suis pas sûr qu'il survivra à l'installation, en outre, qui dit conflit peut vouloir dire silence et absence de filtration.
A ce jour (je viens de scruter le web) rien de vraiment nouveau


Nez en moins j'ai glané quelques infos :-)


Sur la chaine youtube différentes infections traitées par le programme

http://www.youtube.com/user/ZeroVulnLabs?feature=watch

Une précision est apportée (pas sur youtube mais dans un forum)

"In our YouTube channel you can view some vids of the full version and all the shields in action.
PS: the vids are of prototypes and early versions, but with all shields enabled."


Les quelques AV, ou protections anti Malwares ou progs qui fonctionnent sans conflit(s), ou qui n'interfèrent pas que j'ai trouvé :

Avast, MalwareBytes Pro, Comodo Firewaall, Comodo Secure DNS server, VPN4AL


En navigateurs (autres que IE et firefox et ses plug in) : Opéra, Chrome (+ plug in)


Pour ceux qui veulent tester, certains ont eu des pbs à la désinstallation. La solution :

To fix these incomplete uninstalls do the following:

1- Uninstall from Add/Remove
2- Reboot
3- Delete HKLM\SYSTEM\CurrentControlSet\Services\ProtectorDriver
4- Reboot
5- Install again from ExploitShield-Setup.exe installer

________

Concernant les questions posées (qui n'apparaissent pas dans la Faq du site) voici les réponses :


Derrière la Sté :

edro Bustamante and David Sanchez Lavazo, both (formerly?) of Panda Security,

Sur une nouvelle famille d'exploits

"The comment refers to the type of exploits we have tested against, it has blocked 100% of them. That is not to say of course there could be a new exploit tomorrow which it doesn't. But for now everything we've thrown at it has been blocked... 3 different IE 0-days, 3 different Java 0-days, Blackhole Exploit Kit 2.0, Phoenix, Incognito, Sakura, PDF exploits, VLC exploits, Windows Media Player exploits, etc.

EDIT: I am pbust btw but this is a project of mine which is separate from Panda."



Pour le peu de détails sur la méthode utilisée :

" I hope you understand we cannot tell all the details of how we do it... for many reasons. Bad guys, competitors, etc."


S'installe sur du 32 et 64 Bits

ExploitShield is a full 64bit program. In the installation directory you will see ExploitShield64.exe, sys and dll. Also a 32bit dll for 32bit programs which may run under your 64bit OS.


Au sujet des composants de l'OS qui sont protégés

"Windows Script Host is protected
ExploitShield includes some built-in shields for certain OS components. This is one of them."


Ils enfoncent le clou pour bien différencier l'AV de l'outil :

"If you ONLY have ExploitShield installed you can still get infected if you manually download & execute a malicious EXE, as it is outside the scope of ExploitShield to protect against those scenarios. That's the job of the AV. ExploitShield does only one thing and it does it very well, which is to prevent vulnerability exploits."


Sur la version Beta pro et browser :

Question :"all of the Shields currently displayed in v. 0.7 functional, or are they not active?"
Réponse : "Yes they are functional. We simply deactivated them for the Browser Edition beta."


Sur les ressources :

"Ressource : Minimal... average 3MB private bytes and practically zero I/O & CPU."


Sinon l'adresse mail (pour envoyer les logs lors de problèmes ou divers fichiers, tests etc et avoir des réponses

Support@zerovulnerabilitylabs.com.


Voila c'est maigre mais ca avance... un peu :-) (une Beta 3 devrait apparaitre sous peu)
Only Amiga... was possible !


compte-supprime666
Intermédiaire Expert
Intermédiaire Expert
Messages : 259
Inscription : 02 févr. 2012 12:03

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par compte-supprime666 » 05 oct. 2012 16:32

"If you ONLY have ExploitShield installed you can still get infected if you manually download & execute a malicious EXE, as it is outside the scope of ExploitShield to protect against those scenarios. That's the job of the AV. ExploitShield does only one thing and it does it very well, which is to prevent vulnerability exploits"


ça doit être un "truc" au niveau du navigateur, ils n'annoncent pas vraiment la couleur.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1789
Inscription : 02 juin 2012 20:48

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par Parisien_entraide » 14 oct. 2012 11:55

Justin a écrit :"If you ONLY have ExploitShield installed you can still get infected if you manually download & execute a malicious EXE, as it is outside the scope of ExploitShield to protect against those scenarios. That's the job of the AV. ExploitShield does only one thing and it does it very well, which is to prevent vulnerability exploits"


ça doit être un "truc" au niveau du navigateur, ils n'annoncent pas vraiment la couleur.

