AV-Test 2023: Тестирование защиты 33 антивирусов против шифровальщиков и стиллеров

2023-11-01 15620 комментарии
Лаборатория AV-TEST провела тестирование 33 антивирусов на защиту от программ-вымогателей и стиллеров данных для систем Windows. Тестирование включало 10 реальных сценариев атак

Каждый год растет количество организаций и учреждений, пострадавших от кибератак. Классические антивирусы или корпоративные решения должны задействовать все свои защитные технологии, чтобы противостоять современным вредоносным кампаниям. В динамическом тестировании Advanced Threat Protection немецкая лаборатория AV-Test оценивает эффективность защиты антивирусов для Windows против похитителей данных (data stealer) и программ-вымогателей (ransomware). При этом злоумышленники используют технику «DNS TXT Record», применяют вредоносное ПО, созданное с помощью языка программирования Rust, и шифрованные соединения по HTTPS.

Правоохранительные органы работают очень слаженно и добились определенных успехов. APT-группы, такие как HIVE, Emotet или QBot, действительно были уничтожены, но их вредоносное ПО и код остались в сети. Это вдохновляет новые кибергруппы на модификацию и разработку новых угроз. В качестве дополнительного варианта киберпреступники используют другие техники нападения.

В новейшем раунде тестирования применялось 10 реальных сценариев атак: 5 атак с использованием программ-шифровальщиков и 5 атак с использованием стиллеров.

В атаках применялась техника «DNS TXT Record» и зашифрованные по HTTPS соединения. Некоторые из образцов вредоносного ПО были написаны на относительно новом языке программирования Rust. Rust очень быстр и позволяет выполнять множество операций параллельно. Однако самое большое преимущество заключается в том, что вредоносные программы, написанные на Rust, могут обойти статистический анализ многих систем обнаружения вредоносного ПО. Именно поэтому новейший тест с динамическим обнаружением и защитой имеет важное значение.

Техники атак и код на Rust

Технику «DNS TXT Record», которая использовалась при тестировании, можно кратко описать следующим образом. С помощью инструмента DNS Lookup Windows предоставляет возможность запросить текстовую информацию о домене. Злоумышленники используют этот сценарий — с помощью PowerShell в ходе атаки они запрашивают запись DNS TXT. Однако в запросе содержится не информация, а дополнительная командная строка, которая передается и выполняется. Такой обходной путь позволяет избежать обнаружения программными средствами защиты.

Второй прием — использование защищенного протокола HTTPS. Протокол Hypertext Transfer Protocol Secure защищает соединение не только от подслушивания, но и от манипуляций извне. Злоумышленники используют этот защищенный прямой канал, чтобы защитное ПО не смогло проанализировать содержимое. На самом деле нет ничего страшного в том, что системы защиты открывают такие соединения, анализируют их и затем передают дальше. Злоумышленники рассчитывают на то, что функция защиты не будет использоваться. Анализ работы Watchguard в конце 2022 года показал, что более 80% зарегистрированных атак происходили в зашифрованном виде по HTTPS.

В июле и августе 2023 года лаборатория AV-TEST провела тестирование защитных возможностей 16 потребительских антивирусов и 17 корпоративных решений безопасности в 10 реальных сценариях на машинах под управлением Windows 10 Pro.

Динамическое тестирование: потребительские антивирусы

Все 16 потребительских антивирусных решений для Windows смогли обнаружить и отразить все атаки с использованием шифровальщиков и стиллеров.

Динамическое тестирование: корпоративные антивирусы

В динамическом тестировании 16 продуктов для конечных точек отработали безошибочно и получили максимальные 35 баллов за защиту.

Техники шифровальщиков и стиллеров

При обнаружении и защите от вредоносного ПО все продукты защиты сочетают различные динамические технологии, например EDR - Endpoint Detection & Response. Ниже вы можете ознакомиться с диаграммой результатов действия продуктов в различных сценариях.

