Массовое заражение шифровальщиком WannaCry вынудило MGR-Effitas провести собственное тестирование антивирусов против данной угрозы.
Многие разработчики антивирусов, утверждают, что их продукты защищают от шифровальщика WannaCry (WanaDecrypt) или даже от эксплойта ETERNALBLUE (MS17-010).
Результаты тестирования MGR-Effitas показывают обратную ситуацию. Во время испытания проверялась защита против эксплойта и бэкдора, но не против полезной нагрузки Wannacry.
Лаборатория не желает раскрывать результаты испытаний, пока разработчикам не будет предоставлено достаточное количество времени для исправления продуктов. Однако, эксперты независимой организации посчитали своим долгом предупредить пользователе о возможной опасности.
Следующие три продукта защитили систему от эксплойта ETERNALBLUE, устанавливающего бэкдор DOUBLEPULSAR:
- ESET NOD32 Smart Security
- F-Secure SAFE (информация о блокировке не появляется в журнале или консоли)
- Kaspersky Internet Security
Два продукта использовали сетевую фильтрацию для обнаружения эксплойта и блокировали ее до выполнения кода на уровне ядра. Расширенное тестирование не проводилось, но теоретически возможны способы для обхода данного уровня защиты с помощью обфускации кода эксплойта.
ESET Smart Security блокирует ETERNALBLUE:
F-Secure SAFE блокирует ETERNALBLUE:
Kaspersky Internet Security блокирует ETERNALBLUE:
Kaspersky Internet Security может обнаружить бэкдор DOUBLEPULSAR в памяти во время быстрого сканирования:
BSOD
Один из протестированных продуктов вызвал сбой системы с BSOD, но установка DOUBLEPULSAR не была проведена из-за падения.
Не прошли тест
На данный момент протестировано 9 комплексных антивирусов, одно Next-gen Endpoint решение и одно решение EDR, которые не смогли предотвратить установку бэкдора DOUBLEPULSAR через эксплойт ETERNALBLUE. Все данные вендоры обещают защиту от Wannacry и некоторые обещают защиту от ETERNALBLUE. Однако, защита от полезной нагрузки, не означает, что пользователи полностью защищены от вредоносного кода, исполняемого на уровне ядра.
В тестирование принимали участие преимущественно продукты для домашних пользователей, поэтому в настройках фаервол был выбрал тип сети домашняя/рабочая. Все продукты тестировались с настройками по умолчанию. У некоторых продуктов была изначально отключена система предотвращения вторжения. После ее включения, блокировка эксплойта ETERNALBLUE проходила успешно.
Заключение
Хорошо, что многие антивирусные компании обещают защитить от вредоносной нагрузки шифровальщика, но если в системе установлен активный бэкдор, то это очень серьезная опасность.
Обратите внимание, что эксплойт ETERNALBLUE был опубликован за два месяца до старта кампании Wannacry.
Если злоумышленники создадут шифровальщик, работающий в памяти который может работать с эксплойтом, ETERNALBLUE, то количество зараженных систем будет стремительно расти.
На данный момент ведется работа по информированию вендоров о результатах тестирования.