Do zasymulowania aktywności hakera użyliśmy narzędzia Caldera Framework. Oprogramowanie pozwala nawiązać połączenie z zainfekowanym urządzeniem poprzez odwrotne połączenie (reverse shell) z wykorzystaniem protokołów TCP, UDP, HTTP. W przypadku zablokowania jednego ze sposobów ataku, przełączaliśmy się na kolejny protokół, aż do skutku. Jeżeli w dalszym ciągu atak był blokowany, to zaliczaliśmy test jako pozytywny. Dodatkowo wykorzystaliśmy język programowania Python, aby przygotować złośliwe aplikacje, które następnie używaliśmy w symulowanych cyberatakach.
Dostarczenie szkodliwego pliku do systemu ofiary to ważny aspekt testowania. W tym scenariuszu nie było potrzeby, aby na urządzeniu ofiary znajdowało się środowisko Python, ponieważ złośliwe oprogramowanie zostało wcześniej skompilowane do jednego pliku wykonywalnego EXE przy użyciu narzędzia PyInstaller. Nie używaliśmy packerów, ponieważ są one łatwe do zidentyfikowania przez producentów oprogramowania ochronnego.
Laboratoria testujące często korzystają z protokołu HTTP i HTTPS, aby dostarczyć malware do systemu, ponieważ jest to najczęstszy wektor ataku w świecie rzeczywistym. Chcieliśmy uniknąć sytuacji, kiedy plik trafia do systemu przez przeglądarkę, ponieważ producenci w dobrym stopniu opanowali techniki blokowania plików zero-day. Mniej popularnym wektorem jest FTP i SFTP, a dodatkowo głównym celem badania było przetestowanie działania modułów do odpierania ataków na bankowość internetową niezależnie od początkowego protokołu zainicjowania cyberataku.
Złośliwe oprogramowanie celowo było pobierane do systemu protokołem FTP, raczej niezbyt popularnym w rozprzestrzenianiu zagrożeń. Zadaniem testowanych rozwiązań ochronnych było wykryć i zatrzymać atak na dowolnym etapie: przed uruchomieniem, po uruchomieniu lub nawiązaniu połączenia z serwerem hakera.
Uruchamiając złośliwe oprogramowanie lub inne niebezpieczne skrypty, zawsze postępujemy tak, aby zmusić rozwiązanie ochronne do zapisywania logów, jak również wyświetlania komunikatów ostrzegawczych. Postępujemy w taki sposób, ponieważ chcemy, aby zagrożenie zostało wyraźnie zablokowane albo usunięte.
Dostarczenie szkodliwego pliku do systemu ofiary to ważny aspekt testowania. W tym scenariuszu nie było potrzeby, aby na urządzeniu ofiary znajdowało się środowisko Python, ponieważ złośliwe oprogramowanie zostało wcześniej skompilowane do jednego pliku wykonywalnego EXE przy użyciu narzędzia PyInstaller. Nie używaliśmy packerów, ponieważ są one łatwe do zidentyfikowania przez producentów oprogramowania ochronnego.
Wszystkie pakiety bezpieczeństwa były zainstalowane na ustawieniach domyślnych, chyba że adnotacja poniżej w tabelce stanowi inaczej. Jeżeli np. ochrona przed keyloggerami była domyślnie wyłączona, to aktywowaliśmy funkcję przed rozpoczęciem testu.
Uruchamiając złośliwe oprogramowanie lub inne niebezpieczne skrypty, zawsze postępujemy tak, aby zmusić rozwiązanie ochronne do zapisywania logów, jak również wyświetlania komunikatów ostrzegawczych. Postępujemy w taki sposób, ponieważ chcemy, aby zagrożenie zostało wyraźnie zablokowane albo usunięte.
Jeśli zagrożenie nie było zablokowane na ustawieniach domyślnych, to eksperymentowaliśmy z innymi ustawieniami pakietu ochronnego. Ważne jest jest, aby atak zainicjował wyświetlenie ostrzeżenia antywirusowego.
Przyznaliśmy taki certyfikat jakości dla oprogramowania ochronnego, które bezproblemowo poradziło sobie z wykryciem i zablokowaniem wszystkich zagrożeń i cyberataków.
Wyniki z testu ochrony bankowości internetowej
Kliknij na logo producenta, aby szybko przewinąć do tabelki.
