13. März 2023 | Text: Markus Selinger | Antivirus für Windows

Schutz-Software gegen neueste Ransomware-Techniken

In einer umfangreichen Untersuchung hat AV-TEST Schutzprodukte für private Anwender und Unternehmen geprüft. Alle Produkte mussten gegen aktuelle Ransomware-Techniken bestehen. Im Einsatz sind technische Raffinessen, wie Polyglot Files, DLL Sideloading oder Nested Password Protected Self-Extracting Archives, wie sie etwa von Emotet beim Angriff genutzt werden. Insgesamt 25 Produkte stellen sich der Aufgabe und sind bei vielen Herausforderungen erfolgreich – aber nicht bei allen. Der folgende Artikel aus der Reihe Advanced Threat Protection-Tests beleuchtet die Ergebnisse in einer Schnellauswertung.

Security-Software vs. Ransomware

im Advanced Threat Protection-Test

Neben den klassischen Erkennungstests prüft das Labor von AV-TEST viele Schutzprodukte für Endanwender und Unternehmen in einem Live-Test gegen Ransomware und deren besonders perfide technische Raffinessen. In der aktuellen Untersuchung nutzt das Labor folgende Angriffstechniken, wie sie zum Beispiel auch von Emotet genutzt werden:

Polyglot File: Bei dieser Technik verwendet der Angreifer besonders präparierte Dateien, die zusammenarbeiten. In diesem Test wurde eine kombinierte LNK- und ISO-Datei benutzt. Das erschwert es vielen Schutzprodukten diese Dateien zu untersuchen, zu erkennen und die Ausführung zu verhindern.

DLL Sideloading: Hier profitieren Attacken von ganz üblichen Programmierfehlern bei Standard-Software. Eine bösartige DLL wird in das Applikations-Verzeichnis kopiert. Die Anwendung bemerkt das nicht und lädt die DLL. Der Prozess führt dann die Vorgaben der Angreifer aus. Dabei sieht er normal und harmlos aus.

Nested Password Protected Self-Extracting Archives: Diese Technik wurde auch von Emotet benutzt, um die Erkennung durch Schutzprogramme zu verhindern.

Ein im Advanced Threat Protection-Test geprüftes Produkt erhält als Auszeichnung ein besonderes Zertifikat; aber nur, wenn im Test der Schutz-Score mindestens 75 Prozent der maximalen 30 Punkte erreicht, also 22,5 Punkte. Privatanwender-Produkte erhalten das Zertifikat „Advanced Certified“, Unternehmensprodukte das Zertifikat „Advanced Approved Endpoint Protection“.

Eine nähere Erklärung zu den Auswertungstabellen und die einzelnen Farbcodes im Ampelsystem findet sich auch im Artikel „Test und Studie: Halten Schutzlösungen aktuelle Ransomware unter Windows 11 auf?“.

Endanwender-Schutz-Software vs. Ransomware

Der Advanced Threat Protection-Test nutzt aktuelle Techniken, wie sie etwa Emotet bei seinen Angriffen einsetzt

Schutz für Unternehmen gegen Ransomware

Die Unternehmenslösungen zeigen im Advanced Threat Protection-Test, wie gut sie auch gegen Ransomware-Angriffe mit neuesten Techniken bestehen

Endanwender-Schutz-Software vs. Ransomware

Schutz für Unternehmen gegen Ransomware

Privatanwender-Produkte im Advanced Test

Im Labor stellen sich Endanwenderpakete dieser Hersteller dem Test: Avast (2 Versionen), AVG, Bitdefender, F-Secure, G DATA, Kaspersky, Malwarebytes, Microsoft, Microworld, Norton, PC Matic und VIPRE Security.

Avast mit One Essential, AVG, Bitdefender, F-Secure, Kaspersky, Microsoft, Microworld und PC Matic erkennen alle speziellen Angriffstechniken der verschiedenen 10 Ransomware-Szenarien und bekommen die maximalen 30 Punkte für den Schutz-Score.

Weitere Produkte erkennen zwar zuverlässig die Eindringlinge, können aber einzelne nicht oder nur teilweise aufhalten. G DATA hat in einem Durchlauf Probleme: es erkennt die Ransomware, kann sie aber nur teilweise blockieren und es kommt zu einzelnen verschlüsselten Dateien: 29 Punkte.

VIPRE Security erhält 28,5 von 30 Punkten, da es einmal den Angriff erkennt, aber nichts gegen die Verschlüsselung machen kann.

Ähnlich ergeht es Norton in einem Fall. Die Ransomware wird zwar erkannt, aber die Verschlüsselung des Systems wird nicht gestoppt: 27,5 Punkte.

Malwarebytes Premium kann zwar alle 10 Angreifer erkennen, aber auch nur teilweise blockieren. So gelingt drei Schädlingen die Verschlüsselung einzelner Dateien: 27 Punkte von 30.

Avast (Free Antivirus) muss sich in einem Szenario geschlagen geben: es erkennt den Eindringling nicht und die Ransomware kann sich komplett entfalten. Die anderen 9 Angriffe werden fehlerlos abgewehrt. So bleiben 27 Punkte.

Unternehmens-Produkte im Advanced Test

Beim Schutz von Unternehmen zeigen die folgenden Lösungen eine fehlerfreie Leistung und erhalten die maximalen 30 Punkte für den Schutz-Score: Avast, Bitdefender (2 Versionen), Check Point, Xcitium, Kaspersky (2 Versionen), Microsoft, WithSecure und VMware.

G DATA und Trellix erkennen zwar alle Angreifer, aber jeweils in einem Durchlauf können die Produkte den Aggressor nicht komplett blockieren und es kommt zur Verschlüsselung einzelner Dateien. Aber es bleiben je 29 Punkte für den Schutz-Score.

Weiterentwickelte Testszenarien gegen raffinierte Angreifer

Die Testreihe Advanced Threat Protection ist für jedes untersuchte Produkt eine Herausforderung, da es wie im Alltag auf schwierige und dynamische Angriffs-Szenarien trifft. Die in diesem Test genutzten Abläufe beschreiben die 10 abgebildeten Reiter mit den Szenarien 1 bis 10. Damit Fachleute den Test leichter nachvollziehen können, nutzt das Labor zur Beschreibung die international definierten „Techniques“ Codes von MITRE ATT&CK.

Der Test zeigt, dass viele Schutzpakete für Endanwender gegen spezielle Ransomware-Attacken perfekt schützen: Avast, AVG, Bitdefender, F-Secure, Kaspersky, Microsoft, Microworld, PC Matic. Aber: 5 von 13 Security-Produkten haben Probleme mit den Eindringlingen. So gibt es Teilerkennungen und einzelne Dateien werden verschlüsselt.

Die Unternehmensprodukte zeigen eine bessere Leistung: 10 der 12 Produkte erkennen sofort alle Angreifer und wehren diese komplett ab: Avast, Bitdefender, Bitdefender Ultra, Check Point, Xcitium, Kaspersky Endpoint Security, Kaspersky Small Business Security, WithSecure, Microsoft und VMware. Die weiteren zwei Lösungen haben Probleme, welche zu Teilverschlüsselungen führen.