Ransomware und Infostealer: 17 Security-Lösungen im ATP-Test
Hacker und APT-Gruppen nutzen nach Phishing-Attacken meist Ransomware oder Infostealer für den Angriff auf Windows-Systeme. Dass selbst nach einer anfänglichen Nichterkennung eines Angreifers nicht alles verloren ist, zeigt der umfangreiche Advanced Threat Protection-Test (ATP). Dort prüfen die Experten von AV-TEST in Schritt-für-Schritt-Tests, was die Schutzlösungen in 10 harten Szenarien leisten – oder auch nicht. Im aktuellen Test greifen die Malware-Exemplare mit besonderen Techniken an. Dabei verstecken sie sich in Skripten und Installationspaketen oder nutzen harmlos aussehende Verknüpfungsdateien von Windows. Die meisten der 17 untersuchten Schutzprodukte für private Anwender und Unternehmen wehren sich tatkräftig und erfolgreich. Aber einzelne Produkte lassen sich in wenigen Fällen überlisten.
In der Vergangenheit schickten Cyberangreifer oft eine ausführbare Datei per E-Mail. Inzwischen weiß selbst der Laie, dass man diese nicht einfach ausführt. Aktuell nutzen die Angreifer aber neue Techniken, mit denen sie geschickt den Angriffscode tarnen und in einem Skript oder anderen harmlosen Dateien verstecken. Durch die verwendeten Techniken sind die Angriffe so gut getarnt, dass selbst Experten auf den ersten Blick nichts erkennen.
Im aktuellen Advanced Threat Protection-Test – kurz ATP-Test – der im Mai und Juni 2024 unter Windows 10 ausgeführt wurde, haben folgende Hersteller für Privatanwender-Produkte teilgenommen: Avast, AVG, Avira, Bitdefender, McAfee, Microsoft und Surfshark.
Mit Unternehmenslösungen sind dabei: Avast, Bitdefender (mit 2 Versionen), Check Point, Cybereason, Microsoft, Microworld, Sophos, Trellix und WithSecure.
Im Test sind in den 10 realistischen Angriffsszenarien jeweils 5 aktuelle Ransomware-Exemplare und 5 Infostealer im Einsatz. Jede Malware nutzt eine andere Angriffstechnik oder kombiniert sogar verschiedene Techniken.
ATP-Test mit 17 Security-Produkten für Windows
Die Angreifer nutzen verschiedene Techniken und Tools, um der Erkennung durch Sicherheitsprodukte zu entgehen. In jedem ATP-Test über das Jahr variieren die Techniken der Angreifer und auch die Ransomware und Infostealer. Nur innerhalb des aktuellen Tests werden alle Produkte mit den identischen Angreifern samt Angriffstechniken konfrontiert. Hier sind die Techniken kurz erklärt:
LuaJit Skripting-Interpreter: LuaJit ist ein Just-in-Time-Compiler für die Programmiersprache Lua. Angreifer verstecken dabei bösartigen Code in Lua-Skripten, um sie dann auf den Rechnern der Opfer auszuführen. Da der Interpreter nicht sehr verbreitet ist, wird die Entdeckung von bösartigem Code erschwert. Im Test wird eine ausführbare LuaJit-Datei genutzt, die auf die Bibliothek verweist und so den bösartigen Code als Skript ausführt.
NSIS (Nullsoft Scriptable Install System): Mit dem quelloffenen, skriptgesteuerten Tool lassen sich Windows-Software-Installationsprogramme erstellen. Angreifer verstecken Malware und Scheindateien in den Installationspaketen, die ausgeführt werden und dann Ransomware oder Infostealer starten.
In LNK-Datei versteckter Code: In einer harmlosen wirkenden Verknüpfungsdatei (.LNK) versteckt sich bösartiger Code, der via Windows-eigener PowerShell extrahiert wird. Dann lädt der Code Ransomware und Infostealer auf das Windows-System und führt sie aus.
Im ATP-Test werden die einzelnen Schritte der Erkennung und der Verteidigung aufgezeichnet und in einer Matrix nach dem MITRE ATT&CK-Standard beschrieben. Bei Ransomware gilt es drei wesentliche Schritte zu erkennen, bei Infostealern sind es vier Aktionen. Für jeden abgewehrten Schritt bzw. Aktion vergibt das Labor einen halben oder ganzen Punkt. Damit kann ein Produkt für jede erkannte und liquidierte Ransomware fünfmal 3 Punkte erhalten, für die Infostealer sind es fünfmal 4 Punkte. Somit liegt der Bestwert im Schutz-Score bei 35 Punkten.
Die 10 Testszenarien
Alle Angriffsszenarien sind dokumentiert nach dem Standard der MITRE ATT&CK-Datenbank. Die einzelnen Unterpunkte, z.B. „T1566.001,“ stehen in der MITRE-Datenbank für „Techniques“ unter „Phishing: Spearphishing Attachment“. Jeder Testschritt ist so unter Fachleuten definiert und lässt sich nachvollziehen. Zusätzlich sind alle Angriffstechniken erklärt und wie dabei die Malware zum Zuge kommt.
ATP-Test-Ergebnisse der Privatanwender-Produkte
Viele Produkte für Privatanwender zeigen in diesem Test eine gute Leistung, aber einige haben auch gravierende Probleme. Fehlerfrei in allen 10 Szenarien mit Ransomware und Infostealern sind die Schutzpakete von Avast, AVG, McAfee, Microsoft und Surfshark. Sie alle erhalten die maximalen 35 Punkte für den Schutz-Score.
