AV-Test: Тестирование 26 антивирусов для Windows против шифровальщиков и ПО для кражи данных

В 2024 было много случаев, когда программы-вымогатели и инфостилеры атаковали ПК и серверы, шифровали или извлекали информацию. Независимо от способа атаки, итогом всегда был один — запрос выкупа. Но можно ли предотвратить такие атаки?

Может ли защитное ПО обнаружить и отразить современные атаки? Новейший тест ATP (Advanced Threat Protection) дает ответы на эти вопросы. В тестировании принимало участие 26 антивирусов для корпоративных и домашних пользователей.

ATP-тест наглядно демонстрирует, насколько эффективно защитные решения под управлением Windows обеспечивают безопасность систем. При оценке AV-Test использует актуальные образцы вредоносного ПО из категорий программ-вымогателей и инфостилеров, проводя атаки с применением современных стратегий и методов. Некоторые антивиурсы угрозам удалось обойти, а другие успешно отразили все атаки без исключения.

26 антивирусов для Windows были разделены на 11 пакетов для домашних пользователей и 15 решений для корпоративных клиентов. Все они оснащены различными защитными методами и модулями и предназначены для защиты систем Windows от атак. Сначала они осуществляют обычное сканирование и обнаружение вредоносного ПО, а затем переходят к анализу поведения и выявлению методов атаки. Злоумышленники не просто рассылают вредоносные файлы по электронной почте – они прибегают к сложным стратегиям, при которых письма идеально подделаны и замаскированы для обхода обнаружения. Также применяются передовые техники для обхода защиты. Именно эти подходы и проверяются в тесте Advanced Threat Protection.

26 антивирусов в тестировании Advanced Threat Protection

В ходе теста все антивирусы, проходящие расширенную оценку, сталкивались с реальными сценариями атак.

Защитные пакеты для домашних пользователей включают:

• Avast Free AntiVirus
• AVG Internet Security
• Avira Security для Windows
• Bitdefender Total Security
• ESET Security Ultimate
• F-Secure TOTAL
• G Data Internet Security
• K7 Computing Total Security
• McAfee Total Protection
• Microsoft Defender Antivirus
• Norton 360

Решения для корпоративных пользователей включают:

• Acronis Cyber Protect
• Avast Ultimate Business Security
• Bitdefender Business Security
• Bitdefender Business Security Ultimate
• ESET PROTECT Advanced
• Kaspersky Endpoint Security
• Kaspersky Small Office Security
• Microsoft Defender Antivirus (Enterprise)
• Microworld eScan Enterprise EDR
• Net Protector Endpoint Security
• Qualys Endpoint Protection
• Rapid7
• Symantec Endpoint Security Complete
• Trellix Endpoint Security
• WithSecure Elements Endpoint Protection

Тест проводился с ноября по декабрь 2024 года на Windows 10.

Процедура тестирования

Все антивирусы должны были успешно защитить систему от 5 вариантов программ-вымогателей и 5 образцов ПО для кражи данных в 10 реальных сценариях. Каждый сценарий атаки описан в матрице в соответствии со стандартом MITRE ATT&CK. Определены все отдельные этапы атаки, а также задокументированы защитные реакции. Таким образом, вредоносное ПО может быть обнаружено сразу или остановлено на более поздних этапах защиты.

В тесте проводилось 5 атак с программами-вымогателями и 5 атак с инфостилерами. В случае с шифровальщиками есть три ключевых шага для распознавания, а в случае с похитителями информации - четыре действия. За каждое предотвращенное действие AV-Test начисляет половину или полный балл. Это означает, что продукт защиты может заработать 3 балла пять раз за каждый предотвращенный образец шифровальщика и 4 балла пять раз за инфостилера. Таким образом, наивысшее значение, которое может получить антивирус в баллах за защиту, составляет 35 баллов.

Используемые техники атак

Атаки включают разнообразные методы, применяемые злоумышленниками в реальных условиях. Часто кибератакующие комбинируют различные техники для усложнения обнаружения. Ниже приведены две техники, которые были особенно активно использованы в тесте:

Маппинг файлов в память (Memory-mapped file I/O):

Эта техника представляет собой альтернативный способ доступа к данным на диске, когда доступ к файлам осуществляется через память с использованием адресации, связанной с оперативной памятью. Например, программа-вымогатель может зашифровать кэшированные документы, не выполняя дополнительных операций записи на жесткий диск. Инструменты мониторинга дисковой активности не заметят обращения к кэшированному документу, так как данные подаются из памяти, а не с диска. В атаках AV-Test данная техника использовалась для шифрования файлов программ-вымогателем или для чтения файлов во время эксфильтрации.

Подмена командной строки и PPID:

Подмена командной строки и подмена идентификатора родительского процесса (PPID) – это техники, используемые вредоносным ПО для внедрения в легитимные системные процессы с целью сокрытия своей активности. Подмена командной строки маскирует аргументы, передаваемые вредоносным процессам, а подмена PPID заключается в изменении идентификатора родительского процесса, чтобы создать впечатление, что процесс запущен доверенной программой. Эти методы усложняют судебно-экспертный анализ и затрудняют обнаружение вредоносной активности средствами безопасности. В атаках для выполнения отдельных задач запускались экземпляры PowerShell, исполняемые с поддельными PPID и командными строками.

