it-swarm.dev

Quanto è sicuro l'antivirus incluso di Windows 8 noto come Windows Defender?

Quanto è sicuro il nuovo antivirus di Windows 8 noto come Windows Defender?

Ha una protezione contro il malware che utilizza bypass UAC/iniezione di processo/rootkit/persistenza di processo/esecuzione del binario direttamente nella memoria? Quanto posso fidarmi di Windows Defender? È meglio dei normali AV come Kaspersky/AntiVir?

42
Hidden

Analizziamo ognuna delle tecniche contro cui AV deve proteggere:
Bypass UAC: Qualsiasi processo nell'ambiente Windows in esecuzione con il certificato radice attendibile può disattivare UAC bit del proprio processo, così come qualsiasi processo generato da esso. Ciò significa che se il tuo codice dannoso può inserirsi in un processo in esecuzione con il certificato attendibile, avrà tutti i privilegi del processo iniettato. Quindi, se si crea un altro processo, è possibile disattivare facilmente il relativo bit UAC, poiché questa è una funzionalità integrata di Microsoft Windows. Questa è la tecnica utilizzata dal framework Metasploit per UAC Bypass.
Iniezione del processo: Microsoft fornisce un'API chiamata LoadLibrary attraverso la quale puoi caricare qualsiasi arbitrario DLL da il disco in un processo in esecuzione. L'unica cosa che fa il codice dannoso è caricare l'arbitrario DLL dalla memoria e non dal disco. Ciò si ottiene attraverso una tecnica chiamata Reflective DLL Injection , utilizzato anche da Meterpreter.
Rilevamento del kit di root: I rootkit funzionano a livello di anello zero (livello kernel), mentre i prodotti antivirus vengono eseguiti nello spazio utente. Il più delle volte, l'AV aggancia solo alcune API nella zona del kernel. Qualsiasi processo in esecuzione sotto lo spazio utente non può essere analizzato dall'AV. Prima di Vista, i prodotti AV erano soliti caricare i driver nel kernel per il monitoraggio. Tuttavia, dopo l'introduzione di PatchGuard , tale tecnica non può più essere utilizzata dal software antivirus.
Esecuzione del processo direttamente nella memoria: Questa è un'area in cui gli AV hanno fatto qualche progresso. Al giorno d'oggi, anche se si interagisce direttamente con un processo in esecuzione, l'AV esamina il traffico ricevuto dal processo dalla rete e verifica la presenza di firme dannose. Tuttavia, questo approccio presenta due carenze: in primo luogo, si tratta del controllo basato sulla firma, quindi intrinsecamente debole. In secondo luogo, viene eseguito solo per processi Windows comuni come SMB.

Come puoi vedere, le cose da cui desideri maggiormente proteggere sono i tipi di cose contro le quali nessun prodotto AV può difendere efficacemente. La maggior parte degli articoli che hai citato non sono dannosi per natura. Piuttosto, queste sono considerate "caratteristiche". In Windows 8, Windows Defender è la combinazione di Microsoft Security Essentials e software Microsoft Defender. Tra i lati positivi, è gratuito e ha un basso impatto sulle prestazioni. Tuttavia, se vuoi davvero proteggere dalle tecniche che hai citato, Windows Defender o qualsiasi altro prodotto AV, non sarà in grado di fornire una soluzione efficace. Per questo tipo di attacchi, Microsoft ha un altro prodotto chiamato Enhanced Mitigation Experience Toolkit (EMET) .

46
void_in

Dovrei iniziare dicendo che nessun A-V moderno è a prova di proiettile e tutti possono essere aggirati da un determinato attaccante.

Quindi la decisione di affidarsi all'A-V integrata di Windows 8 dipende dalle tue priorità e dal livello di sicurezza che stai cercando di raggiungere.

Ci sono state alcune analisi comparative delle soluzioni A-V che ritengono che il difensore sia più povero contro gli attacchi mirati rispetto ad altre soluzioni, ma poi suggerirei che tutti gli A-V siano in qualche misura poveri contro quel tipo di cose.

I vantaggi del difensore che posso vedere sono che è integrato con il sistema operativo, quindi è meno probabile che interrompa il funzionamento del sistema e anche nella mia esperienza ha un colpo a basse prestazioni rispetto ad altri sistemi A-V che ho usato.

Quindi, come ho detto, è un compromesso tra il livello di sicurezza desiderato e la convenienza della soluzione.

Se stai cercando livelli di sicurezza davvero elevati, sarei più propenso a cercare soluzioni come bit9 che utilizzano un approccio in white list piuttosto che il tradizionale approccio basato sulla firma che utilizza A-V.

13
Rory McCune