Каждый год растет количество организаций и учреждений, пострадавших от кибератак. Классические антивирусы или корпоративные решения должны задействовать все свои защитные технологии, чтобы противостоять современным вредоносным кампаниям. В динамическом тестировании Advanced Threat Protection немецкая лаборатория AV-Test оценивает эффективность защиты антивирусов для Windows против похитителей данных (data stealer) и программ-вымогателей (ransomware). При этом злоумышленники используют технику «DNS TXT Record», применяют вредоносное ПО, созданное с помощью языка программирования Rust, и шифрованные соединения по HTTPS.
Правоохранительные органы работают очень слаженно и добились определенных успехов. APT-группы, такие как HIVE, Emotet или QBot, действительно были уничтожены, но их вредоносное ПО и код остались в сети. Это вдохновляет новые кибергруппы на модификацию и разработку новых угроз. В качестве дополнительного варианта киберпреступники используют другие техники нападения.
В новейшем раунде тестирования применялось 10 реальных сценариев атак: 5 атак с использованием программ-шифровальщиков и 5 атак с использованием стиллеров.
В атаках применялась техника «DNS TXT Record» и зашифрованные по HTTPS соединения. Некоторые из образцов вредоносного ПО были написаны на относительно новом языке программирования Rust. Rust очень быстр и позволяет выполнять множество операций параллельно. Однако самое большое преимущество заключается в том, что вредоносные программы, написанные на Rust, могут обойти статистический анализ многих систем обнаружения вредоносного ПО. Именно поэтому новейший тест с динамическим обнаружением и защитой имеет важное значение.
Техники атак и код на Rust
Технику «DNS TXT Record», которая использовалась при тестировании, можно кратко описать следующим образом. С помощью инструмента DNS Lookup Windows предоставляет возможность запросить текстовую информацию о домене. Злоумышленники используют этот сценарий — с помощью PowerShell в ходе атаки они запрашивают запись DNS TXT. Однако в запросе содержится не информация, а дополнительная командная строка, которая передается и выполняется. Такой обходной путь позволяет избежать обнаружения программными средствами защиты.
Второй прием — использование защищенного протокола HTTPS. Протокол Hypertext Transfer Protocol Secure защищает соединение не только от подслушивания, но и от манипуляций извне. Злоумышленники используют этот защищенный прямой канал, чтобы защитное ПО не смогло проанализировать содержимое. На самом деле нет ничего страшного в том, что системы защиты открывают такие соединения, анализируют их и затем передают дальше. Злоумышленники рассчитывают на то, что функция защиты не будет использоваться. Анализ работы Watchguard в конце 2022 года показал, что более 80% зарегистрированных атак происходили в зашифрованном виде по HTTPS.
В июле и августе 2023 года лаборатория AV-TEST провела тестирование защитных возможностей 16 потребительских антивирусов и 17 корпоративных решений безопасности в 10 реальных сценариях на машинах под управлением Windows 10 Pro.
Динамическое тестирование: потребительские антивирусы
Все 16 потребительских антивирусных решений для Windows смогли обнаружить и отразить все атаки с использованием шифровальщиков и стиллеров.
Динамическое тестирование: корпоративные антивирусы
В динамическом тестировании 16 продуктов для конечных точек отработали безошибочно и получили максимальные 35 баллов за защиту.
Техники шифровальщиков и стиллеров
При обнаружении и защите от вредоносного ПО все продукты защиты сочетают различные динамические технологии, например EDR - Endpoint Detection & Response. Ниже вы можете ознакомиться с диаграммой результатов действия продуктов в различных сценариях.
Последовательность атак в тесте Advanced Threat Protection обычно выглядит следующим образом: письмо в вредоносным вложением попадает в систему Windows. В этом случае системы защиты обнаруживают угрозу сразу или в момент запуска. На диаграмме результатов это выглядит как зеленое поле в разделах Initial Access или Execution.
Если обнаружение не происходит, то угрозы инициируют злонамеренные действия: Стиллеры собирают информацию о существующих данных и затем отправляют их на сервер C2. Программа-вымогатель также собирает информацию, но, как правило, отправляет на C2-сервер только список файлов на всех дисках. Затем начинается шифрование и переименование данных. После шифрования на рабочий стол выводится текстовый файл, информирующий пользователя об атаке и требующий выкуп.
За каждый обнаруженный и отмеченный шаг атаки AV-Test начисляла очки. За стиллеры можно было получить до 4 баллов и до 3 баллов за программы-вымогатели. Таким образом, максимальное значение оценки защиты составило 20 баллов для стиллеров и максимум 15 баллов для программ-вымогателей. Таким образом, в общей сложности лаборатория начисляла до 35 баллов.
