近期，国际权威测评机构AV-Comparatives发布了2022年度EDR产品的评估报告，Bitdefender以卓越的防护能力和高性价比，被AV-Comparatives评为EDR魔力象限的战略领导者。

测试详细结果

第一攻击阶段：入侵端点并获得立足点

第一阶段的主要使用以下MITRE ATT&CK攻击战术：

初始访问
初始访问是攻击者用来在目标环境中获得立足点的攻击手法。攻击者可能使用单一方法，也可能使用不同技术的组合。威胁可能来自受感染的网站、电子邮件附件或可移动媒体。

感染方法包括漏洞利用、偷渡式下载、鱼叉式网络钓鱼、宏、信任关系、有效帐户和供应链攻击。

执行
攻击者的下一个目标是在目标环境中执行自己的代码。

根据具体情况，这可以在本地执行或远程代码执行。使用的一些方法包括客户端执行、第三方软件、操作系统功能（如 PowerShell、MSHTA 和命令行）。

持久化
一旦攻击者进入目标环境，他们将尝试在那里获得持久存在。根据目标操作系统，攻击者可能会使用操作系统工具和功能。包括注册表操作、在注册表中指定动态链接库值、 shell 命令、 shell 脚本、应用程序填充和帐户操作等。

第一攻击阶段测试结果：

第二攻击阶段：内部传播

如果在第一攻击阶段未停止攻击，则会触发此阶段。此阶段的EDR产品应使系统管理员能够立即识别攻击，并实时跟踪威胁的内部传播。

第二攻击阶段主要使用了如下的 MITREATT&CK攻击战术：

提权
在企业网络中，用户使用没有管理员权限的帐户是标准的做法。如果企业端点受到攻击，由于登录帐户没有权限，攻击者没有发起下一阶段攻击所需的权限。在这种情况下，必须使用一些手法提升权限，例如：操纵用户访问令牌、漏洞利用、应用程序填充、Hooking或权限弱点等。一旦攻击者在环境中站稳脚跟，他们就会尝试提升权限。

防御规避
攻击者的目的是在不被发现或不被阻止的情况下实现他们的目标。防御规避使用一系列手法确保攻击不被发现，包括篡改安全软件、混淆进程和滥用系统工具隐藏攻击。

访问凭据
这是攻击者用来确保他们的进一步活动是使用合法用户帐户执行的方法。这意味着他们可以访问他们想要的资源，并且不会被系统的防御标记为入侵者。根据目标网络的性质，可以使用不同的访问凭证攻击手法。例如，可以使用输入捕获（例如，键盘记录器）等方法在现场获取凭据。或者，也可以使用离线方法，攻击者在异地复制整个密码数据库，然后可以使用其它方法破解，而不用担心被发现。

发现
一旦攻击者获得了对目标网络的访问权限，他们就会探索整个企业环境，目的是找到高价值攻击目标，这通常是通过扫描网络来完成的。

横向移动
攻击者将在环境中横向移动，以访问感兴趣的资产。使用的技术包括传递哈希、传递票证以及利用远程服务和协议（如 RDP）。

第二攻击阶段测试结果：

第三攻击阶段：数据泄露

此攻击阶段主要使用了如下MITRE ATT&CK 攻击战术：

收集
这涉及收集目标信息——当然假设是窃取信息，而不是破坏。相关数据可以是文档、电子邮件或数据库等。

命令与控制
命令与控制机制允许攻击者的系统与目标网络之间进行通信。这意味着攻击者可以向受感染的系统发送命令或从中接收数据。通常，攻击者会尝试将此类通信伪装成正常网络流量来掩盖攻击流量。

渗出
攻击者一旦达到收集目标信息的目的，就会想从目标网络中偷偷复制到自己的服务器上。在几乎所有情况下，渗透都涉及使用命令和控制基础设施。

影响
这可以定义为对目标组织网络造成的直接损害。例如：操纵、中断或破坏操作系统/数据，运行挖矿病毒，勒索病毒，数据擦除等。

第三攻击阶段测试结果：

报告总结

Bitdefender 实现了 100%的主动响应率，防护了所有测试场景中的安全漏洞。这是一项令人难以置信的成就，也是对 Bitdefender EDR 实力的认可。

AV-Comparatives 评价：“应该指出的是，Bitdefender具有非常好的事件关联能力，引导式调查分析能力和详细的威胁传播时间轴。例如，当后期检测到一些攻击时，产品会追溯它们的来源并提供非常详细的信息。”

Bitdefender最终荣获 AV-Comparatives 2022年度 EDR 领域的战略领导者称号！

阅读报告原文

https://www.av-comparatives.org/reports/endpoint-prevention-response-epr-test-2022/

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界