Malwarebytes針對新興威脅推出極輕量端點防護

去年，許多訴求能夠在端點電腦發現未知威脅，並可執行封鎖、阻擋等措施的防護產品，像是CrowdStrike、Carbon Black、Cylance等廠牌的解決方案，都相繼引進臺灣。而今年初，有廠商正式代理Malwarebytes的防護產品。

不過，Malwarebytes成立至今，已經接近10年之久，之前，他們的主力產品Anti-malware，曾在個人端領域以防間諜軟體聞名，後續又推出了針對漏洞攻擊的Anti-exploit，以及Anti-ransomware防加密勒索軟體等。而在企業產品領域，他們將上述的3款軟體，以防護套餐的型式，推出名為Malwarebytes Endpoint Security（MBES）的解決方案。

論及MBES所含的軟體特性，它們都採用無特徵碼比對的方式，包含Anti-Malware軟體的Chameleon偵測技術，以及Anti-exploit的4層漏洞防護機制等，主動偵測處理程序的行為特徵，分析攻擊手法並加以攔截，與次世代端點防護（Next Generation Antivirus）產品的做法接近。

不過，與大部分次世代端點防護軟體最大的不同點是，MBES強調能與一般的防毒軟體共同運作，企業可在現有的端點防護機制上，直接加裝MBES，搭配使用，換言之，所有列管電腦不須先行移除防毒軟體，就能部署這款產品。

其中，Anti-malware與Anti-exploit這2個軟體，是MBES最主要的功能，它們可透過主控臺集中部署、控管。從管理介面的政策邏輯來看，Anti-malware針對的是惡意軟體監控，可手動或排程掃描電腦，而Anti-exploit的防護目標，則是特定的應用程式，在這些軟體執行時，才提供相關的保護。

就MBES所提供的3款軟體而言，仍是各有其專屬的設定介面，而在原廠近期推出的Malwarebytes Endpoint Protection中，終於充分整合，不過，這款產品與MBES最大的不同點之一，就是只提供雲端主控臺的管理機制，不少企業恐怕無法接受，而改考慮MBES。

若是企業想要管理執行MBES的端點電腦，這款解決方案提供的管理平臺，是安裝在Windows Server上執行的軟體，不像一般的防毒軟體，採用網頁管理介面。

針對多種類型應用程式提供漏洞攻擊防護

在MBES管理主控臺中，我們可看到對於應用程式漏洞，Anti-exploit提供了應用程式強化、記憶體內防護、行為防護等功能，並能依據瀏覽器、辦公室套裝軟體、PDF檢視器等類型，自訂防護項目。

端點電腦所需資源極為輕省

我們實際將MBES所含的3款防護軟體，全部安裝在執行Windows 10的測試電腦上，發現在端點電腦占用的系統資源，算是相當的少，從工作管理員來看，在我們的測試電腦中，MBES總共只用了16.4MB記憶體，我們在操作電腦時，在安裝軟體的前後，感覺系統執行同樣都非常順暢。這也反映在原廠提供的建議需求上，端點電腦的記憶體只要求1GB，而在儲放應用程式與事件記錄的磁碟空間上，也僅需100MB即可。

值得一提的是，在一般的快速掃描與完整掃描模式之外，Anti-malware另外提供了較為輕省的極速（Flash）掃描，相較於前述兩種模式，極速掃描的範圍只有檢查開機磁區、正在記憶體內的處理程序與檔案，以及啟發式未知攻擊檢測，而不會掃描登錄檔與其他電腦內的資料，因此掃描時更加節省端點電腦的系統資源。

我們在另一臺實體電腦上，分別以Anti-malware執行極速與快速掃描，所需時間各為4分23秒與13分53秒。在相同的條件下，若是採用電腦內建的Windows Defender，快速掃描則要14分49秒，Anti-malware極速掃描只需不到1/3的時間。而我們透過工作管理員來看，在Anti-malware執行掃描的過程中，處理器的使用率一直維持在15%，而Windows Defender掃描時，處理器最高卻會使用到71%，從處理器使用率來看，Anti-malware占用的資源也相當低，不會有突然耗費大量處理器的情況，影響使用者操作電腦。