Последовательность атак в тесте Advanced Threat Protection обычно выглядит следующим образом: письмо в вредоносным вложением попадает в систему Windows. В этом случае системы защиты обнаруживают угрозу сразу или в момент запуска. На диаграмме результатов это выглядит как зеленое поле в разделах Initial Access или Execution.

Если обнаружение не происходит, то угрозы инициируют злонамеренные действия: Стиллеры собирают информацию о существующих данных и затем отправляют их на сервер C2. Программа-вымогатель также собирает информацию, но, как правило, отправляет на C2-сервер только список файлов на всех дисках. Затем начинается шифрование и переименование данных. После шифрования на рабочий стол выводится текстовый файл, информирующий пользователя об атаке и требующий выкуп.

За каждый обнаруженный и отмеченный шаг атаки AV-Test начисляла очки. За стиллеры можно было получить до 4 баллов и до 3 баллов за программы-вымогатели. Таким образом, максимальное значение оценки защиты составило 20 баллов для стиллеров и максимум 15 баллов для программ-вымогателей. Таким образом, в общей сложности лаборатория начисляла до 35 баллов.

10 тестовых сценариев

Все сценарии атак задокументированы в соответствии со стандартом базы данных MITRE ATT&CK. Отдельные подметоды, например «T1566.001», перечислены в базе данных MITRE для «Techniques» в разделе «Phishing: Spearphishing Attachment». Таким образом, каждый шаг теста идентифицируется среди экспертов и его можно понять логически. Кроме того, все методы атаки объясняются, а также указывается, насколько успешной является вредоносная программа.

Результаты потребительских антивирусов

В динамическом тестировании принимали участие 16 потребительских антивирусов от следующих производителей: AhnLab, Avast, AVG, Avira, Bitdefender, F-Secure, Kaspersky, Malwarebytes, McAfee, Microsoft, Microworld, Norton, Panda, PC Matic, Protected.net и Trend Micro:

Все продукты безупречно справились с атаками злоумышленников в 10 сценариях. Используемые техники «DNS TXT Record» или зашифрованные соединения оказались малоэффективными для злоумышленников, равно как и использование языка программирования Rust. Таким образом, за эту защиту каждый продукт получил максимальные 35 баллов.

Все продукты для потребительских пользователей получили сертификацию «Advanced Certified», так как набрали более 75% из 35 баллов (т.е. более 26,3 балла).

Результаты корпоративных антивирусов

В динамическом тестировании принимали участие 17 корпоративных антивирусов от следующих производителей: Acronis, AhnLab, Avast, Bitdefender (с двумя версиями), Check Point, Kaspersky (с двумя версиями), Malwarebytes, Seqrite, Sophos, Symantec, Trellix, Trend Micro, VMware, WithSecure и Xcitium:

Только 16 из 17 оцениваемых продуктов показали безупречную производительность. Ни в одном из 10 сценариев программы-вымогатели и зловреды для кражи данных не смогли проникнуть в системы и выпустить свою разрушительную полезную нагрузку. За это 16 продуктов получили полные 35 баллов за защиту.

Только Trellix столкнулся с трудностями в одном сценарии и не смог полностью блокировать атаку. В итоге шифрование происходило в отдельных файлах, и за это решение был снят один балл.

Большинство корпоративных решений получили сертификат «Advanced Approved Endpoint Protection». Исключение составили Acronis и Panda. Продукты прошли тест без ошибок, однако AV-TEST сертифицирует только те продукты, которые получили сертификат в ходе регулярных ежемесячных тестов и соответствуют всем их критериям.

Безошибочная защита практически всех продуктов

Текущий раунд динамического тестирования оказался особенным. 32 из 33 оцениваемых продуктов для потребительских и корпоративных пользователей завершили тест без ошибок и получили максимальные 35 баллов.

В 10 тестовых сценариях вредоносные программы, которые использовали самые современные методы, такие как DNS TXT Record, шифрованные соединения и даже язык программирования Rust, оказались бессильны. Антивирусы знают все эти техники и соответствующим образом реагируют на них при обнаружении и защите.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте