ATP-TEST: Versteckte Attacken von Ransomware und Infostealern
Cyberangreifer feilen ständig an neuen Angriffstechniken, entwickeln vorhandene weiter oder kombinieren diese in einer Angriffswelle. Im aktuellen Advanced Threat Protection-Test (ATP) prüfen die Experten von AV-TEST, wie gut Schutzprodukte die neu entwickelten Angriffe erkennen und abwehren. Im Testlabor zeigen 6 Produkte für private Anwender und 8 Lösungen für Unternehmen, wie gut sie die Angreifer parieren. Im Test nutzen Angreifer mit Ransomware und Infostealern die Techniken dynamische API-Auflösung, DLL-Sideloading, PowerShell ScriptBlockAst Befehlsausblendung und verstecken sich in bekannten Windows-Tools. Der Test zeigt, dass sich einige Schutzprodukte mit den Angriffstechiken schwertun und nicht immer den Attacken standhalten.
Bei den Advanced Threat Protection-Tests (ATP) geht es nicht nur um die reine Erkennung eines Angreifers. Vielmehr gilt es in der Prüfung festzustellen, ob ein Security-Produkt seine vorhandenen Schutzkomponenten so kombinieren kann, dass es auch versteckte Attacken erkennt und abwehrt. In der aktuellen Prüfung finden sich 6 Schutzpakete für private Anwender und 8 Security-Lösungen für Unternehmen. Der Test fand im Juli und August 2024 unter Windows 10 statt.
Dem aktuellen Advanced Threat Protection-Test stellen sich die Produkte für private Anwender von Avast, AVG, F-Secure, McAfee, Microsoft und NPAV. Bei den Unternehmenslösungen steigen die Produkte der Hersteller Avast, Check Point, Kaspersky (mit 2 Versionen), Microworld, Qualys, Trellix und WithSecure in den Ring.
Im ATP-Test greifen in 10 realistischen Angriffsszenarien jeweils 5 Exemplare einer Ransomware und 5 Exemplare von Infostealern an. Die Angreifer verwenden besondere Techniken oder kombinieren diese sogar. Die technischen Hintergründe erklären wir ein paar Absätze weiter.
Das Ergebnis des Tests zeigt, dass nicht jede Schutz-Software gegen die Angreifer bestehen kann. Allerdings zeigt der Test auch, dass es Produkte gibt, die in jedem noch so perfiden Szenario klar und sicher agieren und somit jeden Angreifer abwehren.
Von Malware verwendete Angriffstechniken
Cybergangster arbeiten ständig an neuen Techniken, um ihre destruktive Malware auf den Systemen der Nutzer zu platzieren. Das Labor kennt diese Techniken und setzt Malware nach den gleichen Angriffsmustern ein, wie sie täglich in der IT-Welt zu beobachten sind. Bei den Angriffen sind entweder einzelne oder kombinierte Techniken im Einsatz. Hier die technischen Hintergründe:
Dynamische API-Auflösung: Angreifer können API-Funktionen, die Windows jeder Anwendung bereitstellt, von ihrer Malware aufrufen lassen. Allerdings wird die Nutzung verschleiert und dynamisch aufgelöst, um bösartige Funktionen zu verbergen. Das erschwert für Schutzprodukte die Abwehranalyse. Um API-Aufrufe weiter zu verschleiern, verwendet Malware häufig Hashes zur Auflösung von API-Funktionen oder wendet Verschlüsselung auf Strings an, die während der Ausführung entschlüsselt werden müssen. Im aktuellen Test nutzen alle Dateivorgänge als Kern-Nutzlast die systemeigene Windows-API (ntdll.dll) und lösen Funktionen zur Laufzeit auf. Das verschleiert den Angriff und erschwert die Erkennung.
