Bitdefender uzyskuje najlepszą ocenę w testach AV-Comparatives przeznaczonych dla użytkowników niekomercyjnych
Piotr R
28 listopada 2023
Bitdefender Internet Security po raz kolejny zdobył najwyższe odznaczenie w teście przeprowadzonym przez AV-Comparatives w okresie od września do października 2023. Antywirus Bitdefender zneutralizował 14 na 15 upozorowanych ataków, czyli charakteryzował się największą skutecznością wśród wszystkich zbadanych produktów. W tym artykule przedstawimy, w jaki sposób Bitdefender uzyskał najlepszą ocenę w testach AV-Comparatives oraz jak one przebiegały.
W jaki sposób Bitdefender uzyskał najlepszą ocenę w testach AV-Comparatives i dlaczego to ważne?
„Zaawansowane trwałe zagrożenie” to termin powszechnie używany do opisania ukierunkowanego cyberataku, w którym wykorzystuje się złożony zestaw metod i technik w celu penetracji systemów informatycznych. Takie ataki mogą obejmować kradzież, zastąpienie, zniszczenie poufnych informacji lub ustanowienie możliwości sabotażu, przy czym ten ostatni może prowadzić do szkód finansowych i reputacyjnych poszkodowanych organizacji. Wspomniane ataki są celowe i zazwyczaj wykorzystują wysoce wyspecjalizowane narzędzia. Używane narzędzia są częściowo bezpłatne, a częściowo komercyjne, w pewnym stopniu ich ładunek opiera się na technikach nie do uniknięcia, takich jak używanie standardowych interfejsów API systemu Windows, a po części ich ładunek opiera się na technikach obejścia, takich jak bezpośrednie wywołania systemowe, pośrednie wywołania systemowe, odczepianie w trybie użytkownika, kod powłoki zaciemnianie, hashowanie API oraz sprzętowe punkty przerwania.
W teście zaawansowanej ochrony przed zagrożeniami zespół AV-Comparatives użył taktyk, technik i procedur (TTP), które odzwierciedlają strategie stosowane w realnym świecie przez hakerów w celu infiltracji sieci ze złośliwym oprogramowaniem. Te wieloaspektowe ataki można sklasyfikować za pomocą łańcucha zabijania cyberbezpieczeństwa firmy Lockheed Martin, który dzieli je na siedem odrębnych faz, z których każda oznaczona jest własnymi, unikalnymi wskaźnikami zagrożenia (IOC). Na podejście do testowania specjalistów do spraw cyberbezpieczeństwa z firmy AV-Comparatives duży wpływ miał podzbiór TTP znajdujących się w szanowanym frameworku MITRE ATT&CK®. Aby wzmocnić autentyczność i wiarygodność ustaleń zespołu AV-Comparatives, w raporcie uwzględniono test fałszywych alarmów.
Ponadto, podczas testów skorzystano z programów systemowych zaprojektowanych tak, aby unikać wykrywania na podstawie sygnatur, jednocześnie wykorzystując wszechstronność popularnych języków skryptowych, takich jak JavaScript, pliki wsadowe, skrypty PowerShell i Visual Basic. Ostatnie testy w misterny sposób przeplatają próbki złośliwego oprogramowania przygotowane i niestacjonarne, sprytnie wykorzystując strategie zaciemniania i szyfrowania, takie jak Base64, XOR i AES, aby ukryć złośliwy kod przed jego wykonaniem. Do komunikacji z „atakującym” wykorzystano szereg kanałów C2, w tym HTTP, HTTPS i TCP. Ponadto AV-Comparatives wykorzystywał także wiele dobrze znanych platform exploitów, takich jak Metasploit Framework, PowerShell Empire i kilka innych narzędzi komercyjnych. To całościowe i złożone podejście gwarantuje, że testy przeprowadzane przez AV-Comparatives pozostają w czołówce ocen cyberbezpieczeństwa i odzwierciedlają stale zmieniający się krajobraz zagrożeń.
Warunki testów AV-Comparatives
Podczas testów AV-Comparatives używał w pełni zaktualizowanych 64-bitowych systemów Windows 10, każdy z zainstalowanym innym produktem antywirusowym. W teście konsumenckim z reguły nadrzędnym celem jest konto administratora, chociaż każdy POC jest wykonywany przy użyciu wyłącznie konta użytkownika standardowego o średniej integralności, dlatego podczas testów Kontrola konta użytkownika systemu Windows jest włączona i ustawiona na poziomie domyślnym. W przypadku dostawców, których produkty zostały przetestowane zarówno w ATP dla klientów indywidualnych, jak i dla przedsiębiorstw, należy pamiętać, że antywirusy i ich ustawienia mogą się różnić. Dlatego też wyników testu konsumenckiego nie należy porównywać z wynikami testu przedsiębiorstwa. Po detonacji ładunku przez ofiarę otwierany jest kanał dowodzenia i kontroli (C2) prowadzący do systemu atakującego. Może to być na przykład odbiornik Metasploit w systemie Kali Linux. Korzystając z kanału C2, potencjalny haker ma pełny dostęp do zaatakowanego systemu. Funkcjonalność i stabilność ustalonego dostępu jest weryfikowana w każdym przypadku testowym. Jeśli zostanie utworzone stabilne połączenie C2, system zostanie uznany za zagrożony.
Test składa się z 15 różnych ataków. Koncentruje się na ochronie, a nie na wykrywaniu i jest przeprowadzany całkowicie ręcznie.
Zakres testu
Test zaawansowanej ochrony przed zagrożeniami (ATP) zespołu AV-Comparatives sprawdza, w jaki sposób produkty chronią przed bardzo specyficznymi metodami ataków ukierunkowanych. Testy nie uwzględniają ogólnego bezpieczeństwa zapewnianego przez każdy program ani tego, jak dobrze chroni system przed złośliwym oprogramowaniem pobranym z Internetu lub wprowadzonym za pośrednictwem urządzeń USB i współdzielonych dysków sieciowych.
Należy go traktować jako dodatek do testu ochrony w świecie rzeczywistym i testu ochrony przed złośliwym oprogramowaniem, a nie zamiennik któregokolwiek z nich. W związku z tym użytkownicy sieci, którzy planują zakup nowego antywirusa, powinni również wziąć pod uwagę wyniki innych testów przeprowadzanych przez AV-Comparatives lub AV TEST.
W ostatnim teście ATP zespół AV-Comparatives skupił się na tworzeniu i testowaniu różnych rodzajów POC złośliwego oprogramowania C2, w oparciu o różne taktyki oraz techniki przeciwnika. Celem testu ATP jest wykazanie możliwości zapobiegawczych poszczególnych produktów. Aby to osiągnąć, użyto różnych POC, z których wszystkie próbowały otworzyć stabilny kanał C2 po wykonaniu, symulując w ten sposób pomyślny początkowy kompromis. W przypadkach, gdy nie zapobiegnięto POC, a atakujący był w stanie otworzyć stabilną sesję C2, uznawano, że docelowy komputer został przejęty.
Procedura testowa
Skrypty takie jak makra VBS, JS lub MS Office mogą uruchamiać i instalować backdoora bez plików w systemach ofiar oraz tworzyć kanał kontrolny (C2) dla atakującego, który zwykle znajduje się w innej lokalizacji fizycznej (często w innym kraju). Oprócz tych dobrze znanych scenariuszy możliwe jest dostarczanie szkodliwego oprogramowania przy użyciu exploitów, wywołań zdalnych (PSexec, wmic), harmonogramu zadań, wpisów rejestru, sprzętu Arduino (USB RubberDucky) i wywołań WMI. Wprawny haker można to także zrobić za pomocą wbudowanych narzędzi systemu Windows, takich jak PowerShell. Dzięki tej metodzie może załadować szkodliwe oprogramowanie bezpośrednio z Internetu do pamięci systemu docelowego i kontynuować jego dalszą ekspansję w sieci lokalnej za pomocą natywnych narzędzi systemu operacyjnego.
Ataki bezplikowe
W dziedzinie złośliwego oprogramowania istnieje wiele (prawdopodobnie nakładających się) kategorii klasyfikacji, dlatego między innymi można dokonać rozróżnienia pomiędzy złośliwym oprogramowaniem plikowym i bezplikowym. Od 2017 roku odnotowano znaczny wzrost zagrożeń bezplikowych. Jednym z powodów jest fakt, że z punktu widzenia osoby atakującej ataki takie okazały się bardzo skuteczne. Jednym z czynników wpływających na ich skuteczność jest fakt, że zagrożenia bezplikowe działają wyłącznie w pamięci zaatakowanego systemu, co utrudnia rozwiązaniom zabezpieczającym ich rozpoznanie.
Metody ataku wykorzystane podczas testów AV-Comparatives
W teście zaawansowanej ochrony przed zagrożeniami pracownicy AV-Comparatives uwzględnili także kilka różnych wersji wiersza poleceń CMD/PS, które mogą pobierać złośliwe oprogramowanie z sieci bezpośrednio do pamięci RAM (etapowo) lub wywołań zakodowanych w formacie Base64. Metody te całkowicie pozwalają uniknąć dostępu do dysku, który jest (zwykle) dobrze chroniony przez produkty zabezpieczające. Podczas testów specjaliści zastosowali także proste środki zamaskowania lub zmienili metodę wezwania stagera. Po załadowaniu szkodliwego oprogramowania możliwe było nawiązane połączenie http/https z atakującym. Zaletą tego wewnętrznego mechanizmu jest utworzenie kanału C2 dla atakującego, który wykracza poza środki ochrony większości produktów NAT i zapór sieciowych. Po utworzeniu tunelu C2 atakujący może wykorzystać wszystkie znane mechanizmy kontrolne popularnych produktów C2 (Meterpreter, PowerShell Empire itp.). Mogą one obejmować np. przesyłanie/pobieranie plików, zrzuty ekranu, rejestrowanie naciśnięć klawiszy, powłokę systemu Windows (GUI) i migawki z kamery internetowej. Konsumenci oczekują, że takie ataki będą blokowane niezależnie od tego, gdzie/w jaki sposób są hostowane oraz skąd/w jaki sposób są wykonywane. Podczas testów wprowadzono kryterium, które polegało na tym, że jeśli atak zostanie wykryty tylko w bardzo specyficznych okolicznościach, uzna się, że produkt nie zapewnia skutecznej ochrony.
Test fałszywie dodatni (fałszywy alarm)
Produkt zabezpieczający, który blokuje 100% złośliwych ataków, ale także blokuje uzasadnione (niezłośliwe) działania, może być niezwykle destrukcyjny i męczący dla każdego konsumenta. W związku z tym w ramach Zaawansowanego testu ochrony przed zagrożeniami AV-Comparatives przeprowadza także test fałszywie dodatni, aby sprawdzić, czy testowane produkty potrafią odróżnić działania złośliwe od niezłośliwych. W przeciwnym razie produkt zabezpieczający mógłby z łatwością zablokować 100% złośliwych ataków wykorzystujących np. załączniki do wiadomości e-mail, skrypty i makra, po prostu blokując takie funkcje. Dla wielu użytkowników może to uniemożliwić wykonywanie codziennych zadań. W rezultacie wyniki fałszywie pozytywne są uwzględniane w wyniku testu produktu.
Przypadki testowe wykorzystane przez AV-Comparatives
AV-Comparatives wykorzystał pięć różnych faz dostępu początkowego, rozdzielonych pomiędzy 15 przypadków testowych. Poniżej je wymieniamy i krótko charakteryzujemy.
- Zaufana relacja: „Przeciwnicy mogą naruszyć lub w inny sposób wykorzystać organizacje, które mają dostęp do zamierzonych ofiar. Dostęp poprzez relację zaufanej strony trzeciej wykorzystuje istniejące połączenie, które może nie być chronione lub podlegać mniejszej kontroli niż standardowe mechanizmy uzyskiwania dostępu do sieci.
- Prawidłowe konta: „Przeciwnicy mogą ukraść dane uwierzytelniające określonego użytkownika lub konta usługi, korzystając z technik dostępu do danych uwierzytelniających lub przechwycić dane uwierzytelniające na wcześniejszym etapie procesu rozpoznania za pomocą socjotechniki […]”.
- Replikacja za pośrednictwem nośników wymiennych: „Przeciwnicy mogą przedostać się do systemów […], kopiując złośliwe oprogramowanie na nośniki wymienne […] i zmieniając jego nazwę tak, aby wyglądała jak prawidłowy plik, aby nakłonić użytkowników do uruchomienia go w oddzielnym systemie. […]“
- Phishing: załącznik typu spearphishing: „Załącznik typu spearphishing to […] wykorzystuje złośliwe oprogramowanie dołączone do wiadomości e-mail. […]”
- Phishing: Spearphishing Link: „Spearphishing z linkiem […] wykorzystuje linki do pobrania złośliwego oprogramowania zawartego w wiadomości e-mail […]”.
- Poniżej wymieniamy i krótko opisujemy także 15 scenariuszy testowych wykorzystanych w ostatnim teście AV-Comparatives:
- Zagrożenie wprowadzane poprzez replikację za pośrednictwem nośników wymiennych. Utworzono złośliwy plik binarny, który wykonuje kod powłoki w celu ustanowienia kanału C2 licznika. Plik binarny umieszczono w pojemniku ZIP, a następnie w pojemniku ISO.
- Zagrożenie wprowadzane poprzez replikację poprzez nośniki wymienne. Stworzono złośliwy kod JavaScript, który wykonuje kod powłoki poprzez ładowanie boczne biblioteki DLL w celu otwarcia kanału C2 licznika.
- Zagrożenie wprowadzane poprzez replikację poprzez nośniki wymienne. Utworzono złośliwy plik CPL, który uruchamia kod powłoki za pośrednictwem rundll32.exe w celu ustanowienia kanału C2 Meterpretera.
