¿Cómo te protegen los antivirus frente a Wannacry o EternalBlue?

Mucho se ha dicho y leído en las últimas semanas sobre Wannacry, EternalBlue y una retahíla de nombres de amenazas relacionadas con estos ataques, que han desplegado un potente ransomware en cientos de miles de dispositivos por todo el globo. Es posible que sientas cierta pereza de volver a leer algo aparentemente similar, pero lo cierto es que esta información te puede interesar bastante.

Porque de una cosa se ha hablado poco y con poco fundamento y es ¿me puede proteger mi antivirus actual frente a Wannacry o ataques similares? Y si es así, ¿cómo? La firma tecnológica MRG Effitas ha realizado un extensivo estudio para evaluar la protección que ciertas marcas antivirus reconocidas pueden ofrecer en sus productos para impedir este tipo de infecciones.

¿Te protege tu antivirus frente a WannaCry ?

Asumiré que obviamente ya conoces los detalles más relevantes sobre este ciberataque masivo de ransomware, aunque si quieres más detalles te invito a leer más sobre el binomio Wannacry / EternalBlue aquí.

Ya deberías haber aplicado el parche correctivo de Microsoft frente a la vulnerabilidad en SMB 1.0. Lo hiciste, ¿verdad?

Ahora pasemos a la materia que nos ocupa. La primera sorpresa (que no es tal) es que no todos los antivirus del mercado te van a proteger igual de bien frente a estos ataques, no importa lo que diga su publicidad.

Hasta que todos los fabricantes no hayan tenido tiempo de parchear sus productos para hacerlos efectivos no se proporcionará cierta información, pero aquí van las conclusiones del estudio. 

Protección frente a EternalBlue efectiva

Los siguientes 6 productos antivirus (de un total de 10) han demostrado eficacia al proteger frente al ataque, consistente en el uso del exploit Eternalblue (publicado por Shadow Brokers) que instala a su vez la puerta trasera DoublePulsar y descarga en último lugar un código dañino:

  1. ESET Smart Security: es capaz de bloquear Doublepulsar antes de que se instale.
  2. Kaspersky Internet Security: bloquea DoublePulsar antes de su instalación en el equipo.
  3. Norton Security: bloque DoublePulsar antes de que se instale en el equipo
  4. HitmanPro.Alert build 601 con anti-DoublePulsar (mitigación) es capaz de bloquear todas las DLLs maliciosas o código fuente relacionado con el malware EternalBlue. Se han utilizado tanto el puerto original como el puerto de Metasploit durante la prueba.
  5. SentinelOne 1.8.4.6202 fue capaz igualmente de bloquear todo el código y librerias dañinas descargadas por el exploit Eternalblue, de forma genérica. SentinelOne se comprobó en condiciones similares a HitmanPro desde Metasploit y, no solo bloqueó el payload de meterpreter, sino además el payload Peddlecheap.

A medida que se han ido actualizando los test, se ha comprobado que un número creciente de antimalware han sido capaces de bloquear el Meterpreter (intérprete de Metasploit) de forma general, pero no ocurre lo mismo con el de Peddlecheap.

Casos excepcionales

F-Secure Safe: esta suite se ha puesto a prueba y Wannacry no ha podido ser ejecutado, fallando al instalarse EternalBlue en su primera etapa. Sin embargo esto no es mérito del antivirus, sino más bien un fallo del malware, como la propia empresa ha confirmado a finales de Mayo.

AVG Internet Security: no hay rastro del ataque en logs que el usuario pueda consultar. SIn embargo, este falla por algún motivo ajeno al antivirus.

Los antivirus en acción

A continuación podéis ver imágenes de los productos enfrentándose a las amenazas y los mensajes que han mostrado:

La teoría y la práctica

Aunque todos los desarrolladores afirman proteger en mayor o menor medida contra estos enemigos, hay que dejar claro un concepto. Y es que no es lo mismo proteger contra el payload desplegado en este caso que proteger frente a Wannacry o EternalBlue si su código se ejecuta en modo kernel (es decir, con plenos poderes).

Ataque por Eternablue satisfactorio

Arriba una muestra de ataque satisfactorio en este tipo de escenario. No sabemos a qué producto corresponde aún, pero tengamos en cuenta que será posiblemente un antivirus doméstico, como son la gran mayoría de los aquí probados.

Condiciones de las pruebas

Estos test han sido llevados a cabo entre mediados y finales de Mayo, con posteriores actualizaciones. Todos los productos han sido utilizados con sus configuraciones por defecto.

¿Qué conclusiones sacamos?
  • Por un lado, no todos los antivirus han sido capaces de frenar el ataque de manera efectiva.
  • Tampoco son capaces, al menos actualmente, de proteger frente a este tipo de amenazas si estas se ejecutan a nivel de kernel (en caso de que el equipo estuviera previamente infectado con una backdoor, por ejemplo). Punto para EternalBlue.
  • Por otro lado, algunos de ellos si son capaces de impedir este tipo de descargas y su ejecución en condiciones “normales”. Punto para los antivirus.

De esto se extrae que, indudablemente, un antivirus es al menos recomendable para detener parte de estos ataques, si bien no podemos pensar que por tenerlo estamos fuera de peligro. Hace falta más: prudencia, backups y…más backups!

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.