能攔截新興威脅並清除

為了測試MBES的防護效果，我們將Windows 10作業系統內建的Windows Defender防毒軟體功能停用，然後，在這臺電腦上，執行網路上取得的多個惡意攻擊樣本檔案，在測試環境中執行。

以開啟檔名為蔡英文的國際戰略的DOC檔案為例，當Word應用程式開始執行，並將DOC文件開啟時，MBES的Anti-exploit便會開始檢查，並攔截其中的惡意攻擊，最後強制關閉Word。

此時，Anti-exploit彈出一個視窗，指出已經成功阻擋Word應用程式的漏洞攻擊，並詢問我們，是否將檔案匿名送交給Malwarebytes，藉此強化特徵庫的比對內容。

不過，在遭到攔截之後，這個DOC檔案，並未直接遭到MBES刪除。但我們再次開啟這個檔案時，Word則顯示，文件中夾帶的附件檔案已經不復存在。

接著，我們驗證惡意軟體的偵測機制，藉由從網路上取得一種WannaCry惡意程式樣本（111.EXE），並手動執行，MBES的Anti-malware偵測到可疑的惡意處理程序後，便直接阻擋，並以警示視窗說明，要求使用者確認後，將檔案移至隔離區，或是暫時允許執行等。在這過程中，測試環境中的所有資料，都沒有遭到WannaCry樣本加密。

可快速瀏覽端點遭受攻擊的概況

針對端點威脅與漏洞攻擊，在MBES的管理主控臺中，網管人員可快速檢視最近一周內的情勢，以及在30天內，遭受攻擊次數較多的10臺端點電腦，並且得知列管電腦最近24小時上線與離線情形。

可呈現政策改版狀態與部署進度

在一般的防護政策項目中，管理者可針對Anti-malware與Anti-exploit這2款軟體，個別指定防護模式，像是Anti-malware針對記憶體內、Windows啟動，以及登錄檔項目等，執行掃描，在這裡，我們也能看到啟發式偵測功能的選項。而對於Anti-exploit，MBES主控臺則是提供了受保護的應用程式清單，以及進階行為防護模式的設定，像是應用程式強化措施、行為偵測，還有針對記憶體內進階保護功能。

從Anti-malware的防護功能來看，這款軟體能夠針對記憶體、開機磁區、系統登錄檔，以及檔案系統等執行掃描。它也能協助企業發現可能會造成危害的軟體，包含廣告軟體、P2P應用程式等，並顯示在掃描結果報表裡，供管理者後續處理。

而在Anti-exploit的設定介面中，我們看到它預設保護多種應用程式，免於遭到漏洞利用攻擊。在這款漏洞防護軟體的預設項目裡，包含了常見的網頁瀏覽器、辦公室套裝軟體、PDF檢視軟體，以及多媒體播放器等，不過，其他需要納入Anti-exploit保護的應用程式，我們還是可以自行加入。

此外，管理者若是想要輸出威脅態勢的資訊，MBES的主控臺也提供了簡易的報表，並能匯出成Excel檔案。只是這裡內建的報表格式偏少，包含伺服器系統資訊在內總共7種，且管理者只能調整報表統計的起迄時間，沒有自訂的功能。若是想要產生自訂報表，管理者就必須匯出以其他方式處理。

透過3種防護軟體提供多層把關

對於端點電腦的保護，MBES總共提供了3款軟體，分別防範惡意軟體、漏洞攻擊，以及勒索軟體等攻擊手法。其中的Anti-malware與Anti-exploit，可由MBES的主控臺集中部署與管理，而Anti-ransomware則無相關控管機制。

 產品資訊 

Malwarebytes MBES

●代理商：瑞奇數碼(02)2658-1786

●建議售價：廠商未提供

●管理伺服器需求：2GHz處理器、4GB記憶體、40GB儲存空間、Windows Server 2008、SQL Server 2008

●端點電腦作業系統：Windows XP~10、Windows Server 2003~2016、macOS 10.8以上

●可用軟體模組：Anti-malware、Anti-exploit、Anti-ransomware，另針對macOS提供Mac Remediation