Protezione dagli exploit con ExploitShield

ExploitShield è una suite sviluppata da Zero Vulnerability Labs in grado di proteggere il proprio computer da attacchi, distribuita in due versione per l’home user denominata Browser Edition o Corporate Edition per le aziende. In questo articolo illustreremo le funzionalità di entrambi i pacchetti in grado di applicare uno scudo al proprio computer e di rilevare comportamenti anomali che possono portare ad una compromissione del sistema.

Figura 1. ExploitShield le versioni disponibili

ExploitShield Browser Edition viene distribuito gratuitamente per gli utenti privati e per le organizzazioni non-profit. Esso incorpora tutte gli struemnti per proteggere il proprio Browser evitando il download da pagine web di exploit kits o exploit. Web-based. Questi tipi di attacchi sono utilizzati principalmente come vettori di malware, rootkit e altri tipi di virus non documentati normalmente nelle black-list degli antivirus.

ExploitShield Corporate Edition include funzionalità di protezione all’avanguardia contro le minacce avanzate e persistenti, non si ferma ad analizzare le pagine web ma verifica i file salvati sul proprio terminale e previene il DLL hijacking. Uno strumento completo per prevenire attacchi in genere compiuti per spionaggio industriale o per una penetrazione totale nell’infrastruttura di rete.

Il progetto ExploitShield è nato nell’estate del 2012 e ad oggi è possibile ottenere la versione Beta della suite dedicata agli utenti privati che recensiremo in questo articolo, Browser Edition, la versione Corporate invece non è ancora stata resa pubblica.

Figura 2. ExploitShield: la schermata principale

ExploitShield Browser Edition necessità delle librerie Microsoft Visual C++ Redistributable per poter essere eseguito. Le librerie sono scaricabili gratuitamente sul sito Microsoft in versione 32bit o 64 bit.

Una volta scaricate ed installate le librerie possiamo procedere all’installazione del software ExploitShield che si completerà in pochissimi passi, prestando attenzione a non aver alcun Browser aperto durante il processo di setup. Terminata l’installazione il software si avvierà in background e noteremo una nuova icona a forma di “Z” nella barra delle applicazioni.

Figura 3. ExploitShield: la schermata di alert

Il software agirà in maniera totalmente autonoma e interverrà al verificarsi di un tentativo di infezione del nostro PC bloccando l’accesso o il download della minaccia, apparirà inoltre un messaggio di notifica. Accedendo ai log del software sarà possibile ottenere maggiori informazioni sulla minaccia.

Per i più curiosi è possibile verificare personalmente il funzionamento del software creandosi un payload ad hoc con Metalspoit o più semplicemente sfruttando il portale online Malware Domain List che raccoglie giornalmente centinaia di siti internet compromessi nei quali vengono caricati payload malevoli. Basterà digitare l’url prelevato dal database di Malware Domain List nel proprio browser per vedere in azione ExploitShield.