MGR-Effitas: Антивирусы против ETERNALBLUE

2017-05-19 | Автор | комментарии
Лаборатория MGR-Effitas протестировала защиту антивирусов от эксплойта ETERNALBLUE и бэкдора DOUBLEPULSAR, которые использовались в массовой атаке WannaCry (WanaDecrypt)

MGR-Effitas: Антивирусы против ETERNALBLUE

Массовое заражение шифровальщиком WannaCry вынудило MGR-Effitas провести собственное тестирование антивирусов против данной угрозы.

Многие разработчики антивирусов, утверждают, что их продукты защищают от шифровальщика WannaCry (WanaDecrypt) или даже от эксплойта ETERNALBLUE (MS17-010).

Результаты тестирования MGR-Effitas показывают обратную ситуацию. Во время испытания проверялась защита против эксплойта и бэкдора, но не против полезной нагрузки Wannacry.

Лаборатория не желает раскрывать результаты испытаний, пока разработчикам не будет предоставлено достаточное количество времени для исправления продуктов. Однако, эксперты независимой организации посчитали своим долгом предупредить пользователе о возможной опасности.

Следующие три продукта защитили систему от эксплойта ETERNALBLUE, устанавливающего бэкдор DOUBLEPULSAR:

Два продукта использовали сетевую фильтрацию для обнаружения эксплойта и блокировали ее до выполнения кода на уровне ядра. Расширенное тестирование не проводилось, но теоретически возможны способы для обхода данного уровня защиты с помощью обфускации кода эксплойта.

ESET Smart Security блокирует ETERNALBLUE:

ESET Smart Security блокирует ETERNALBLUE

F-Secure SAFE блокирует ETERNALBLUE:

F-Secure SAFE блокирует ETERNALBLUE

Kaspersky Internet Security блокирует ETERNALBLUE:

Kaspersky Internet Security блокирует ETERNALBLUE

Kaspersky Internet Security может обнаружить бэкдор DOUBLEPULSAR в памяти во время быстрого сканирования:

Kaspersky Internet Security блокирует ETERNALBLUE

BSOD

Один из протестированных продуктов вызвал сбой системы с BSOD, но установка DOUBLEPULSAR не была проведена из-за падения.

BSOD

Не прошли тест

На данный момент протестировано 9 комплексных антивирусов, одно Next-gen Endpoint решение и одно решение EDR, которые не смогли предотвратить установку бэкдора DOUBLEPULSAR через эксплойт ETERNALBLUE. Все данные вендоры обещают защиту от Wannacry и некоторые обещают защиту от ETERNALBLUE. Однако, защита от полезной нагрузки, не означает, что пользователи полностью защищены от вредоносного кода, исполняемого на уровне ядра.

Не прошли тест

В тестирование принимали участие преимущественно продукты для домашних пользователей, поэтому в настройках фаервол был выбрал тип сети домашняя/рабочая. Все продукты тестировались с настройками по умолчанию. У некоторых продуктов была изначально отключена система предотвращения вторжения. После ее включения, блокировка эксплойта ETERNALBLUE проходила успешно.

Заключение

Хорошо, что многие антивирусные компании обещают защитить от вредоносной нагрузки шифровальщика, но если в системе установлен активный бэкдор, то это очень серьезная опасность.

Обратите внимание, что эксплойт ETERNALBLUE был опубликован за два месяца до старта кампании Wannacry.

Если злоумышленники создадут шифровальщик, работающий в памяти который может работать с эксплойтом, ETERNALBLUE, то количество зараженных систем будет стремительно расти.

На данный момент ведется работа по информированию вендоров о результатах тестирования.

 

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?