Process Injection Certification Test
AV-Comparatives führt gezielte offensive Sicherheitstests durch und bietet Anbietern die Möglichkeit, sich in bestimmten Bereichen zertifizieren zu lassen. Bei diesem Test lag der Schwerpunkt auf "Shellcode Execution / Process Injection". Zertifizierungsberichte werden ausschließlich für Anbieter ausgestellt, die unsere strengen Kriterien erfolgreich erfüllen. Die getesteten Anbieter erhielten umfassende technische Daten und detailliertes Feedback, um die Widerstandsfähigkeit ihrer Produkte gegen potenzielle Angriffe zu verbessern.
https://www.av-comparatives.org/news/process-injection-certification-test/
Die Prozessinjektion ist eine der am weitesten verbreiteten Techniken, die von Angreifern und Red Teams gleichermaßen eingesetzt wird. Die Untersuchung der Process Injection (T1055)-Technik innerhalb des MITRE ATT&CK-Frameworks zeigt ihre Vielseitigkeit, da sie zahlreiche Untertechniken umfasst, die in verschiedenen Kontexten eingesetzt werden, z. B. beim Erstzugriff, bei der Umgehung der Verteidigung und bei der Privilegienerweiterung.
Methodik
Unsere Bewertung befasst sich mit der Beurteilung der Präventions- und Erkennungsfähigkeiten von AV/EPP/EDR-Produkten in Bezug auf Prozessinjektion und Shellcode-Ausführung im Rahmen von Erstzugangsszenarien. Wir wollen beurteilen, wie effektiv die Produkte auf verschiedene C2-Frameworks, Shellcode-Varianten, Speicherzuweisungsmethoden, API-Aufrufe, Injektionstechniken und Zielprozesse reagieren.
Schlüsselvariablen
Um die Erstellung von ausweichenden Shellcode-Loadern oder Process-Injection-Proof-of-Concepts (POCs) zu erleichtern, manipulieren wir mehrere Variablen:
- Ausführung/Injektionstechnik: Anwendung der klassischen Injektions-, Early-Bird-Injektions- und Prozesshohlraumtechniken.
- Format/Dateityp: Einbindung verschiedener Dateitypen wie .exe, .dll, .bin, etc.
- Rahmenwerke/Shellcode: Nutzung verschiedener Command-and-Control-Frameworks wie Metasploit, Empire, Covenant und andere.
- Selbstinjektion/Ferninjektion: Variation bei der Ausführung von Shellcode lokal innerhalb desselben Prozesses oder aus der Ferne in einem separaten Prozess.
- Processes: Änderung des Prozesskontextes zur Ausführung oder Injektion von Shellcode.
Es ist wichtig anzumerken, dass der Process Injection Test im Gegensatz zu AV-Comparatives' einen spezifischen Aspekt des Schutzes prüft EPR-Testbei dem die gesamte Angriffskette bewertet wird. Für diesen Test verwenden wir einen vollständig gepatchten und aktualisierten Windows 10-Host. Die Tester melden sich als Minimalbenutzer an, die in einem Kontext mittlerer Integrität arbeiten, um Szenarien zur Ausführung von Shellcode/Prozessinjektion auszuführen.
Diese Bewertung soll Aufschluss über die Wirksamkeit von AV/EPP/EDR-Lösungen bei der Abwehr von Process-Injection-Techniken geben und so die Sicherheit von Cybersicherheitsprodukten verbessern.
Zertifizierte Produkte
Die Process Injection Evaluation von AV-Comparatives dient als strenge Bewertung der Fähigkeiten von Cybersicherheitsprodukten zur Abwehr von Process Injection-Techniken, einer weit verbreiteten Taktik von Angreifern. Nur Anbieter, die unsere Zertifizierungskriterien erfolgreich erfüllt haben, werden in ihren Berichten veröffentlicht. Von den sieben getesteten Produkten haben nur drei diese sehr anspruchsvolle Bewertung erfolgreich bestanden:
- Bitdefender GravityZone Business Security Enterprise
- ESET PROTECT Enterprise Cloud
- Kaspersky Endpoint Security für Business
Nicht zertifizierte Anbieter erhalten auf der Grundlage der Testergebnisse ein detailliertes Feedback zu verbesserungswürdigen Bereichen. Dies ist Teil des Engagements von AV-Comparatives für die gemeinsame Verbesserung von Cybersicherheitslösungen.
