Jak antywirusy radzą sobie z zagrożeniami bankowymi – test

4 lutego, 2016

Angielskie laboratorium MRG Effitas opublikowało wyniki z testu, którego celem było sprawdzenie skuteczność blokowania zagrożeń – trojanów bankowych, które próbują przechwycić poświadczenia i wysłać je do serwerów C2 kontrolowanych przez przestępców. Publikowany co kwartał raport pokazuje także, jak nieskuteczne są niektóre programy antywirusowe w walce ze szkodliwym oprogramowaniem, które zostało specjalnie zaprogramowane do kradzieży loginów i haseł potrzebnych do zalogowania się do systemów bankowych i kradzieży informacji z kart płatniczych.

Test został przeprowadzony w czwartym kwartale 2015 roku. Całe badanie pomyślnie przeszły tylko rozwiązania: Kaspersky Internet Security, Quarri POQ, ESET Smart Security, Webroot SecureAnywhere, Zemana AntiLogger.

Do testu wykorzystano pakiety Internet Security, które posiadają składniki ochrony przed oszustwami finansowymi:

  • avast! Internet Security 2015 11.1.245
  • AVG Internet Security 16.31.7357
  • Avira Internet Security 15.0.15.129
  • Bitdefender Internet Security 2016 20.0.24.1290
  • ESET Smart Security 9 9.0.349.0
  • F-secure Safe 16.1
  • G-Data 25.1.0.9
  • Kaspersky Internet Security 16.0.0.614(d)
  • McAfee 14.0.6136
  • Microsoft Security Essentials 4.8.204.0
  • Norton Security 22.5.4.24
  • Panda Internet Security 16.0.2
  • Quarri POQ
  • Vipre 9.0.1.4
  • Trend Micro Maximum Security 10.0.1186
  • Webroot SecureAnywhere with IdentityShield 9.0.7.46
  • Zemana AntiLogger 1.9.3.602

Test ochrony przed bankowymi trojanami

Do testu przygotowano 136 próbek wykradających dane podczas korzystania z e-bankowości. Produkty przetestowano pod kątem skutecznej ochrony przed prawdziwymi trojanami bankowymi, które reprezentowane były przez śmietankę najgroźniejszych wirusów bankowych ostatnich miesięcy, m.in. ZeuS (ZeuS P2P, Ice IX, KINS, Power ZeuS, Ramnit, Licat (aka Murofet)), SpyEye, Tinba, Dyre i Dridex.

Siedem programów antywirusowych potrafiło automatycznie (bez żadnych komunikatów) i bez trudu zablokować uruchomione zagrożenie na testowym komputerze. Za najskuteczniejsze pakiety należy uznać rozwiązania firm: Kapersky, Webroot, Zemana, ESET, Bitdefender, Avast, Quarri. Pozostałe aplikacje zatrzymały większość zagrożeń – jednak jak to w prawdziwym życiu, wystarczy, by tylko jedno zainfekowało system, a nieszczęście gotowe.

mrg effitas q42015 1

Komunikacja z serwerem C2

Testerzy odwzorowali rzeczywiste środowisko działania szkodliwego oprogramowania bankowego (ZeuS, SpyEye) – stworzono droppery, a więc malware przenoszące inne złośliwe pliki na komputer ofiary i skonfigurowano serwery Command and Control.

W tym badaniu testowane programy antywirusowe miały za zadanie zablokować niebezpieczną komunikację sieciową droppera (ZeusVM/KINS, SpyEye) z serwerem C2 i zapobiec:

1) pobraniu docelowego szkodliwego oprogramowania,
2) dołączenia komputera do botnetu. Zainfekowana maszyna stałaby się tzw. komputerem zombie i mogłaby otrzymywać zdalne polecenia od przestępcy, np. pobrania kolejnych szkodników, m.in. keyloggerów, backdoorów, trojanów RAT (Remote Access Trojan), itp.

Test ten odwzorowuje prawdziwy wyciek informacji z komputera użytkownika, które trafiają „do rąk” przestępców. W teście tym brano po uwagę pakiety internet security, które posiadają technologie bezpiecznej bankowości (Webroot – IdentityShield, Avast – SafeZone, Bitdefender – SafePay, Kaspersky – SafeMoney, Wontok – SafeDesktop, F-Secure – Banking Protection).

mrg effitas q42015 2

„Haki” na API Internet Explorera

Twórcy szkodliwego oprogramowania zawsze szukają nowych sposobów na ominięcie ochrony antywirusowej. W tym przypadku malware miało za zadanie zmodyfikować bazę danych kompatybilnych aplikacji, czekać na uruchomienie procesu przeglądarki i pozwolić atakującemu wstrzyknąć złośliwą bibliotekę DLL do przeglądarki Internet Explorer, która następnie za pomocą systemowych „haków” uzyskuje dostęp do bufora, a stamtąd już do wpisywanych haseł w formularzu na stronie internetowej.

Druga kolumna w poniższej tabeli przedstawia wynik ochrony podczas próby kradzieży ciasteczek w celu ponownego zalogowania się przez cyberprzestępcę do e-bankowości. Do czasu, aż użytkownik jest zalogowany na stronie własnego banku – i jeśli w tym czasie bankowe złośliwe oprogramowanie zdoła wykraść ciasteczka z przeglądarki zapisane otwartym tekstem na dysku twardym – można je będzie wykorzystać do zalogowania się – o ile użytkownik nie wylogował się z aktualnie trwającej sesji.

Tylko 4 dostawców AV zdołało zablokować tą szkodliwą aktywność.

mrg effitas q42015 3
Kliknij, aby powiększyć
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]