Wie gut aktuelle Schutz-Software gegen raffinierte Ransomware-Techniken schützt
Das AV-TEST-Institut hat eine breite Untersuchung marktgängiger Schutzprodukte durchgeführt. Dabei mussten alle Produkte auch gegen aktuelle Ransomware-Techniken bestehen, wie Polyglot-Dateien, DLL Sideloading oder Nested Password Protected Self-Extracting Archives. Von insgesamt 25 getesteten Produkten waren viele erfolgreich, aber nicht jedes konnte alle Herausforderungen bewältigen.
Für den neuen Test prüfte AV-TEST viele Schutzprodukte für Endanwender und Unternehmen in einem Live-Test nicht nur in Form klassischer Erkennungstests, sondern auch mit Ransomware und deren besonders perfide technische Raffinessen. Dabei nutzte das Labor folgende Angriffstechniken, die zum Beispiel auch bei Emotet im Einsatz sind:
Polyglot File:
Bei dieser Technik verwendet der Angreifer besonders präparierte Dateien, die zusammenarbeiten. In diesem Test wurde eine kombinierte LNK- und ISO-Datei benutzt. Das erschwert es vielen Schutzprodukten diese Dateien zu untersuchen, zu erkennen und die Ausführung zu verhindern.
DLL Sideloading:
Hier profitieren Attacken von ganz üblichen Programmierfehlern bei Standard-Software. Eine bösartige DLL wird in das Applikations-Verzeichnis kopiert. Die Anwendung bemerkt das nicht und lädt die DLL. Der Prozess führt dann die Vorgaben der Angreifer aus. Dabei sieht er normal und harmlos aus.
Nested Password Protected Self-Extracting Archives:
Diese Technik wurde auch von Emotet benutzt, um die Erkennung durch Schutzprogramme zu verhindern.
Ein im Advanced Threat Protection-Test geprüftes Produkt erhält als Auszeichnung ein besonderes Zertifikat; aber nur, wenn im Test der Schutz-Score mindestens 75 Prozent der maximalen 30 Punkte erreicht, also 22,5 Punkte. Privatanwender-Produkte erhalten das Zertifikat „Advanced Certified“, Unternehmensprodukte das Zertifikat „Advanced Approved Endpoint Protection“.
Unternehmens-Produkte im Advanced Test
Beim Schutz von Unternehmen zeigten die folgenden Lösungen eine fehlerfreie Leistung und erhielten die maximalen 30 Punkte für den Schutz-Score: Avast, Bitdefender (2 Versionen), Check Point, Xcitium, Kaspersky (2 Versionen), Microsoft, WithSecure und VMware.
G DATA und Trellix erkannten zwar alle Angreifer, aber jeweils in einem Durchlauf konnten die Produkte den Aggressor nicht komplett blockieren und es kam zur Verschlüsselung einzelner Dateien. Aber es blieben je 29 Punkte für den Schutz-Score.
Die Testreihe Advanced Threat Protection ist für jedes untersuchte Produkt eine Herausforderung, da es wie im Alltag auf schwierige und dynamische Angriffs-Szenarien trifft. Auch bei diesen weiterentwickelten Testszenarien gegen raffinierte Angreifer zeigten die Unternehmensprodukte eine beachtliche Leistung: Zehn der zwölf Produkte erkannten sofort alle Angreifer und wehrten diese komplett ab: Avast, Bitdefender, Bitdefender Ultra, Check Point, Xcitium, Kaspersky Endpoint Security, Kaspersky Small Business Security, WithSecure, Microsoft und VMware. Die weiteren zwei Lösungen hatten Probleme, die zu Teilverschlüsselungen führten.