¿Qué tan seguro es el nuevo antivirus de Windows 8 conocido como Windows Defender?
¿Tiene una protección contra malware que usa bypass de UAC / proceso de inyección / rootkits / persistencia de proceso / ejecutando el binario directamente en la memoria? ¿Cuánto puedo confiar en Windows Defender? ¿Es mejor que los AV regulares como Kaspersky / AntiVir?
Analicemos cada una de las técnicas contra las que quiere proteger el AV:
UAC Bypass: cualquier proceso en el entorno de Windows que se ejecute con el certificado raíz de confianza puede desactivar UAC bit de su propio proceso, así como cualquier proceso generado por él. Esto significa que si su código malicioso puede inyectarse en un proceso que se ejecuta con el certificado de confianza, tendrá todos los privilegios del proceso inyectado. Luego, si crea otro proceso, puede desactivar fácilmente su bit UAC, porque esta es una característica integrada de Microsoft Windows. Esta es la técnica empleada por Metasploit framework para UAC Bypass.
Inyección de procesos: Microsoft proporciona una API llamada LoadLibrary a través de la cual puede cargar cualquier DLL arbitrario del disco en un proceso en ejecución. Lo único que hace el código malicioso es cargar la DLL arbitraria desde la memoria y no desde el disco. Esto se logra a través de una técnica llamada Inyección de DLL reflectiva , que Meterpreter también utiliza.
Detección de kit de raíz: los rootkits funcionan en anillo cero (nivel de kernel), mientras que los productos antivirus se ejecutan en el espacio de usuario. La mayoría de las veces, los AV solo enganchan ciertas API en el kernel land. Cualquier proceso que se ejecute por debajo del espacio de usuario no puede ser analizado por AV. Antes de Vista, los productos AV solían cargar controladores en el kernel para monitoreo. Sin embargo, después de la introducción de PatchGuard , esta técnica ya no puede ser utilizada por el software antivirus. < br> Ejecutando el proceso directamente en la memoria: esta es un área donde los AVs han progresado. Hoy en día, incluso si está interactuando directamente con un proceso en ejecución, el AV examina el tráfico recibido por el proceso desde la red y lo revisa en busca de firmas maliciosas. Sin embargo, hay dos defectos en este enfoque: primero, es la verificación basada en firmas, por lo que es inherentemente débil. En segundo lugar, se realiza solo para los procesos comunes de Windows, como SMB.
Como puede ver, las cosas contra las que más quiere protegerse, son el tipo de cosas contra las que ningún producto AV puede defender efectivamente. La mayoría de los elementos que ha mencionado no son maliciosos por naturaleza. Más bien, estas son consideradas "características". En Windows 8, Windows Defender es la combinación de Microsoft Security Essentials y el software Microsoft Defender. En el lado positivo, es gratuito y tiene un bajo impacto en el rendimiento. Sin embargo, si realmente desea protegerse contra las técnicas que ha mencionado, Windows Defender, o cualquier otro producto AV, no podrá proporcionar una solución efectiva. Para este tipo de ataques, Microsoft tiene otro producto llamado Kit de herramientas de experiencia de mitigación mejorada (EMET) .
Debería comenzar diciendo que ningún A-V moderno es a prueba de balas y que un atacante determinado puede pasar por alto a todos ellos.
Por lo tanto, la decisión sobre si confiar en la A-V incorporada de Windows 8 se reduce a sus prioridades y al nivel de seguridad que desea alcanzar.
Se han realizado algunos análisis comparativos de soluciones A-V que estiman que el defensor es más pobre contra ataques dirigidos que otras soluciones, pero luego sugiero que todos los A-V son, en cierta medida, pobres contra ese tipo de cosas.
Las ventajas del defensor que puedo ver son que está integrado con el sistema operativo, por lo que es menos probable que interrumpa el funcionamiento del sistema y, según mi experiencia, tiene un impacto de bajo rendimiento en comparación con otros sistemas AV que he usado.
Entonces, como digo, es una compensación entre el nivel de seguridad deseado y la conveniencia de la solución.
Si está buscando niveles de seguridad realmente altos, me sentiría más inclinado a buscar soluciones como bit9 que utilizan un enfoque de lista blanca en lugar del enfoque tradicional basado en firmas que utiliza A-V.