¿Qué antivirus es mejor? | Cómo funcionan los antivirus

Hoy estaba por Facebook y me encontré la pregunta de ¿Qué antivirus es mejor y por qué? por lo que he decidido escribir esta entrada para todas aquellas personas que están dentro de la seguridad informática y le realizan esta pregunta tan común. También tenemos que tener en cuenta que hay que valorar el funcionamiento, bueno sin más preámbulos empecemos.

“Los antivirus son innecesarios”

Esta afirmación es común escucharla por los “entendidos de la informática ” sin embargo, a la hora de la verdad la necesidad de un software de protección antivirus es una realidad en cualquier empresa o cualquier usuario en particular. Es necesario esta protección porque dentro de las bases de datos de los antivirus se encuentran muchos de los virus más comunes ( entre ellos ransomware ) y permite la detección y eliminación de las amenazas por completo.

 

Ejemplo de base de datos en KasPersky

Llegados a este punto tenemos que ver que es la base de datos de firmas que obtienen los antivirus, como funcionan estas y la efectividad de las mismas.

Base de datos de firmas

La base de datos consiste en recolectar las firmas que contienen los diferentes tipos de malware ( cada vez que compilamos un malware mediante una generación de código, por ejemplo Metasploit ) se firma de una forma determinada, por lo que las casas de los antivirus tienen almacenadas estas firmas para que cuando se encuentre un archivo con esta firma sea considerado como malicioso y se elimine la amenaza. Como podemos ver en este ejemplo he generado un payload normal con la utilidad msfvenom de Metasploit y me ha sido detectado por la mayoría de los antivirus.

Este alto nivel de detección se debe a que la firma es conocida por la casas de antivirus.

Enconding

En muchos de los posts que he visto por internet, afirman haber encontrado “La solución definitiva para evadir antivirus”, en estos artículos se habla exclusivamente del encoding, por lo que me resultaba conveniente nombrarlo en este post.

¿Qué es el encoding?

El encoding consiste en ofuscar el código del payload de forma que los antivirus no lo puedan detectar, esto se puede realizar dentro de Metasploit con la utilidad msfvenom especificando un encoder como se muestra en el siguiente ejemplo. Sin embargo, este método carece de efectividad si usamos Metasploit puesto que la firma de los encoders también son reconocidos por la las casas antivirus.

 

 

Como podemos ver los resultados no han cambiado como se esperaba, de hecho ha recibido el mismo índice de detección.

Heurística

La heurística se basa en analizar los patrones de comportamiento de la aplicación que se ejecuta en la máquina, de forma que sea posible detectar si esta intentando realizar alguna acción maliciosa ( como por ejemplo llamar a túnel SSH externo, o modificar ficheros del    sistema )

En los productos antivirus se conoce como heurística a las técnicas que emplean para reconocer códigos maliciosos (virus, gusanos, troyanos, etc.) que no se encuentren en su base de datos (ya sea porque son nuevos, o por no ser muy divulgados). El término general implica funcionalidades como detección a través de firmas genéricas, reconocimiento del código compilado, desensamblado, desempaquetamiento, entre otros.

Wikipedia

Como podemos suponer este es el método más efectivo para detectar las amenazas existentes puesto que independiente de la firma de la aplicación ( fiable o no ) detectará si existen patrones maliciosos en las aplicaciones y poder eliminar las amenazas satisfactoriamente.

 

Los escaneos de Karspersky suelen ser basados en su Heurística y como consecuencia más fiables que el resto de las soluciones.

 

¿Qué podemos concluir?

Podemos llegar a la conclusión de que una solución antivirus será más eficaz cuanto mayor lo sea su base heurística, es decir, no será mejor un antivirus que descargue una base de datos de 50GB ya que estará basada en firmas, puede que sea mucho mejor un antivirus con una base de 20MB y una heurística muy eficaz.

@cyberh99

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s