12.9.0.8649 - zastosowano konfigurację "Windows - Security Level 3 Profile v.6.42" z regułą "Custom Firewall Rules as Allow for Web Browsers in Virtual Desktop"
Przechwytywanie schowka cz. 1
Protokół FTP
Protokół HTTP
Przechwytywanie schowka cz. 2
Protokół FTP
Protokół HTTP
Podmiana schowka
Protokół FTP
Protokół HTTP
Rejestrowanie klawiatury
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 1
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 2
Protokół FTP
Protokół HTTP
Ukryty pulpit
Protokół FTP
Protokół HTTP
Kradzież haseł
Protokół FTP
Protokół HTTP
Ochrona bankowości z COMODO
Opis unikalnych składników ochrony bankowej, aby umożliwić lepsze zrozumienie, w jaki sposób technologia chroni użytkowników podczas aktywnej sesji online.
Po aktywowaniu wirtualnego środowiska bez obaw o bezpieczeństwo można uruchamiać np. podejrzane załączniki i sprawdzać ich szkodliwość. Technologia zabezpiecza urządzenie przed keyloggerami, trojanami, robakami, screenloggerami, a także izoluje procesy, uniemożliwiając wstrzykiwanie złośliwego kodu do przeglądarki w środowisku wirtualnym. Moduł HIPS monitoruje aktywność systemu i aplikacji. Tak zwany sandbox automatycznie zapewnia ochronę przed zagrożeniami 0-day, których silnik antywirusowy nie zdoła wykryć za pomocą sygnatur i skanowania plików w chmurze. Comodo to potężne narzędzie do ochrony systemu przed malware 0-day i atakami hakerów.
15.0.18.0
Przechwytywanie schowka cz. 1
Protokół FTP
Połączenie z serwerem hakera nie może zostać nawiązane, ponieważ Eset wykrywa niebezpieczne połączenie wychodzące.
Protokół HTTP
Przechwytywanie schowka cz. 2
Protokół FTP
Połączenie z serwerem hakera nie może zostać nawiązane, ponieważ Eset wykrywa niebezpieczne połączenie wychodzące.
Protokół HTTP
Podmiana schowka
Protokół FTP
Protokół HTTP
Rejestrowanie klawiatury
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 1
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 2
Protokół FTP
Protokół HTTP
Ukryty pulpit
Protokół FTP
Protokół HTTP
Kradzież haseł
Protokół FTP
Protokół HTTP
Ochrona bankowości z ESET
Opis unikalnych składników ochrony bankowej, aby umożliwić lepsze zrozumienie, w jaki sposób technologia chroni użytkowników podczas aktywnej sesji online.
Podczas testu dużą wartość wnosił moduł firewall, który wykrywał złośliwe połączenie. Przydatną funkcją jest ochrona bankowości internetowej, która zabezpiecza systemowe WinAPI przed keyloggerami. Odizolowana przeglądarka jest odporna na większość ataków sieciowych. Niestety żadna technologia nie była wystarczająco skuteczna przed podmianą schowka systemowego podczas korzystania z bankowości internetowej.
18.1
Przechwytywanie schowka cz. 1
Protokół FTP
Protokół HTTP
Przechwytywanie schowka cz. 2
Protokół FTP
Protokół HTTP
Podmiana schowka
Protokół FTP
Protokół HTTP
Rejestrowanie klawiatury
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 1
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 2
Protokół FTP
Połączenie z serwerem hakera nie może być nawiązane, ponieważ system jest chroniony przez tryb bankowy.
Protokół HTTP
Ukryty pulpit
Protokół FTP
Protokół HTTP
Kradzież haseł
Protokół FTP
Protokół HTTP
Ochrona bankowości z F-SECURE
Opis unikalnych składników ochrony bankowej, aby umożliwić lepsze zrozumienie, w jaki sposób technologia chroni użytkowników.
Podczas aktywnego trybu bankowego wszystkie pozostałe połączenia internetowe są zatrzymywane na czas działania tej specjalnej ochrony. Oprogramowanie F-Secure zabezpiecza urządzenie szybko i automatycznie, ale użytkownik ma nad wszystkim kontrolę. Ochrona bankowości F-Secure zapobiega nawiązywaniu połączeń, dlatego jakiekolwiek szkodliwe oprogramowanie nie może łączyć się z serwerem hakera.