DLL-Sideloading: Hier profitieren Attacken von üblichen Programmierfehlern bei Standard-Software. Eine bösartige DLL wird in das Applikations-Verzeichnis kopiert. Die Anwendung bemerkt das nicht und lädt die DLL. Der Prozess führt dann die Vorgaben der Angreifer aus, welche zunächst normal und harmlos aussehen. Im Test werden eine ausführbare Datei von GoTo Meeting (g2mupload.exe) und das Windows-Tool RunOnce (runonce.exe) verwendet, um die gefährliche DLL per Sideloading zu laden.
PowerShell ScriptBlockAst Befehlsausblendung: ScriptBlockAst ist für Programmierer eine Art Übersichtskarte für ein PowerShell-Skript. Angreifer sorgen dafür, dass dynamisch erzeugter Angriffscode in der Übersicht ausgeblendet wird. Abwehrprogramme können so den Code nicht analysieren und daher schwerer erkennen. In der aktuellen Untersuchung führt eine Verknüpfungsdatei PowerShell-Code aus, der ScriptBlockAst verwendet, um seine Absicht zu verschleiern. Denn im weiteren Schritt wird eine gefährliche Aktion ausführt.
Tools umbenennen: Malware benennt Windows-Systemtools neu, um die Erkennung durch Sicherheitssoftware zu vermeiden. Denn bestimmte Dateinamen oder Prozesse werden durch Sicherheits-Software überwacht. Auf diese Weise kann Malware sogar das Whitelisting von Anwendungen nutzen und sich unter legitimen Prozessen verstecken. Im Test werden die Windows-Tools Curl und RunOnce kopiert, umbenannt und für den Download und das Sideloading einer Malware verwendet.
Das Labor führt alle 10 realistischen Attacken auf Windows-Test-PCs aus mit jeweils einer installierten Schutzlösung. Dabei werden alle Schritte bei der Erkennung und der Abwehr von jedem Angriffs-Szenario notiert und später nach dem MITRE ATT&CK-Standard beschrieben. Während es bei Ransomware drei wesentliche Schritte zu erkennen gilt, sind es bei Infostealern vier Aktionen. Für jede abgewehrte Aktion vergibt das Labor einen halben oder ganzen Punkt. Damit kann ein Produkt für jede erkannte oder abgewehrte Ransomware fünfmal 3 Punkte erhalten, für die Infostealer sind es fünfmal 4 Punkte. Somit liegt der Bestwert im Schutz-Score pro Produkt bei 35 Punkten.
Die 10 Testszenarien
Alle Angriffsszenarien sind dokumentiert nach dem Standard der MITRE ATT&CK-Datenbank. Die einzelnen Unterpunkte, z.B. „T1566.001,“ stehen in der MITRE-Datenbank für „Techniques“ unter „Phishing: Spearphishing Attachment“. Jeder Testschritt ist so unter Fachleuten definiert und lässt sich nachvollziehen. Zusätzlich sind alle Angriffstechniken erklärt und wie dabei die Malware zum Zuge kommt.
So gut sind Privatanwender-Produkte im ATP-Test
Bei den 6 geprüften Schutzpaketen für private Anwender passieren 3 Produkte den Test völlig fehlerfrei in allen 10 Szenarien und erhalten somit die vollen 35 Punkte für ihren Schutz-Score: F-Secure Total, McAfee Total Protection und Microsoft Defender Antivirus (Consumer).
Das Produkt von NPAV erkennt zwar in allen 10 Szenarien die Angreifer, kann aber in 4 Fällen – zwei mit Ransomware und zwei mit Infostealern – den Angriff zuerst nichts stoppen. Erst durch den Einsatz weitere Schutzmodule wird der Angriff aufgehalten. Allerdings verbleiben nach der Attacke die ausführbaren Dateien des Angreifers auf dem System. Für diese Fehler zieht das Labor insgesamt 8-mal einen halben Punkt ab. Am Ende erreicht NPAV 31 von 35 möglichen Punkten im Schutz-Score.
