ATP-TEST: 26 Security-Pakete wehren Ransomware und Infostealer ab

Alle Produkte müssen sich in 10 realen Szenarien gegen 5 Varianten von Ransomware und 5 Infostealer verteidigen. Jeder Ablauf eines Angriffs wird in all seinen Schritten dokumentiert und später ausgewertet. Dazu wird jeder Angriff in einer Matrix nach dem MITRE ATT&CK-Standard beschrieben. Als Bewertung vergibt das Labor Punkte für jeden erkannten und abgewehrten Angriff. Im Test greifen 5 Ransomware-Exemplare und 5 Infostealer an. Bei Ransomware gilt es drei wesentliche Schritte zu erkennen – beim Infostealer sind es vier. Mit jeder Abwehraktion verdient sich ein Produkt einen halben oder einen ganzen Punkt. Für eine abgewehrte Ransomware vergibt das Labor bis zu fünfmal 3 Punkte. Bei den Infostealern sind es maximal fünfmal 4 Punkte. Wird in einem Verteidigungsschritt der Angreifer nur zum Teil aufgehalten, gibt es entsprechend nur halbe Punkte oder gar keine. Der Bestwert im späteren Schutz-Score liegt pro Produkt bei 35 Punkten.

Bei den Attacken werden diverse Angriffstechniken genutzt, die Angreifer auch aktuell bei realen Angriffen verwenden. Teilweise kombinieren die Cyberangreifer auch diverse Techniken, um die Erkennung weiter zu erschweren. Hier sind zwei Angriffstechniken, die in diesem Test besonders stark genutzt wurden:

Memory Mapped File IO: Die Technik ist eine alternative Methode für den Zugriff auf Dateien auf einem Laufwerk. Der Dateizugriff wird über den Speicher abgewickelt, wobei eine speicherbezogene Adressierung verwendet wird. So kann etwa Ransomware zwischengespeicherte Dokumente verschlüsseln, ohne zusätzliche Schreibvorgänge auf der Festplatte zu verursachen. Tools zur Überwachung von Festplattenschreibvorgängen bemerken dann nicht, dass die Malware auf ein zwischengespeichertes Dokument zugreift, da die Daten aus dem Speicher und nicht von der Festplatte bereitgestellt werden.

In unseren Angriffen wird Memory-Mapped File I/O zum Verschlüsseln von Dateien mit Ransomware oder zum Lesen von Dateien bei der Exfiltration verwendet.

Command-line and PPID Spoofing: Befehlszeilen-Spoofing und PPID-Spoofing (Parent Process ID) sind Techniken, die von Malware eingesetzt werden, um sich in legitime Systemaktivitäten einzuschleichen. So getarnt sollen sie der Erkennung entgehen. Beim Kommandozeilen-Spoofing werden die an bösartige Prozesse übergebenen Argumente verschleiert. Beim PPID-Spoofing wird die übergeordnete Prozess-ID eines bösartigen Prozesses manipuliert, um den Anschein zu erwecken, dass er von einem vertrauenswürdigen Prozess gestartet wurde. Diese Techniken erschweren die forensische Analyse und behindern die Erkennung bösartiger Aktivitäten durch Sicherheitstools, die Prozessbeziehungen oder Befehlszeilenaktivitäten analysieren.

In unseren Angriffen werden PowerShell-Instanzen gestartet, um isolierte Aufgaben auszuführen. Diese Instanzen werden mit gefälschten PPIDs und Befehlszeilen gestartet.

Die 10 Testszenarien

Alle Angriffsszenarien sind dokumentiert nach dem Standard der MITRE ATT&CK-Datenbank. Die einzelnen Unterpunkte, z.B. „T1566.001,“ stehen in der MITRE-Datenbank für „Techniques“ unter „Phishing: Spearphishing Attachment“. Jeder Testschritt ist so unter Fachleuten definiert und lässt sich nachvollziehen. Zusätzlich sind alle Angriffstechniken erklärt und wie dabei die Malware zum Zuge kommt.

Für Privatanwender: Die ATP-Testergebnisse

Der Test der Privatanwenderprodukte liefert einige Überraschungen. Lediglich 4 der geprüften 11 Produkte schließen den Test in allen 10 Szenarien perfekt ab und erhalten 35 Punkte für den Schutz-Score: Bitdefender, ESET, McAfee und Microsoft.

Die Pakete von Avast, AVG und Norton erkennen zwar in allen 10 Szenarien die Angreifer, haben aber mit einem Infostealer und einer Ransomware arg zu kämpfen: Die Produkte bemerken die Angreifer, können sie aber nicht komplett blockieren. Beide Malware-Exemplare nutzen für ihre Angriffe eine Technik, bei der ein Auto-Hotkey-Skript erstellt und verwendet wird. Die Erstellung können die Produkte ebenfalls nicht unterbinden. Allerdings funktioniert das bei der weiteren Ausführung des Skripts – Angriff gestoppt. Jedes Produkt verliert dadurch pro Malware-Problem 1 Punkt und somit insgesamt 2 Punkte. Am Ende verdienen sich Avast, AVG und Norton jeweils 33 Punkte im Schutz-Score.