25.5.11.316
Przechwytywanie schowka cz. 1
Protokół FTP
Protokół HTTP
Przechwytywanie schowka cz. 2
Protokół FTP
Protokół HTTP
Podmiana schowka
Protokół FTP
Protokół HTTP
Rejestrowanie klawiatury
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 1
Protokół FTP
Zrzut ekranu został wysłany do serwera hakera pomimo używania trybu interaktywnego (złośliwa aplikacja uzyskała dostęp do protokołu SFTP).
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 2
Protokół FTP
Protokół HTTP
Ukryty pulpit
Protokół FTP
Protokół HTTP
Kradzież haseł
Protokół FTP
Protokół HTTP
Ochrona bankowości z G DATA
Opis unikalnych składników ochrony bankowej, aby umożliwić lepsze zrozumienie, w jaki sposób technologia chroni użytkowników.
Oprogramowanie G Data to rozbudowany pakiet chroniący przed atakami i zagrożeniami internetowymi. Najważniejszymi komponentami są zapora sieciowa oraz ochrona antywirusowa obejmująca większość protokołów, w tym technologia DeepRay. Kompleksowość ochrony polega na pokryciu wszystkich protokołów, przez które użytkownik komunikuje się z internetem. Niestety w dwóch scenariuszach nie tego się spodziewaliśmy od pakietu niemieckiego producenta, dlatego wskazujemy obszary do poprawy.
21.3.10.391
Przechwytywanie schowka cz. 1
Protokół FTP
Protokół HTTP
Przechwytywanie schowka cz. 2
Protokół FTP
Protokół HTTP
Podmiana schowka
Protokół FTP
Złośliwe oprogramowanie bez względu na ustawienia ochrony podmieniało zawartość schowka systemowego podczas włączonego trybu bankowego.
Protokół HTTP
Rejestrowanie klawiatury
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 1
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 2
Protokół FTP
Protokół HTTP
Ukryty pulpit
Protokół FTP
Protokół HTTP
Kradzież haseł
Protokół FTP
Protokół HTTP
Ochrona bankowości z KASPERSKY
Opis unikalnych składników ochrony bankowej, aby umożliwić lepsze zrozumienie, w jaki sposób technologia chroni użytkowników.
Istotną rolę w zabezpieczaniu sesji internetowych odgrywają Bezpieczne Pieniądze. Moduł ten proponuje otwieranie bezpiecznej przeglądarki, odpornej na wstrzykiwanie złośliwych bibliotek DLL, czy choćby odczytywanie poufnych informacji z pamięci RAM wprowadzonych do przeglądarki. Teoretycznie rzecz biorąc atakujący albo szkodliwe oprogramowanie nie może zastąpić zawartości schowka systemowego. Niestety nam się udało. Producent w tym obszarze powinien zastosować lepsze zabezpieczenia dla mniej popularnych protokołów.
Konfiguracja zawierała włączone wszystkie funkcje ochrony m.in.: Windows Firewall, SmartScreen, Blokowanie PUA. Dla protokołu HTTP test przeprowadzano w przeglądarce EDGE zamiast Chrome.
Przechwytywanie schowka cz. 1
Protokół FTP
Protokół HTTP
Przechwytywanie schowka cz. 2
Protokół FTP
Protokół HTTP
Podmiana schowka
Protokół FTP
Protokół HTTP
Rejestrowanie klawiatury
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 1
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 2
Protokół FTP
Protokół HTTP
Ukryty pulpit
Protokół FTP
Protokół HTTP
Kradzież haseł
Protokół FTP
Protokół HTTP
Ochrona bankowości z MICROSOFT
Opis unikalnych składników ochrony bankowej, aby umożliwić lepsze zrozumienie, w jaki sposób technologia chroni użytkowników.