Die Produkte von Avast und AVG kämpfen im Test mit den identischen Problemen: Sie erkennen jeweils eine Ransomware und einen Infostealer nicht. Danach sind die Daten verschlüsselt bzw. exfiltriert und somit gestohlen. Jedes Produkt verliert somit 7 Punkte – einmal 3 und einmal 4 Punkte – für den Schutz-Score und es bleiben am Ende 28 von 35 Punkten.
Damit ein Schutzpaket von AV-TEST das Zertifikat „Advanced Certified“ erhält, muss es 75 Prozent der maximalen 35 Punkte erreichen (26,5 Punkte). Das haben alle 6 Endanwender-Produkte im Test geschafft.
So gut sind Unternehmenslösungen im ATP-Test
An dem erweiterten ATP-Test haben auch 8 Lösungen für Unternehmen teilgenommen. Gleich 5 Produkte erzielen durch ihre fehlerfreie Schutzleistung die maximalen 35 Punkte für ihren Schutz-Score: Kasperskys Endpoint Security und Small Office Security, Microworld eScan Enterprise EDR, Trellix Endpoint Security und WithSecure Elements Endpoint Protection.
Die Schutzlösung von Check Point erkennt zwar in allen 10 Szenarien die Angreifer, aber in 2 Fällen mit Ransomware kann das Produkt den Angriff nicht komplett unterbinden. In weiteren Abwehrschritten stoppt die Lösung dann zwar die groß angelegte Verschlüsselung, aber einzelne Dateien sind letztlich verschlüsselt. Das kostet das Produkt in der Wertung insgesamt 2 Punkte und es landet am Ende bei 33 von 35 Punkten.
Die Qualys-Lösung für den Endpoint identifiziert nur 9 von 10 Angriffen, wodurch ein Infostealer alle Daten stehlen kann und das Produkt alle 4 Punkte in diesem Fall verliert. Dazu kommt noch ein weiterer Angriff einer Ransomware, der zwar erkannt, aber nicht komplett gestoppt wird. Am Ende sind einzelne Dateien verschlüsselt und weitere 1,5 Punkte verloren. Somit stehen dennoch 29,5 von 35 Punkten im Schutz-Score von Qualys.
Die Business-Lösung von Avast reagiert im Test auf nur 8 von 10 Angriffen. Jeweils eine Ransomware und ein Infostealer verrichten im System ihren destruktiven Dienst und stehlen Daten bzw. verschlüsseln sie. Somit verliert das Produkt insgesamt 7 Punkte für seinen Schutz-Score und steht am Ende in der Tabelle mit 28 Punkten.
Damit ein Produkt im ATP-Test das Zertifikat „Advanced Approved Endpoint Protection“ erhält, muss es mindestens 75 Prozent der 35 Punkte (das sind 26,5 Punkte) als Schutz-Score erreichen. Diesen Wert haben alle geprüften Produkte überschritten.
Realistische Szenarien und gute Abwehr
Cyberangreifer versuchen auf jede erdenkliche Art und Weise in die Systeme der Nutzer einzudringen. Die dabei genutzten Techniken sind für einige Schutzprodukte nicht einfach zu entdecken. Dadurch kann mancher Angriff nicht verhindert werden. Der aktuelle Test zeigt aber auch, dass es Produkte gibt, die mit jeder Attacke umgehen können und den Angreifern keine Chance lassen. Bei den Schutzpaketen für private Anwender sind das die Produkte von F-Secure, McAfee und Microsoft. Bei den Unternehmenslösungen leisten die Produkte von Kaspersky (mit 2 Versionen), Microworld, Trellix und WithSecure perfekten Widerstand.
Alle anderen geprüften Produkte können mit dem Ergebnis nicht zufrieden sein und müssen weiter die Erkennung und die Abwehr verfeinern. Die ATP-Tests liefern dazu wichtige Erkenntnisse und dienen den Herstellern auch zur Produktverbesserung.