Quel est le niveau de sécurité de l'antivirus Windows 8 inclus, appelé Windows Defender?
Dans quelle mesure le nouvel antivirus Windows 8 est-il connu sous le nom de Windows Defender?
A-t-il une protection contre les logiciels malveillants qui utilisent le contournement UAC/injection de processus/rootkits/persistance de processus/exécution du binaire directement dans la mémoire? Dans quelle mesure puis-je faire confiance à Windows Defender? Est-ce mieux que des AV classiques comme Kaspersky/AntiVir?
Analysons chacune des techniques contre lesquelles vous souhaitez protéger l'AV:
Contournement UAC: Tout processus dans l'environnement Windows exécuté avec le certificat racine de confiance peut désactiver le UAC bit de son propre processus, ainsi que tout processus engendré par lui. Cela signifie que si votre code malveillant peut s'injecter dans un processus exécuté avec le certificat de confiance, il aura tous les privilèges du processus injecté. Ensuite, si vous créez un autre processus, vous pouvez facilement désactiver son bit UAC, car il s'agit d'une fonctionnalité intégrée de Microsoft Windows. Il s'agit de la technique utilisée par le framework Metasploit pour le contournement UAC.
Injection de processus: Microsoft fournit une API appelée LoadLibrary à travers laquelle vous pouvez charger n'importe quel arbitraire DLL à partir de le disque dans un processus en cours d'exécution. La seule chose que le code malveillant fait est de charger arbitrairement DLL à partir de la mémoire, et non à partir du disque. Ceci est réalisé grâce à une technique appelée Reflective DLL Injection , que Meterpreter utilise également.
Détection du kit racine: Les rootkits fonctionnent au niveau zéro (niveau du noyau), tandis que les produits antivirus fonctionnent dans l'espace utilisateur. La plupart du temps, l'AV n'accroche que certaines API dans le noyau. Aucun processus exécuté en dessous de l'espace utilisateur ne peut être analysé par l'AV. Avant Vista, les produits AV utilisés pour charger les pilotes dans le noyau pour la surveillance. Cependant, après l'introduction de PatchGuard , cette technique ne peut plus être utilisée par les logiciels antivirus.
Exécution du processus directement dans la mémoire: C'est un domaine où les AV ont fait des progrès. De nos jours, même si vous interagissez directement avec un processus en cours d'exécution, l'AV examine le trafic reçu par le processus depuis le réseau et vérifie s'il ne contient pas de signatures malveillantes. Cependant, il y a deux lacunes à cette approche: premièrement, c'est la vérification basée sur la signature, donc elle est intrinsèquement faible. Deuxièmement, cela se fait uniquement pour les processus Windows courants tels que SMB.
Comme vous pouvez le voir, les choses contre lesquelles vous voulez le plus vous protéger sont les types de choses contre lesquelles aucun produit AV ne peut se défendre efficacement. La plupart des éléments que vous avez mentionnés ne sont pas malveillants par nature. Ils sont plutôt considérés comme des "caractéristiques". Dans Windows 8, Windows Defender est la combinaison de Microsoft Security Essentials et de Microsoft Defender. Sur le plan positif, il est gratuit et a un faible impact sur les performances. Cependant, si vous voulez vraiment vous protéger contre les techniques que vous avez mentionnées, Windows Defender ou tout autre produit AV ne sera pas en mesure de fournir une solution efficace. Pour ce type d'attaques, Microsoft propose un autre produit appelé Enhanced Mitigation Experience Toolkit (EMET) .
Je devrais commencer par dire qu'aucun A-V moderne n'est à l'épreuve des balles et tous peuvent être contournés par un attaquant déterminé.
Ainsi, la décision de faire confiance à l'A-V intégré de Windows 8 dépend de vos priorités et du niveau de sécurité que vous cherchez à atteindre.
Il y a eu quelques analyses comparatives des solutions A-V qui estiment que le défenseur est plus pauvre contre les attaques ciblées que les autres solutions, mais je dirais alors que tout A-V est dans une certaine mesure pauvre contre ce genre de chose.
Les avantages du défenseur que je peux voir sont qu'il est intégré au système d'exploitation, donc moins susceptible de perturber le fonctionnement du système et, selon mon expérience, a un faible impact sur les performances par rapport aux autres systèmes A-V que j'ai utilisés.
Donc, comme je le dis, c'est un compromis entre le niveau de sécurité souhaité et la commodité de la solution.
Si vous recherchez des niveaux de sécurité très élevés, je serais plus enclin à envisager des solutions comme bit9 qui utilisent une approche de liste blanche plutôt que l'approche traditionnelle basée sur les signatures qu'A-V utilise.