AV-Test 2024: Лучшие антивирусы для защиты от шифровальщиков и инфостилеров

2024-12-02 4519 комментарии
Тестирование Advanced Threat Protection 2024 от AV-Test выявило лучшие антивирусы для борьбы с шифровальщиками и инфостилерами. F-Secure, McAfee и Microsoft лидируют среди потребительских продуктов, а Kaspersky и Trellix — среди корпоративных решений, демонстрируя максимальную защиту в реалистичных сценариях

Киберпреступники постоянно совершенствуют свои техники, оттачивая уже существующие или комбинируя их в волны атак. В последнем тесте Advanced Threat Protection (ATP) эксперты из немецкой антивирусной лаборатории AV-Test проверили, насколько хорошо защитные продукты обнаруживают и отражают новые типы атак.

В лабораторных условиях шесть потребительских антивирусов для домашних пользователей и восемь решений для корпоративного сектора продемонстрировали свою способность противостоять угрозам. В испытаниях с использованием программ-вымогателей и инфостилеров (программ для кражи данных) использовались такие методы, как динамическое разрешение API, сторонняя загрузка DLL, сокрытие команд PowerShell ScriptBlockAst и использование известных инструментов Windows. Тест показал, что некоторые защитные продукты с трудом справляются с такими техниками и не всегда могут устоять перед атаками.

Цель тестирования Advanced Threat Protection (ATP) заключалась не только в обнаружении угроз. Основной задачей была проверка способности защитных продуктов эффективно сочетать свои компоненты, чтобы выявлять и блокировать скрытые атаки. В тесте участвовали шесть решений для домашних пользователей и восемь для корпоративного сектора. Испытания проходили с июля по август 2024 года в тестовых системах Windows 10.

Среди антивирусов для домашних пользователей в тесте ATP были представлены решения от Avast, AVG, F-Secure, McAfee, Microsoft и NPAV. В корпоративном сегменте участвовали продукты от Avast, Check Point, Kaspersky (в двух версиях), Microworld, Qualys, Trellix и WithSecure.

В тестах ATP использовались пять образцов программ-вымогателей и пять образцов инфостилеров, которые проводили атаки в десяти реалистичных сценариях. Злоумышленники применяли специальные техники как по отдельности, так и в комбинации.

Результаты теста показывают, что не все защитные программы успешно справляются с подобными атаками. Тем не менее, есть продукты, которые даже в самых сложных и изощренных сценариях действуют эффективно и решительно, успешно отражая любые атаки.

Техники, используемые вредоносным ПО

Киберпреступники постоянно разрабатывают новые методы, чтобы внедрять свои зловреды в системы пользователей. Лаборатория AV-Test изучает эти методы и имитирует атаки по тем же шаблонам, которые ежедневно встречаются в IT-среде. Техники используются как по отдельности, так и в комбинации.

Динамическое разрешение API

Злоумышленники используют API-функции Windows, доступные для всех приложений, через свое вредоносное ПО. Однако их применение маскируется и динамически разрешается, чтобы скрыть вредоносные функции. Это усложняет анализ для средств защиты. Чтобы еще больше затруднить выявление, угрозы часто используют хеши для разрешения API-функций или шифрует строки, которые расшифровываются во время выполнения. В тесте все операции с файлами осуществлялись через системный API Windows (ntdll.dll), а функции разрешались во время выполнения, что затрудняет обнаружение.

Сторонняя загрузка DLL (DLL sideloading)

В этом случае атаки используют типичные ошибки программирования в стандартных приложениях. Злоумышленники копируют вредоносную DLL в каталог приложения. Программа загружает DLL, не распознавая угрозы, и выполняет команды, заданные атакующими. В тестах использовались исполняемые файлы GoToMeeting (g2mupload.exe) и стандартный инструмент Windows RunOnce (runonce.exe), которые выполняли стороннюю загрузку DLL.

Скрытие команд PowerShell ScriptBlockAst

Для программистов ScriptBlockAst является своего рода «картой» PowerShell-скрипта. Злоумышленники гарантируют, что динамически сгенерированный вредоносный код не отображается в этой карте, что усложняет его анализ средствами защиты. В тесте использовался ссылочный файл, выполняющий PowerShell-код с использованием ScriptBlockAst, чтобы скрыть свои действия. На следующем этапе этот код активировал вредоносное поведение.

Переименование инструментов

Злоумышленники переименовывают системные инструменты Windows, чтобы избежать обнаружения средствами защиты, которые отслеживают определенные имена файлов или процессы. Этот метод позволяет вредоносному ПО использовать механизм белого списка приложений и скрываться среди легитимных процессов. В тесте инструменты Windows Curl и RunOnce были скопированы, переименованы и использовались для загрузки и загрузки вредоносных образцов.

