Unternehmens-Schutzlösungen wehren getarnte Malware weitgehend erfolgreich ab
AV-TEST hat zwölf Endpoint-Schutzlösungen für Unternehmen gegen Ransomware und Infostealer getestet, die neueste Verschleierungstechniken nutzen. Zehn Produkte erreichten die volle Punktzahl, zwei Lösungen zeigten kleinere Schwächen.
Das Labor von AV-TEST hat im Juli und August 2025 zwölf Endpoint-Schutzlösungen für Unternehmen in einem Advanced-Threat-Protection-(APT)-Test untersucht. Die Tester konfrontierten jedes Produkt mit zehn gezielten Angriffen – fünf Ransomware- und fünf Infostealer-Attacken. Die Malware nutzte dabei Techniken, um der Erkennung zu entgehen, etwa durch das Verstecken in legitimen Anwendungen oder durch Ausführung von 64-Bit-Code in 32-Bit-Prozessen.
Testaufbau mit raffinierten Angriffstechniken
Die Angriffe starteten nach einem einheitlichen Muster: Eine Spear-Phishing-E-Mail enthielt ein Archiv mit einer ausführbaren Datei, einer MSI-Installationsdatei oder einer 7-ZIP-Datei. Darin befand sich gefährlicher Code, der mit verschiedenen Verschleierungsmethoden verborgen wurde, so AV-TEST.
Eine eingesetzte Technik war „Backdoored Binary“: Die Angreifer versteckten schädlichen Code in der legitimen 7-Zip-Anwendung 7zFM.exe, die keine kryptografische Signatur trägt. Laut AV-TEST verschleiern solche Manipulationen die bösartigen Vorgänge, da sie aus einem Prozess stammen, den normale Nutzer ausführen könnten. Eine weitere Methode war „Heaven’s Gate“ – eine Technik, die 64-Bit-Code aus einem 32-Bit-Prozess heraus ausführt und damit Verteidigungsmechanismen erschwert, die diesen Code möglicherweise nicht erwarten und daher nicht beobachten.
Das Labor dokumentierte alle Angriffsszenarien nach dem Standard der MITRE ATT&CK-Datenbank. Pro abgewehrter Ransomware konnten die Produkte drei Punkte erhalten, pro Infostealer vier Punkte – insgesamt maximal 35 Punkte im Schutz-Score.
Zehn Lösungen mit perfekter Abwehrleistung
Die Produkte von Avast, Bitdefender, Huawei, Kaspersky (beide getesteten Versionen), Microsoft, Microworld, Symantec, Trellix und WithSecure erreichten die volle Punktzahl von 35 Punkten. Diese zehn Lösungen erkannten und blockierten alle Angriffe vollständig.
ESET erkannte zwar alle zehn Angreifer, konnte aber einen Infostealer nicht vollständig blockieren. Der Angreifer setzte seine Attacke fort, wurde dann aber durch weitere Schutzmechanismen gestoppt und unschädlich gemacht. Das kostete ESET einen Punkt – das Produkt erreichte 34 von 35 Punkten.
Qualys hatte größere Schwierigkeiten mit einem Infostealer. Das Produkt erkannte den Angreifer, konnte ihn aber nicht blocken. Auch nachgelagerte Schutzmechanismen verhinderten nur Teile des Angriffs. Am Ende gelang es dem Infostealer, Daten zu stehlen. Laut AV-TEST erreichte Qualys dadurch nur 32,5 von 35 Punkten im Schutz-Score.
Zertifizierung für alle getesteten Lösungen
Alle zwölf Unternehmenslösungen erhielten das Test-Zertifikat „Advanced Approved Endpoint Protection“. Die Voraussetzung dafür lag bei mindestens 75 Prozent der maximalen Punktzahl, also 26,5 von 35 Punkten.
AV-TEST betont, dass die Ergebnisse das aktuelle Kräfteverhältnis zwischen Malware und Schutz-Software zeigen. Die von Malware-Gruppen genutzten Angriffstechniken seien meist raffiniert, aber nicht unabwehrbar. Das Labor verweist auf seine Datenbank AV-ATLAS mit fast einer Milliarde erkannten und registrierten Windows-Malware-Exemplaren. Allerdings würden Angreifer neue Lücken nutzen und perfide Angriffstechniken finden oder kombinieren. Eine gute Schutz-Software müsse auch diesen veränderten Malware-Einsatz identifizieren und abwehren – und zwar auch dann, wenn sich Angreifer in harmlosen Prozessen verstecken und so vielleicht dem Scan nach Malware entgehen.
(Quelle: AV-Test)