Avira erreicht 34 der 35 Punkte. Das Paket hat in einem Szenario mit einer Ransomware seine Probleme. Avira erkennt zwar den Angreifer, kann ihn aber nicht komplett stoppen. Am Ende sind einzelne Dateien verschlüsselt.
Für Bitdefender war der Testtag nicht gut. Zuerst wird ein Infostealer nicht erkannt und auch im weiteren Verlauf nicht aufgehalten. Es werden entsprechend Daten gestohlen und die ersten 4 Punkte sind verloren. Weiterhin werden in zwei Fällen die Angreifer mit Ransomware zwar erkannt, aber nicht komplett aufgehalten. Obwohl weitere Abwehrmechanismen greifen, sind am Ende bei 2 Szenarien einzelne Dateien verschlüsselt. Somit sind weitere zwei Punkte verloren und der Schutz-Score zählt nur noch 29 von 35 Punkten.
Alle Schutzpakete verdienen sich in diesem Test das Zertifikat „Advanced Certified“, da sie 75 Prozent der maximalen 35 Punkte erreichen (26,5 Punkte).
ATP-Test-Ergebnisse der Unternehmenslösungen
Auch bei den Lösungen für Unternehmen ist das Ergebnis durchmischt. 7 der 10 im ATP-Test geprüften Produkte arbeiten in allen 10 Szenarien fehlerfrei und erhalten den Höchstwert von je 35 Punkten für ihren Schutz-Score. Sie kommen von Avast, Bitdefender (Version Endpoint Security Ultra), Check Point, Microworld, Sophos, Trellix und WithSecure.
Microsoft Defender Antivirus (Enterprise) hat das Problem, dass es einen Ransomware-Angriff zwar erkennt, aber nicht komplett stoppen kann. Das Problem zieht sich durch bis zum Ende, an dem dann einzelne Dateien verschlüsselt sind. Damit bleiben 34 von 35 Punkten.
Während Bitdefender Endpoint Security „Ultra“ fehlerfrei die vollen 35 Punkte erhält, bekommt die Version Endpoint Security nur 30,5 von 35 Punkten. Im Test kann die Version zwar zwei Ransomware-Angreifer erkennen, aber nicht komplett blockieren. Somit sind am Ende jeweils einzelne Dateien verschlüsselt und insgesamt 2 Punkte verloren. Ähnlich ergeht es Bitdefender mit einem Infostealer: er wird zwar erkannt, kann aber nicht vollends aufgehalten werden. Dadurch kann der Angreifer die Datensammlung starten und die Daten auch stehlen. In diesem Fall bleiben nur 1,5 Punkte von 4 übrig – weitere 2,5 Punkte sind verloren.
Das Produkt von Cybereason hat in drei Fällen mit Infostealern das Problem, dass es die Angreifer erkennt, aber sie nicht aufhalten kann. Somit legen die Angreifer Skripte und ausführbare Dateien an. Aber danach ist auch schon Schluss und weitere Schutzmechanismen beenden in allen drei Fällen die Attacke. Unter dem Strich verliert Cybereason dreimal einen halben Punkt und somit 1,5 Punkte.
Ähnlich geht es Cybereason bei drei Fällen mit Ransomware: Immer wird der Angreifer erkannt, aber nicht vollends geblockt. Drei Mal bringen die Angreifer im nächsten Schritt ihr Rüstzeug wie Skripte oder Dateien auf das System. Danach beenden weitere Schutzmechanismen das Treiben und stoppen den Angriff. Aber die Probleme kosten dreimal einen ganzen Punkt in der Wertung. Am Ende hat Cybereason 30,5 von 35 Punkten auf dem Konto des Schutz-Score.
Alle Produkte erhalten die Auszeichnung „Advanced Approved Endpoint Protection“, da sie mindestens 75 Prozent der 35 Punkte (das sind 26,5 Punkte) als Schutz-Score erreichen.
Perfide Angreifer gegen variable Abwehrprofis
Der Test zeigt wieder einmal, wie dynamisch die Abwehr von Angreifern funktionieren kann. Selbst wenn eine Ransomware in Teile von Windows erfolgreich eindringt, ist das System noch nicht verloren. Der Test zeigt, dass die diversen Schutzmechanismen auch erst in späteren Schritten erfolgreich greifen. Bei den 17 untersuchten Produkten und den damit 170 ausgeführten Prüfszenarien gab es nur einen Fall, bei dem der Angreifer nicht erkannt und somit nicht aufgehalten wurde. In den anderen Prüfszenarien, bei denen die Malware zuerst nicht erkannt wurde, konnten die Abwehrprogramme in weiteren Schritten die Systeme erfolgreich verteidigen. Allerdings gibt es auch einige wenige Fälle, bei denen Daten zum Teil gestohlen oder auch vereinzelt verschlüsselt wurden.
Völlig erfolgreich und mit 35 Punkten glänzen die 5 Privatanwender-Produkte von Avast, AVG, McAfee, Microsoft und Surfshark. Bei den Lösungen für Unternehmen sind die Produkte von Avast, Bitdefender (Version Endpoint Security Ultra), Check Point, Microworld, Sophos, Trellix und WithSecure absolut fehlerfrei im Test.