Лаборатория провела 10 реалистичных атак на тестовых ПК с установленными решениями безопасности. Все шаги по обнаружению и защите фиксировались и описывались в соответствии со стандартом MITRE ATT&CK.

Для программ-вымогателей определено три ключевых действия, для инфостилеров — четыре. Лаборатория присваивает половину или полный балл за каждое предотвращенное действие. Максимально продукт может набрать 3 балла по пять раз за каждую атаку программ-вымогателей и 4 балла пять раз за каждую атаку инфостилеров. Таким образом, максимальный балл защиты составляет 35.

10 тестовых сценариев

Все сценарии атак задокументированы в соответствии со стандартом базы данных MITRE ATT&CK. Каждый шаг тестирования четко определен и логически понятен специалистам. Кроме того, описаны все методы атак, а также степень их успешности.

Результаты тестирования потребительских антивирусов

Среди шести протестированных решений для домашних пользователей три продукта прошли тесты без ошибок во всех 10 сценариях и получили максимальные 35 баллов за защиту:

Антивирус NPAV выявил атаки во всех 10 сценариях, но в четырех случаях не смог сразу остановить атаки. Лишь с помощью дополнительных модулей защиты удалось предотвратить их завершение, однако исполняемые файлы злоумышленников остались в системе. За эти ошибки были вычтены баллы, в результате чего NPAV получил 31 из 35 возможных баллов.

Антивирусы Avast Free AntiVirus и AVG Internet Security столкнулись с одинаковыми проблемами: каждый из них не обнаружил одну программу-вымогатель и одного похитителя данных. Это привело к шифрованию или краже данных. В результате оба продукта потеряли по 7 баллов — 3 балла за одну атаку и 4 за другую, оставив итоговый результат на уровне 28 из 35 баллов.

Чтобы получить сертификат «Advanced Certified» антивирусу нужно было набрать не менее 75% (26,5 баллов) от максимальных 35 баллов. Все шесть протестированных решений для потребителей успешно преодолели этот порог.

Результаты тестирования корпоративных антивирусов

В тестировании также приняли участие восемь решений для корпоративных пользователей. Пять из них показали идеальную защиту и набрали максимальные 35 баллов:

Решение от Check Point обнаружило атаки во всех 10 сценариях, но в двух случаях с программами-вымогателями не смогло полностью предотвратить атаку. На последующих стадиях защита остановила массовое шифрование, но отдельные файлы все же были зашифрованы. Это стоило продукту 2 баллов, и его итоговый результат составил 33 из 35 баллов.

Решение Qualys для конечных точек выявило 9 из 10 атак, допустив утечку данных из-за инфостилера, что привело к потере 4 баллов. Кроме того, была частично остановлена еще одна атака программы-вымогателя, в результате чего отдельные файлы оказались зашифрованными. Итоговый результат Qualys составил 29,5 баллов из 35.

Корпоративное решение Avast отреагировало лишь на 8 из 10 атак. Одна программа-вымогатель и один троян для кражи данных нанесли ущерб системе, шифруя или похищая данные. Продукт потерял в общей сложности 7 баллов и завершил тест с 28 баллами, оказавшись на последнем месте.

Чтобы получить сертификат «Advanced Approved Endpoint Protection» от AV-TEST, антивирус должен был набрать не менее 75% (26,5 баллов) от максимальных 35 баллов. Все протестированные корпоративные решения превысили этот порог.

Реалистичные сценарии и надежная защита

Киберпреступники пытаются проникнуть в системы пользователей всеми возможными способами. Некоторые методы атак трудны для обнаружения, из-за чего защита не всегда успешна. Однако текущие тесты показали, что существуют продукты, способные противостоять любым атакам и оставлять злоумышленников ни с чем.

Среди антивирусов для домашних пользователей это решения от F-Secure, McAfee и Microsoft. Среди корпоративных решений безупречную защиту продемонстрировали продукты от Kaspersky, Microworld, Trellix и WithSecure.

Остальные продукты должны улучшать свои технологии обнаружения и противодействия угрозам. ATP-тесты предоставляют ценные данные для таких улучшений и помогают производителям совершенствовать свои решения.

Последние обзоры и тесты

AV-Test 2024: Лучшие антивирусы для защиты от шифровальщиков и инфостилеров
Лучший антивирус 2024: Тестирование антивирусов для Windows 11 на максимальных настройках защиты
AV-Comparatives 2024: Лучшие антивирусы для защиты от целевых атак
Антивирусы с минимальным влиянием на производительность Windows ПК – AV-Comparatives 2024
AV-Test 2024: Тестирование 31 антивируса для Windows. Как антивирусы справляются с реальными атаками
AV-Test 2024: Лучшие антивирусы для Windows 11 и Windows 10

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×