G DATA und F-Secure erkennen jeweils nur 9 der Angreifer. Beide scheitern an einem anderen Infostealer und verlieren dadurch 4 Punkte. Dazu kommt noch, dass jedes Paket ein Ransomware-Exemplar zwar erkennt, aber in den ersten Schritten nicht blockieret. Auch die Erstellung eines Angriffs-Skripts halten beide nicht auf. Bei dessen Ausführung stoppt zumindest das G DATA-Paket den Angriff und verliert so nur einen Punkt. Das Security-Paket von F-Secure schafft das nicht und das System wird verschlüsselt. Somit gehen weitere 2,5 Punkte verloren. Für den Schutz-Score sammelt G DATA am Ende des Tests 30 von 35 Punkten und F-Secure noch 28,5 Punkte.

Die Situation bei Avira und K7 Computing ist schnell erklärt: Sie identifizieren nur 8 von 10 Angriffen. Bei je einer Ransomware und einem Infostealer erfolgt keine Gegenwehr und somit gehen volle 7 Punkte (4 und 3 Punkte) verloren. Beide verbuchen am Ende 28 statt 35 Punkte im Schutz-Score.

Alle Schutzpakete erhalten von AV-TEST das Zertifikat „Advanced Certified“, da 75 Prozent der maximalen 35 Punkte erreicht wurden (26,5 Punkte).

Für Unternehmen: Die ATP-Testergebnisse

Die 15 im ATP-Test untersuchten Lösungen für Unternehmen zeigen eine starke Leistung. 12 der 15 Produkte lassen den Angreifern in allen 10 Szenarien keine Chance. Daher verdienen sie sich die vollen 35 Punkte für den Schutz-Score: Acronis, Bitdefender (beide Versionen), ESET, Kaspersky (beide Versionen), Microsoft, Microworld, Qualys, Symantec, Trellix und WithSecure.

Die Lösung von Net Protector hat bei der Erkennung einer Ransomware leichte Schwierigkeiten. So wird der Angreifer zwar erkannt, aber nicht sofort gestoppt. Die Ransomware platziert noch ein Angriffs-Skript. Bei dessen Ausführung ist aber Schluss und der Angriff wird gestoppt. Das kostet einen Punkt Abzug und es bleiben 34 von 35 Punkten.

Die Endpoint-Lösung von Avast tut sich ebenfalls mit einem Infostealer und einer Ransomware schwer. Der Angreifer wird zwar erkannt, kann jedoch zunächst ungehindert weiter agieren. Sogar die Angriffsskripte erstellt die Malware in beiden Fällen. Bei deren Ausführung gelingt es Avast aber, die Angreifer endgültig zu stoppen. Aufgrund der Probleme verliert das Produkt zweimal einen Punkt und landet bei 33 von 35 Punkten in Sachen Schutz-Score.

Die Schutzlösung von Rapid7 spürt im Test zwar alle 10 Angreifer auf, stößt aber bei zwei von ihnen an seine Grenzen. Ein Infostealer liefert sich mit der Lösung eine regelrechte Schlacht. Zuerst wird der Angreifer erkannt, lässt sich aber nicht aufhalten. Danach wird ein Skript erstellt, welches anfängt die Daten zu sammeln. Dessen Ausführung verhindert Rapid7 nicht. Am Ende schafft es die Malware sogar einige Daten zu extrahieren und zu versenden. Erst jetzt gelingt es der Schutz-Software, den Angreifer zu stoppen. Dieser erste Vorfall kostet Rapid7 2 von 3 Punkten.

Die zweite Komplikation, dieses Mal mit einer Ransomware, beginnt fast identisch. Allerdings kann Rapid7 nach der ersten Erkennung nichts mehr gegen den Angreifer ausrichten. Das System ist am Ende verschlüsselt. Die Lösung von Rapid 7 kommt somit noch auf 29,5 von 35 Punkten für den Schutz-Score.

Alle Unternehmens-Produkte im ATP-Test erhalten das Zertifikat „Advanced Approved Endpoint Protection“, da sie mindestens 75 Prozent der 35 Punkte (das sind 26,5 Punkte) als Schutz-Score erreichen.

Einige Produkte müssen sich verbessern

Der ATP-Test mit seinen detaillierten Prüfungen zeigt besonders bei den Produkten für private Anwender, dass es sowohl sehr gute Schutzpakete gibt, als auch einige, die noch Luft nach oben haben. Nur 4 der 11 untersuchten Systembeschützer verdienen sich im Test die maximale Punktzahl: Bitdefender, ESET, McAfee und Microsoft.

Die Security-Suiten von Avast, AVG und Norton liefern mit je 33 von 35 Punkten noch eine starke Leistung. Sie verlieren zwar anfangs gegen die Malware, bekommen das Geschehen aber wieder voll in den Griff.

Bei den Unternehmenslösungen sieht das Bild wesentlich besser aus. 12 der 15 untersuchten Endpoint-Pakete für Windows passieren den Test fehlerfrei und nehmen die vollen 35 Punkte mit über die Ziellinie. Lediglich 3 Hersteller müssen sich verbessern.