AV-Test – Kaspersky der Gewinner
AV-Test das unabhängige IT-Security Institut hat Ende September einen neuen AV-Test vorgelegt bei dem Kaspersky der Gewinner des sogenannten Fileless Threats Protection Test war und sich den ersten Platz sichern konnte. Bereits im Mai diesen Jahres hat AV-Test diesen Test mit insgesamt 14 Produkten der Advanced Endpoint Protection Reihe getestet. Getestet wurden in einer In-House Umgebung 33 verschiedene Fileless Attacks, welche jeweils in vier Kategorien unterteilt wurden. Doch bevor wir uns die Testergebnisse genauer ansehen hier ein kleiner Überblick was “Fileless Threats” überhaupt sind:
Wie funktioniert Fileless Malware?
Bei den Techniken kann man folgende Unterscheidungen machen:
- Script-Based Malware – Hier kommt auf Windows-Systemen vorwiegend PowerShell oder WMI zum Einsatz. Gezielte Angriffe über diese Wege.
- Windows Registry Manipulation – Der Malware Code wird hierbei direkt in die Registry von Windows-Systemen geschrieben und dann durch reguläre Prozesse ausgeführt. Ziel ist quasi ein Code Injection in andere Prozesse.
- Memory Code Injection – Hier wird der Schadcode in den Process Memory laufender Prozesse injiziert. Hier werden oft wichtige Prozesse, die für das normale Benutzen des Systems zuständig sind verwendet, da diese oft durch Whitelisting eingeschränkt oder gar nicht gescannt werden.
Wie läuft so ein Angriff ab?
Wie verläuft im allgemeinen so ein Angriff über Fileless Threats /Malware überhaupt ab? Meistens startet der Angriff über eine E-Mail. In dieser E-Mail ist beispielsweise ein Word-Dokument angehängt und der Benutzer wird dazu verleitet dieses besagte Dokument zu öffnen. Dann wird quasi über das Word-Dokument über einen Klick ein Makro aktiviert, das dann durch ein verstecktes PowerShell Script die eigentliche Schadsoftware ausführt. Das versteckte Script kann beispielsweise mittels Steganographie in einer Bilddatei versteckt worden sein. So wird es den Sicherheitssystemen auch schwer gemacht diese getarnten Bösewichte als Schadcode zu erkennen und zu blockieren. An dieser Stelle kommen dann diverse Systeme zum Einsatz um solche Angriffe blockieren zu können. Kaspersky verwendet hierzu das Modul “Adaptive Erkennung von Anomalien” (Adaptive Anomaly Control (ACC)).
Fileless Threats Protection test
Im Test waren auch die bekannten Mitbewerber von beispielsweise Symantec, Trend Micro, Sophos und viele mehr. Die beste Erkennungsrate erzielte Kaspersky mit 100% Erkennung der Threats bei einer durchschnittlichen Erkennungsrate von 67.75%. Das bedeutet Kaspersky liegt deutlich über den Durchschnitt und hat alle Threats entdecken können.
Die höchste Sicherheitsrate bzw. Blockierungsrate lag ebenfalls bei Kaspersky mit 94.12%. Hier lag der Durchschnitt aller getesteten Produkte bei 59.10%. Auch hier ein starkes Ergebnis von Kaspersky und weit oben an der Spitze. Von den 14 Produkten absolvierten 11 den Test ohne einen False Positiv in beiden Teilen also Erkennung und Blockierung.
Der Test zeigt deutlich dass nicht alle Anbieter auch wirklich Fileless Malmare oder Fileless Threats erkennen können und dagegen einen ausreichenden Schutz bieten. Vor allem Sophos und Cylance und zwei weitere Anbieter deren Namen nicht veröffentlicht werden dürfen, haben nur knapp 50% oder deutlich weniger erreicht. Sowohl in den Erkennungsraten als auch beim Schutz. Hat man solche Produkte im Einsatz muss man sich durchaus die Frage stellen, ob man noch gut gesichert bzw. beraten ist mit diesen Herstellern.
Als langjähriger Platinum Partner von Kaspersky freuen uns natürlich über dieses Test-Ergebnis und wünschen uns für die Zukunft weiterhin ein stabiles und sicheres Produkt wie die Kaspersky Endpoint Security Advanced.
Sie können den gesamten Test nachfolgend als PDF Datei herunterladen.
AV-TEST Kaspersky Fileless Malware Test Report 2019-09 EN (1142 Downloads )Haben Sie Fragen zum Thema Kaspersky Endpoint Security?
Zögern Sie nicht kontaktieren Sie uns unter +49 (0)911 – 30 91 8 – 0 oder per E-Mail an vertrieb@ikomm.de
Weitere Informationen erhalten Sie hier –> Kaspersky Endpoint Security oder dirket beim Hersteller Kaspersky
