APT-Gruppen nutzen viele verschiedene Angriffstaktiken. AV-TEST hat Schutzprodukte für Unternehmen in jeweils 10 aktuell genutzten Szenarien mit den Techniken „.Net Reflective Assembly loading“, „.Net Dynamic P/Invoke“ und „AMSI-Bypass“ angegriffen. Nur die Hälfte der untersuchten Produkte konnte zu 100 Prozent gegen alle Angriffe bestehen.
Die Advanced Threat Protection-Tests sind zwar speziell, aber sie prüfen Schutz-Software immer wieder mit den neuesten Angriffstechniken der APT-Gruppen. Wie etwa „.Net Reflective Assembly loading“, eine Technik die in grundlegender Form bei Angriffen von Cobalt Strike, Cuba oder Lazarus eingesetzt wird. Aber auch die Techniken „.Net Dynamic P/Invoke“ und „AMSI-Bypass“ werden gerne für aktuelle Angriffe mit Ransomware genutzt.
🔎 Nur 7 der 14 geprüften Endpoint-Lösungen können sich absolut fehlerfrei gegen neueste Ransomware wehren (Bild: AV-TEST).
Nach einem erfolgreichen Angriff sind die Systeme verschlüsselt und die Erpressung durch die APT-Gruppen nimmt ihren Lauf. Es sei denn: die Schutzprodukte für private Anwender und Unternehmen erkennen die angewendeten Angriffstechniken, stoppen den Angriff und liquidieren die Ransomware.
Advanced Test: Lösungen für Unternehmen
Dem erweiterten Test von Endpoint-Security-Lösungen für Unternehmen stellen sich Produkte von AhnLab, Bitdefender (2 Versionen), Check Point, G DATA, Kaspersky (2 Versionen), Microsoft, Sangfor, Symantec, Trellix, VMware, WithSecure und Xcitium.
Jedes Produkt muss in 10 Szenarien die Angriffstechnik erkennen und die Ransomware abwehren. Für jede komplette Abwehr vergibt das Labor 3 Punkte. Mit einer fehlerfreien Erkennung aller Angriffe und der Abwehr der Ransomware glänzen die Produkte von Bitdefender (Version Endpoint und Ultra), Check Point, G DATA, Kaspersky (Version Endpoint und Small Office Security), sowie Xcitium. Für ihre Leistung erhalten diese Produkte 30 Punkte für den Schutz-Score.
Erkennung Ja – Aufhalten nur bedingt
Symantec und Microsoft erkennen zwar ebenfalls alle 10 Angriffsszenarien, haben aber in einem Fall ein Problem: sie erkennen zwar den Angriff und auch die Ransomware. Sie leiten sogar beide weitere Schritte gegen den Angriff ein. Aber am Ende sind bei Symantec einzelne Dateien verschlüsselt und bei Microsoft sogar das ganze System. Damit erhält Symantec 29 Punkte und Microsoft 28,5 Punkte für den Schutz-Score.
Danach wird das Feld schwächer: AhnLab, Sangfor und WithSecure haben alle das gleiche Problem. Sie erkennen in einem Fall weder die Angriffstechnik noch die Ransomware. Schlussendlich ist das System verschlüsselt und alle Produkte verlieren die vollen 3 Punkte für einen Fall: je 27 Punkte für den Schutz-Score. Die weiteren Endpoint-Lösungen von Trellix und VMware kommen nur auf 24 bzw. 22,5 Punkte.
Mehr bei AV-TEST.org
Über AV-TEST Die AV-TEST GmbH ist ein unabhängiger Anbieter für Services im Bereich IT-Sicherheit und Anti-Viren-Forschung mit Fokussierung auf die Ermittlung und Analyse der neuesten Schadsoftware und deren Einsatz in umfassenden Vergleichstests. Die Aktualität der Testdaten ermöglicht die reaktionsschnelle Analyse neuer Schädlinge, die Früherkennung von Trends im Viren-Bereich sowie die Untersuchung und Zertifizierung von IT-Sicherheitslösungen. Die Ergebnisse des AV-TEST Institutes stellen ein exklusives Informations-Fundament dar und dienen Herstellern zur Produktoptimierung, Fachmagazinen zur Ergebnis-Publikationen und Endkunden zur Orientierung bei der Produktauswahl.
Das Unternehmen AV-TEST agiert seit 2004 in Magdeburg und beschäftigt mehr als 30 Mitarbeiter mit profunder Fach- und Praxiserfahrung. Die Labore sind mit 300 Client- und Serversystemen ausgestattet, in denen mehr als 2.500 Terabyte an selbst ermittelten Testdaten schädlicher sowie ungefährlicher Informationen gespeichert und verarbeitet werden. Weitere Informationen finden Sie unter https://www.av-test.org.