10 тестовых сценариев
Все сценарии атак задокументированы в соответствии со стандартом базы данных MITRE ATT&CK. Отдельные подметоды, например «T1566.001», перечислены в базе данных MITRE для «Techniques» в разделе «Phishing: Spearphishing Attachment». Таким образом, каждый шаг теста идентифицируется среди экспертов и его можно понять логически. Кроме того, все методы атаки объясняются, а также указывается, насколько успешной является вредоносная программа.
Результаты потребительских антивирусов
В динамическом тестировании принимали участие 16 потребительских антивирусов от следующих производителей: AhnLab, Avast, AVG, Avira, Bitdefender, F-Secure, Kaspersky, Malwarebytes, McAfee, Microsoft, Microworld, Norton, Panda, PC Matic, Protected.net и Trend Micro:
- AhnLab V3 Internet Security
- Avast Free AntiVirus
- AVG Internet Security
- Avira Security
- Bitdefender Internet Security
- F-Secure TOTAL
- Kaspersky Standard для Windows
- Malwarebytes Premium
- McAfee Total Protection
- Microsoft Defender Antivirus
- Microworld eScan Internet Security Suite
- Norton 360
- Panda Dome
- PC Matic Application Allowlisting
- Protected.net Total AV
- Trend Micro Internet Security
Все продукты безупречно справились с атаками злоумышленников в 10 сценариях. Используемые техники «DNS TXT Record» или зашифрованные соединения оказались малоэффективными для злоумышленников, равно как и использование языка программирования Rust. Таким образом, за эту защиту каждый продукт получил максимальные 35 баллов.
Все продукты для потребительских пользователей получили сертификацию «Advanced Certified», так как набрали более 75% из 35 баллов (т.е. более 26,3 балла).
Результаты корпоративных антивирусов
В динамическом тестировании принимали участие 17 корпоративных антивирусов от следующих производителей: Acronis, AhnLab, Avast, Bitdefender (с двумя версиями), Check Point, Kaspersky (с двумя версиями), Malwarebytes, Seqrite, Sophos, Symantec, Trellix, Trend Micro, VMware, WithSecure и Xcitium:
- Acronis Cyber Protect
- Ahnlab V3 Endpoint Security
- Avast Ultimate Business Security
- Bitdefender Endpoint Security
- Bitdefender Endpoint Security (Ultra)
- Check Point Endpoint Security
- Kaspersky Endpoint Security
- Kaspersky Small Office Security
- Microsoft Defender Antivirus
- Malwarebytes Endpoint Protection
- Seqrite Endpoint Security
- Sophos Intercept X Advanced
- Symantec Endpoint Security Complete
- Trellix Endpoint Security
- Trend Micro Apex One
- VMware Carbon Black Cloud
- WithSecure Elements Endpoint Protection
- Xcitium Client Security
Только 16 из 17 оцениваемых продуктов показали безупречную производительность. Ни в одном из 10 сценариев программы-вымогатели и зловреды для кражи данных не смогли проникнуть в системы и выпустить свою разрушительную полезную нагрузку. За это 16 продуктов получили полные 35 баллов за защиту.
Только Trellix столкнулся с трудностями в одном сценарии и не смог полностью блокировать атаку. В итоге шифрование происходило в отдельных файлах, и за это решение был снят один балл.
Большинство корпоративных решений получили сертификат «Advanced Approved Endpoint Protection». Исключение составили Acronis и Panda. Продукты прошли тест без ошибок, однако AV-TEST сертифицирует только те продукты, которые получили сертификат в ходе регулярных ежемесячных тестов и соответствуют всем их критериям.
Безошибочная защита практически всех продуктов
Текущий раунд динамического тестирования оказался особенным. 32 из 33 оцениваемых продуктов для потребительских и корпоративных пользователей завершили тест без ошибок и получили максимальные 35 баллов.
В 10 тестовых сценариях вредоносные программы, которые использовали самые современные методы, такие как DNS TXT Record, шифрованные соединения и даже язык программирования Rust, оказались бессильны. Антивирусы знают все эти техники и соответствующим образом реагируют на них при обнаружении и защите.
Последние обзоры и тесты
• AV-Comparatives 2024: Лучшие антивирусы для защиты от целевых атак
• Антивирусы с минимальным влиянием на производительность Windows ПК – AV-Comparatives 2024
• AV-Test 2024: Тестирование 31 антивируса для Windows. Как антивирусы справляются с реальными атаками
• Лучший антивирус 2024: Тестирование антивирусов для Windows 11 на максимальных настройках защиты
• AV-Test 2024: Лучшие антивирусы для Windows 11 и Windows 10
• Лучший антивирус 2024: Тестирование 36 антивирусов для Windows 11