Rien de bien nouveau sur cet outil (ils continuent de travailler sur la version 1.0) hormis le fait que la page affichant les dernières attaques bloquées sont affichées

http://www.zerovulnerabilitylabs.com/ho ... elligence/

On peut remarquer lien avec un https dans les derniers liens recensés
Only Amiga... was possible !

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1789
Inscription : 02 juin 2012 20:48

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par Parisien_entraide » 16 déc. 2012 12:29

Juste pour suivre l'actualité de ce produit :


Un article qui m'avait échappé et assez intéressant :

http://blog.trailofbits.com/2012/10/29/ ... oitshield/

Avec la réponse des auteurs dans les commentaires de la page


Le programme poursuit son petit bonhomme de chemin en version 0.8.1

http://projects.breakthesecurity.com/20 ... n-081.html

Sur le forum du site créateur il n'y a que les détails de la 0.8

http://www.zerovulnerabilitylabs.com/fo ... ?f=2&t=147



Et un forum de discussion (anglais) assez suivi, hors éditeur, meme si celui ci intervient pour apporter des informations :

http://www.wilderssecurity.com/showthre ... 27&page=19
Only Amiga... was possible !

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95081
Inscription : 10 sept. 2005 13:57
Contact :

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par Malekal_morte » 17 déc. 2012 00:10

Merci Parisien_entraide.
J'ai posté sur le site : https://www.malekal.com/2012/12/16/explo ... loits-web/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1789
Inscription : 02 juin 2012 20:48

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par Parisien_entraide » 16 sept. 2013 14:01

Malekal_morte a écrit :Merci Parisien_entraide.
J'ai posté sur le site : https://www.malekal.com/2012/12/16/explo ... loits-web/
Absent depuis quelques mois j'en profite pour remettre à jour certains liens

Déja le programme a été renommé et a été updaté en juin

Malwarebytes Anti-Exploit (formerly ExploitShield) 0.9.2 Beta

http://www.majorgeeks.com/files/details ... ld%29.html

L'auteur précise la manip pour installer sans soucis à partir de l'ancienne version :

Follow these instructions if you're upgrading from a ZVL ExploitShield:

1- Close all shielded applications (browsers, etc.)
2- Right-click on the traybar icon and choose Exit
3- From Control Panel, Add/Remove Programs, uninstall ExploitShield
4- Download and install the latest version.

Le nouveau site

http://www.malwarebytes.org/products/antiexploit/

et oui c'est le site du bien connu "MalwareBytes"

Je vois que la correction a été apportée en avertissement sur

https://www.malekal.com/2012/12/16/explo ... loits-web/

Je complète ici pour la cohérence du sujet
Only Amiga... was possible !

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95081
Inscription : 10 sept. 2005 13:57
Contact :

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par Malekal_morte » 16 sept. 2013 14:59

oui j'ai fait ce topic en fait dans programmes utiles : malwarebytes-anti-exploit-t43783.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

chef
Geek à longue barbe
Geek à longue barbe
Messages : 5319
Inscription : 25 janv. 2008 17:06
Localisation : ici et la !!!!

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par chef » 18 sept. 2013 19:22

bonsoir,
vu que j'ai la version malwarebytes pro, je vais le mettre avec Malwarebytes Anti-Exploit et voir se que sa donne .
marque pc:EasyNote TV44HC
produit: Intel(R) Core(TM) i3-3110M CPU @ 2.40GHz
mémoire: 4GiB
carte graphique : nvidia geforce 710
Description: Debian GNU/Linux 8.0 (jessie)

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1789
Inscription : 02 juin 2012 20:48

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par Parisien_entraide » 21 sept. 2013 12:55

chef a écrit :bonsoir,
vu que j'ai la version malwarebytes pro, je vais le mettre avec Malwarebytes Anti-Exploit et voir se que sa donne .
Oui il est intéressant d'avoir un autre avis pour voir si les deux n'entrent pas en conflit sur des cas particuliers

Normalement il n'y a pas de conflit avec un AV et dans les fora, et personne n'a relevé de soucis avec MBAM pro


A noter :

Nouveau forum

http://forums.malwarebytes.org/index.php?showforum=126
Only Amiga... was possible !

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95081
Inscription : 10 sept. 2005 13:57
Contact :

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par Malekal_morte » 23 sept. 2013 09:33

Quand ils auront mis la fonction scanneur de rootkit qui déchire, plus l'anti-Exploit, dans la version Pro.
En tenant compte du fait que c'est l'un des seuls antimacins à détecter les programmes parasites (PUPs), ça va commencer à devenir une solution très sérieuse.
Faut juste qu'il limite les FP sur les IPs.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1789
Inscription : 02 juin 2012 20:48

Re: Un outil pour bloquer les attaques exploitant les f. L

Message par Parisien_entraide » 30 sept. 2013 10:01

Malekal_morte a écrit :Quand ils auront mis la fonction scanneur de rootkit qui déchire, plus l'anti-Exploit, dans la version Pro.
En tenant compte du fait que c'est l'un des seuls antimacins à détecter les programmes parasites (PUPs), ça va commencer à devenir une solution très sérieuse.
Faut juste qu'il limite les FP sur les IPs.
Pour l'instant leur politique commerciale est de segmenter les produits (truc à la mode lié à la situation économique je pense, puisque je le vois également dans d'autres domaines comme le recouvrement de données ou avant on avait un prog qui faisait tout (je prend l'ex de Stellar Phoenix windows) qui existe toujours mais dont le prix peut rebuter, et qui existe maintenant en modules séparés, décliné en versions spécialisées (mail recovery, password recovery etc)

Le prix en devient plus abordable

Ensuite si cela devait se faire je suppose que cela ne sera pas avant l'année prochaine (les versions beta sont dispos jusqu'à fin decembre 2013, mais ensuite ?)
Il faut juste créer l'interface et que tout fonctionne au sein du meme programme ce qui n'est pas gagné, car on a là des programmes qui peuvent agir en temps réel, ou via scanners à la demande

Tiens du reste (oui je sais ce n'est pas la bonne place) en parlant de MBAM, j'ai noté un petit manque qui serait non négligeable (par ex dans avant-poster-dans-partie-virus-t12023.html ?)

Perso je vois de plus en plus de gens qui ont des soucis d'infection et qui viennent demander de l'aide en fait en dernier recours (classique) en omettant de dire ce qu'ils ont fait AVANT

Je peux prendre l'ex de ceux que j'avais envoyé ici extention-omg-ajoute-aux-fichiers-t44686.html
Qui ont essayé de se désinfecter tout seul et qui, comme tous les autres, avaient essayé un tas de programmes, espérant d'un coup de baguette magique éradiquer la source de leurs problèmes (au lieu de faire une analyse au préalable)

Le point commun : Ils effacent les rapports d'analyse (AV, MBAM, ZHP initiaux etc), les fichiers en quarantaine, et finalisent la chose avec l'outil que certains présentent comme magique/miraculeux : CCleaner

Après c'est la plaie pour essayer de savoir la cause de l'infection ou plus exactement de récupérer un sample de la source de l'infection
Il manque donc (à mon humble avis) : GARDER Vos rapports d'analyse initiaux et vos fichiers en quarantaine

Sinon pour MBAM concernant les PUP,et autres joyeusetés, idéalement il faudrait que ce soit couplé avec Adwcleaner, qui s'avère parfois plus efficace (idéalement les deux sont complémentaires)
Only Amiga... was possible !


Répondre

Revenir vers « Actualité & News Informatique »