Microsoft Defender najlepiej współpracuje z systemową funkcją Windows Defender SmartScreen, która analizuje pobierane pliki z sieci i aplikacje ze sklepu Microsoft pod kątem źródła pochodzenia, sum kontrolnych i wzorców znajdujących się na czarnych listach plików. Wszystkie te informacje są dostarczane do antywirusa pod postacią sygnatur. Technologia SmartScreen, chociaż skutecznie zabezpiecza przed podejrzanymi plikami i ostrzega, jeśli plik nie ma podpisu cyfrowego, to nie wystarczająco skuteczna, jeżeli złośliwe oprogramowanie dostanie się do systemu innym sposobem niż przez przeglądarkę np. przez pendrive, protokół wymiany plików, klienta pocztowego. Producent powinien usprawnić blokowanie nieznanych zagrożeń poza przeglądarką.
2021.11.04
Przechwytywanie schowka cz. 1
Protokół FTP
mks_vir Safe Browser wykrywa uruchomione programy i zamyka je w momencie włączania bezpiecznej przeglądarki.
Protokół HTTP
Przechwytywanie schowka cz. 2
Protokół FTP
Protokół HTTP
Podmiana schowka
Protokół FTP
Protokół HTTP
Rejestrowanie klawiatury
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 1
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 2
Protokół FTP
Protokół HTTP
Ukryty pulpit
Protokół FTP
mks_vir Safe Browser wykrywa uruchomione programy i zamyka je w momencie włączania bezpiecznej przeglądarki.
Protokół HTTP
Kradzież haseł
Protokół FTP
Protokół HTTP
Ochrona bankowości z MKS_VIR
Bezpieczna przeglądarka mks_vir Safe Browser zapewnia wysoki poziom bezpieczeństwa w trakcie korzystania z zasobów internetu, a zwłaszcza w trakcie operacji bankowych, płatniczych oraz wymagających podawania wrażliwych danych. Safe Browser ściśle współpracuje z pozostałymi modułami pakietu mks_vir i stale kontroluje poziom bezpieczeństwa systemu, nie dopuszczając do sytuacji, w których newralgiczne dane mogłyby trafić w niepowołane ręce. Producent zastosował ochronę w oparciu o „białe listy” procesów, co oznacza, że jeszcze przed włączeniem bezpiecznej przeglądarki sprawdzane są uruchomione procesy. Decyzja, które z nich powinny być zamknięte, a które nie, jest uwarunkowana preferencjami użytkownika.
Przechwytywanie schowka cz. 1
Protokół FTP
Protokół HTTP
Przechwytywanie schowka cz. 2
Protokół FTP
Protokół HTTP
Podmiana schowka
Protokół FTP
Złośliwa aplikacja zostaje zatrzymany przez moduł Download Insight. Uruchomienie zagrożenia nie jest możliwe.
Protokół HTTP
Rejestrowanie klawiatury
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 1
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 2
Protokół FTP
Protokół HTTP
Ukryty pulpit
Protokół FTP
Protokół HTTP
Kradzież haseł
Protokół FTP
Protokół HTTP
Ochrona bankowości z NortonLifeLock
Podczas testu na zagrożeniach bankowych w sposób odpowiedni reagowała ochrona przed plikami zero-day. Zabezpieczenie to bazuje na reputacji plików, dlatego nieznane pliki i skrypty są blokowane przez NortonLifeLock. Pożytecznym modułem jest niedoceniana zapominana zapora sieciowa, która w niektórych pakietach ochronnych jest marginalizowana. Okazuje się, że dzięki zaporze sieciowej z modułem IPS w oparciu o sygnatury ataków możliwe jest blokowanie ataków hakerów, a także wykrywanie nieautoryzowanego ruchu sieciowego, zarówno przychodzącego, jak i wychodzącego.
3.5.0
Przechwytywanie schowka cz. 1
Protokół FTP
Protokół HTTP
Przechwytywanie schowka cz. 2
Protokół FTP
Protokół HTTP
Podmiana schowka
Protokół FTP
Protokół HTTP
Rejestrowanie klawiatury
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 1
Protokół FTP
Protokół HTTP
Wykonywanie zrzutów ekranu cz. 2
Protokół FTP
Protokół HTTP
Ukryty pulpit
Protokół FTP
Protokół HTTP
Kradzież haseł
Protokół FTP
Protokół HTTP
Ochrona bankowości z SOPHOS
Napisz do nas, jeżeli masz dodatkowe pytania dotyczące testu lub chcesz, abyśmy przetestowali inne oprogramowanie ochronne przy następnej edycji bezpieczeństwa bankowości internetowej.
Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
[ninja_tables id=”27481″]