- Zagrożenie wprowadzane poprzez ważne konta. Stworzono złośliwy kod JavaScript, który uruchamia kod powłoki za pośrednictwem natywnych interfejsów API i bocznego ładowania bibliotek DLL w celu otwarcia kanału Meterpreter C2.
- Zagrożenie wprowadzane poprzez załącznik Spearphishing. Utworzono złośliwy plik .exe, który uruchamia kod powłoki zaszyfrowany XOR w celu otwarcia kanału Meterpreter C2.
- Zagrożenie wprowadzane poprzez załącznik Spearphishing. Utworzono złośliwy kod JavaScript, który wykonuje zaszyfrowany kod powłoki i otwiera kanał C2 do komercyjnej platformy C2.
- Zagrożenie wprowadzane poprzez załącznik Spearphishing. Utworzono złośliwy plik.exe, który może załatać ETW i wykonać zaciemniony/zaszyfrowany kod powłoki w celu ustanowienia kanału C2 z komercyjną platformą C2.
- Zagrożenie wprowadzane za pośrednictwem łącza Spearphishing Link. Utworzono złośliwy plik MSI uruchamiany jednym kliknięciem w celu uruchomienia zaciemnionego kodu powłoki za pośrednictwem legalnej aplikacji i ustanowienia kanału C2 z komercyjną platformą C2.
- Zagrożenie wprowadzane za pośrednictwem łącza Spearphishing Link. Utworzono złośliwy zamaskowany plik .exe, który uruchamia kod powłoki za pośrednictwem natywnych interfejsów API w celu ustanowienia kanału C2 z komercyjną platformą C2.
- Zagrożenie wprowadzane za pośrednictwem łącza Spearphishing Link. Utworzono złośliwy dokument pakietu Office, który może załatać AMSI i uruchomić zaciemniony kod powłoki w celu ustanowienia kanału C2 z komercyjną platformą C2.
- Zagrożenie wprowadzane poprzez załącznik Spearphishing. Utworzono złośliwy plik skrótu .PIF, który umożliwia łatanie ETW, łatanie podpiętych interfejsów API trybu użytkownika i uruchamianie zaciemnionego kodu powłoki w celu ustanowienia kanału Empire C2.
- Zagrożenie wprowadzane poprzez załącznik Spearphishing. Utworzono złośliwy zamaskowany plik .exe, który może łatać ETW, łatać interfejsy API trybu użytkownika i uruchamiać zaszyfrowany kod powłoki w celu ustanowienia kanału Empire C2.
- Zagrożenie wprowadzane poprzez ważne konta. Utworzono złośliwy kod PowerShell, który najpierw łata AMSI przy użyciu sprzętowych punktów przerwania, a następnie wykonuje zakodowany kod powłoki w celu ustanowienia kanału Empire C2.
- Zagrożenie wprowadzane poprzez relację zaufaną. Utworzono złośliwy plik .HTA, który wykonuje zaszyfrowany kod powłoki w celu ustanowienia kanału Empire C2.
- Zagrożenie wprowadzane poprzez załącznik Spearphishing. Utworzono złośliwy, zaciemniony plik .JS, który uruchamia kod powłoki za pośrednictwem programu PowerShell.exe w celu ustanowienia kanału Empire C2.
Wyniki testów AV-Comparatives, które osiągnął Bitdefender Internet Security
Jak już wyżej wspomnieliśmy, Bitdefender Internet Security osiągnął najwyższy wynik spośród wszystkich innych testowanych antywirusów i zablokował 14/15 wszystkich niestandardowych scenariuszy ataków (wszystkie poza trzynastym). Oprócz tego zdobył najwyższą ocenę, czyli Advance+, co jest oczywistym dowodem na to, że niezmiennie jest w gronie najlepszych antywirusów dostępnych na rynku. Wyniki osiągane przez oprogramowanie Bitdefender w testach przeprowadzanych przez AV-Comparatives napawają nas dumą i motywują nas do dalszej ciężkiej pracy, która ma na celu zwiększanie świadomości o cyberbezpieczeństwie wśród użytkowników sieci.
Jeśli chciałbyś poznać więcej możliwości, które zapewnia oprogramowanie Bitdefender Internet Security, to zapraszamy do odwiedzenia tej strony.
Autor
Piotr R
Obecnie
Najnowsze wpisy
Bitdefender liderem w nowych niezależnych testach AV-Comparatives i AV-TEST
11 października 2024
Naruszenie RansomHub naraża ponad milion użytkowników Patelco
10 października 2024
Hakerzy z LockBit zdemaskowani w globalnej akcji organów ścigania
10 października 2024
Artykuły które mogą Ci się spodobać
Bitdefender liderem w nowych niezależnych testach AV-Comparatives i AV-TEST
Piotr R
11 października 2024