10 сценариев тестирования

Все сценарии атак задокументированы в соответствии со стандартом базы данных MITRE ATT&CK. Отдельные подметоды, например «T1566.001», перечислены в базе данных MITRE как «Phishing: Spearphishing Attachment». Таким образом, каждый шаг теста идентифицируется среди экспертов и его можно понять логически.

Previous Next

Антивирусы для дома

Тестирование антивирусов для домашних пользователей принесло некоторые сюрпризы. Только 4 из 11 протестированных продуктов прошли тест во всех 10 сценариях без ошибок и набрали максимальные 35 баллов: Bitdefender Total Security, ESET Security Ultimate, McAfee Total Protection и Microsoft Defender Antivirus.

Пакеты от Avast, AVG и Norton обнаружили угрозы во всех сценариях, однако столкнулись с проблемами при работе с одним образцом инфостилера и одной программой-вымогателем. Продукты идентифицировали атаку, но не смогли полностью ее заблокировать. Оба вредоносных образца использовали метод, при котором создавался и применялся скрипт AutoHotKey. Продукты не смогли предотвратить создание скрипта, но после его выполнения атака была остановлена. В результате каждый продукт потерял по 1 баллу за каждую проблему (в сумме 2 балла), и итоговый счет составил 33 балла для Avast, AVG и Norton.

G DATA и F-Secure обнаружили лишь 9 атак. Оба продукта не справились с еще одним инфостилером, что привело к потере 4 баллов. Кроме того, каждый из пакетов распознал образец программ-вымогателей, но не смог заблокировать его на начальных этапах, а также предотвратить создание атакующего скрипта. Во время его выполнения пакет G DATA сумел остановить атаку, потеряв лишь 1 балл, тогда как F-Secure не справился, и система была зашифрована, что привело к дополнительной потере 2.5 балла. В итоге G DATA набрала 30 баллов, а F-Secure – 28.5 баллов.

Avira и K7 Computing обнаружили лишь 8 из 10 атак. При отсутствии защиты против одной программы-вымогателя и одного ПО для кражи данных каждый продукт потерял полный набор баллов (4 и 3 балла соответственно), что привело к итоговому счету в 28 баллов вместо 35.

Previous Next

По итогам тестирования все антивирусы получили сертификат «Advanced Certified» от AV-TEST, так как набрали не менее 75 % от максимума (26,5 балла).

Корпоративные решения

15 решений для компаний, оцененных в ATP-тесте, продемонстрировали высокую эффективность. Злоумышленникам не удалось преодолеть защиту в 12 из 15 антивирусов во всех 10 сценариях. Полные 35 баллов по показателю защиты получили следующие решения: Acronis, Bitdefender (обе версии), ESET, Kaspersky (обе версии), Microsoft, Microworld, Qualys, Symantec, Trellix и WithSecure.

Решение Net Protector столкнулось с незначительными трудностями при обнаружении программ-вымогателей – зловред был обнаружен, но не был полностью заблокирован, что позволило программ-вымогателю загрузить атакующий скрипт. После его выполнения атака была остановлена, что привело к потере 1 балла, и итоговый счет составил 34 балла.

Решение Avast для конечных устройств также столкнулось с проблемами при атаке программ-вымогателей и инфостилеров. Угрозы были обнаружены, но изначально продолжали работу без помех, даже создав атакующие скрипты. Однако после их запуска Avast сумел полностью остановить атаку, что привело к итоговому счету в 33 балла.

Защитное решение Rapid7 обнаружило всех 10 зловредов, но столкнулось с ограничениями в двух атаках. В одном случае инфостилер был сначала распознан, но не остановлен, затем был создан скрипт для сбора данных, выполнение которого не удалось предотвратить – в итоге вредоносное ПО смогло извлечь и отправить часть данных. Лишь после этого защита сработала, что привело к потере 2 из 3 баллов. Вторая проблема с программ-вымогателем развивалась аналогично: после первоначального обнаружения Rapid7 уже не смогли повлиять на зловред, и система была зашифрована. В итоге Rapid7 набрал 29.5 из 35 баллов.

Previous Next

Все решения для корпоративных пользователей получили сертификат «Advanced Approved Endpoint Protection», так как набрали не менее 75 % от максимума (минимум 26,5 балла).

Можно лучше

Детальные испытания ATP-теста показывают, что существуют как высокоэффективные защитные пакеты, так и те, которые все еще требуют доработки, особенно среди продуктов для домашних пользователей. Только 4 из 11 протестированных решений (Bitdefender, ESET, McAfee и Microsoft) получили максимальный счет в 35 баллов. Защитные комплекты от Avast, AVG и Norton продемонстрировали достойную эффективность, набрав по 33 балла, сумев восстановить контроль над ситуацией после первоначальных трудностей. Ситуация среди корпоративных решений выглядит еще лучше: 12 из 15 протестированных решений для Windows прошли тест без ошибок, набрав полные 35 баллов, и лишь 3 вендорам предстоит дальнейшая работа над улучшением защиты.