“APT 高级持续威胁”是一个通常用于描述有APT针对性的网络攻击的术语，该攻击采用一组复杂的方法和技术来渗透信息系统。此类攻击的目的可能是窃取/替换/破坏机密信息，或建立破坏能力，最终可能导致目标组织的数据破坏、财务和声誉受损。

此类攻击目的性很强，通常涉及高度专业化的工具。使用的工具包括高度混淆的恶意代码、恶意使用合法系统工具和无文件攻击。

AV-Comparatives 在2022年9月-10月期间，在Windows平台评估了9款企业安全产品的APT攻击防护能力，并于11月16日发布了最终的测评报告。

参赛选手和产品

这些安全厂商对其产品抵御APT攻击的保护能力有足够的信心，因此参加了此次公开测试。

攻击方法

在APT防护测试中，AV-Comparatives使用了几个不同的命令行堆栈、CMD/PS 命令，它们可以将恶意软件从网络直接下载到内存或 base64 编码调用中。这些方法完全避免了磁盘访问，而磁盘访问通常受到安全产品的严密保护。我们有时会使用简单的隐藏措施，或者改变 stager 调用的方法。一旦恶意软件加载了它的第二阶段，就会建立与攻击者的 http/https 连接。这种由内而外的机制具有为攻击者建立 C2 通道的优势，该通道超出了大多数 NAT 和防火墙产品的保护措施。一旦建立了 C2 隧道，攻击者就可以使用所有已知的常见 C2 产品（Meterpreter、PowerShell Empire 等）的控制机制。例如：文件上传/下载、屏幕截图、键盘记录、Windows shell (GUI) 和网络摄像头拍照。我们希望攻击能够被阻止，无论它们在何处/如何托管以及它们从何处/如何执行。如果仅在非常特定的情况下检测到攻击，我们会说该产品没有提供有效的保护。

测试用例

本次测试中使用的 15 个测试场景：

1. 这种威胁是通过鱼叉式钓鱼链接引入的。恶意二进制文件执行 x86 shellcode 以通过 http 打开 meterpreter C2 通道。

2. 这种威胁是通过鱼叉式钓鱼链接引入的。恶意 JavaScript 文件执行 x64 shellcode 以通过 http 打开 meterpreter C2 通道。

3. 这种威胁是通过鱼叉式钓鱼链接引入的。恶意混淆的 JavaScript 将 x64 shellcode 注入 Office 进程以通过 http 打开 meterpreter C2 通道。

4. 这种威胁是通过有效帐户引入的。恶意 HTA 文件通过 http 打开 meterpreter C2 通道。

5. 这种威胁是通过有效帐户引入的。具有一些防御规避功能的恶意 PowerShell 命令通过 http 打开一个 meterpreter C2 通道。

6. 这种威胁是通过有效帐户引入的。恶意批处理文件使用非标准端口通过 http 打开 Empire C2 通道。

7. 这种威胁是通过信任关系引入的。具有一些防御规避功能和文件扩展名欺骗的恶意混淆二进制文件使用非标准端口通过 http 打开 PowerShell Empire C2 通道。

8. 这种威胁是通过信任关系引入的。恶意 CPL 文件执行 PowerShell 负载，它使用非标准端口通过 http 打开 Empire C2 通道。

9. 这种威胁是通过信任关系引入的。恶意 XSL 文件通过 WMI 执行，它使用非标准端口通过 http 打开混淆的 Empire C2 通道。

10. 这种威胁是通过鱼叉式钓鱼附件引入的。带有欺骗性文件扩展名的恶意二进制文件执行 Empire payload，以使用非标准端口通过 http 打开 Empire C2 通道。

11. 这种威胁是通过鱼叉式钓鱼附件引入的。具有一些防御规避功能的恶意 JavaScript 文件可以通过控制面板应用程序执行恶意代码，并通过 https 打开一个到商业 C2 框架的 C2 通道。

12. 这种威胁是通过鱼叉式钓鱼附件引入的。具有一些防御规避功能的恶意二进制文件通过 https 打开一个通向商业 C2 框架的 C2 通道。

13. 这种威胁是通过可移动媒体引入的。恶意 DLL 通过 https 打开一个 C2 通道到商业 C2 框架。

14. 这种威胁是通过可移动媒体引入的。具有高级防御规避功能的恶意二进制文件通过 https 打开一个 C2 通道到商业 C2 框架。

15. 这种威胁是通过可移动媒体引入的。恶意 office 文档注入另一个用户空间进程，并通过 https 打开一个到商业 C2 框架的 C2 通道。

测试结果和评分

Bitdefender以14分的总成绩综合排名第一。

防护能力详解—威胁检测/阻止阶段

执行前 (PRE)：威胁尚未运行且在系统上处于非活动状态。

执行中 (ON)：威胁运行后立即被阻断。

执行后 (POST)：威胁运行后，其动作已被识别（在内存中）。

Bitdefender 在 53% 的场景中在执行前阻止了威胁。相比之下，其他供应商的平均值为 27%，一些参与者在执行前未检测到任何威胁。在查看整个评估时，Bitdefender 能够在 93% 的情况下防止攻击，而其他供应商平均为 72%, 这种差异可能导致您的组织面临四倍的安全漏洞！

可以在预执行阶段阻止攻击的安全解决方案不仅更有可能保持系统安全，而且还让攻击者更加难以突破。如果您将每个攻击阶段视为攻击者必须通过的屏障，那么 Bitdefender 提供了最有效的网络攻击障碍。

正如 AV-Comparatives 在分析中指出，“一个好的防盗警报器应该在有人闯入你的房子时响起，而不是等到他们开始偷东西时才响起”。

结论

AV-Comparatives的测试结果再次证明，Bitdefender 是各种规模企业的首选安全解决方案，可保护您免受最先进的APT针对性攻击。Bitdefender可在攻击造成损害之前阻止攻击，防护能力行业排名第一！

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界