NGFW Egress C2 Zertifizierung - Bitdefender GravityZone Business Security Enterprise

Einleitung

Jedes Jahr bietet AV-Comparatives einen Schwerpunkt-Pen-Test an, zu dem sich Anbieter anmelden können, um sich zertifizieren zu lassen. Dieses Jahr konzentrieren wir uns auf “NGFW Egress C2” (Command and Control). Zertifizierungsberichte werden nur für Anbieter veröffentlicht, die die Zertifizierung erreicht haben (d. h. bei denen bösartiger Datenverkehr blockiert wurde). Nicht zertifizierte Anbieter erhalten Feedback, um ihr Produkt zu verbessern.

Eines der wichtigsten Ziele eines gezielten Angriffs/APT besteht darin, die Kontrolle über ein kompromittiertes System im Zielnetz zu erlangen. Daher wird häufig Schadsoftware (Malware) verwendet, um einen Command-and-Control-Kanal (C2) zum Command-and-Control-Server zu öffnen, der vom Angreifer betrieben wird. Wenn der Angreifer bereits Zugriff auf das System hat (über eine vertrauenswürdige Beziehung oder ein gültiges Konto) oder Malware z. B. durch Phishing oder ein USB-Laufwerk einschleusen konnte, wird er C2-Malware verwenden, um den C2-Kanal zu öffnen. Das installierte Endgerätesicherheitsprodukt stellt die erste Verteidigungslinie dar, aber selbst die besten Produkte können von APT-Gruppen umgangen werden. Dies bedeutet, dass die Fähigkeiten von NGFWs zur Verhinderung und Erkennung von bösartigem Datenverkehr immer wichtiger werden. Deshalb wollen wir den NGFW Egress C2 Test einführen, um die Effektivität von NGFW-Produkten zu überprüfen.

In den meisten Fällen bieten Firewalls einen sehr guten Schutz gegen Outside-to-Inside-Angriffe (d. h. Versuche, von außen in das Netz einzudringen). Wenn jedoch ein gezielter Angriff versucht, einen C2-Kanal zu öffnen, fließt der Netzwerkverkehr zunächst von innen nach außen. Daher konzentrieren wir uns in diesem Test auf die Fähigkeiten zur Verhinderung und Erkennung von ausgehendem Netzwerkverkehr im Zusammenhang mit bekannten C2-Produkten und C2-Ransomware-Profilen.

Am Ende des Tests erhielt jeder Anbieter einen kurzen Bericht, in dem die Ergebnisse der verschiedenen Testphasen aufgeführt waren. Das Hauptziel dieses Tests besteht darin, die Wirksamkeit der Funktionen zur Verhinderung/Erkennung von ausgehendem Netzverkehr in den einzelnen Produkten zu messen und sie gegebenenfalls zu verbessern.

Liefergegenstände

Im Falle eines Fehlschlags erhält der Verkäufer:

• Wireshark-Protokoll
• Bildschirmaufnahme
• Produktprotokolle

Geprüfte Produkte

In diesem Test wurde das folgende aktuelle und neueste öffentlich verfügbare Produkt vom Anbieter vorgelegt und im November 2025 getestet:

• Bitdefender GravityZone Business Security Enterprise 7.9

Settings

In Unternehmensumgebungen und bei Unternehmensprodukten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden, weshalb wir alle Hersteller aufgefordert haben, ihre jeweiligen Produkte zu konfigurieren.

Nachfolgend sind die vom Anbieter vorgenommenen Produkteinstellungen aufgeführt.

BitdefenderAlle Erkennungs-/Schutztechnologien wurden deaktiviert, außer für das Netzwerk: Antimalware deaktiviert, Sandbox Analyzer deaktiviert, Exchange Protection deaktiviert, Antispam deaktiviert, Incident Sensor deaktiviert, Blocklist deaktiviert. Beim Netzwerkschutz war alles aktiviert und auf Blockieren eingestellt.

Testverfahren

In diesem Test konzentrieren wir uns darauf, zu bewerten, ob es möglich ist, NGFWs zu umgehen und einen stabilen C2-Kanal zu öffnen. Daher werden wir uns auf die Fähigkeiten zur Verhinderung von Netzwerkverkehr im Zusammenhang mit bekannten C2-Frameworks, C2-Ransomware-Profilen usw. konzentrieren.

Wie wird ein stabiles C2 für diesen Test definiert?

Ein Command-and-Control-Kanal, der nicht von der NGFW verhindert wird, und der Angreifer/Tester kann den C2-Kanal für stabile Post-Exploitation-Aktivitäten nutzen, die über den C2-Kanal unter Verwendung des entsprechenden C2-Frameworks ausgeführt werden.

Umfang

Zu Zertifizierungszwecken bewerten wir, ob es möglich war, ein stabiles C2 zu öffnen, ohne von dem NGFW-Produkt blockiert zu werden.

Zum Beispiel.

• Trick Bot C2-Verkehr wurde verhindert → Dies ist unser Ergebnis.
• Der TCP-Meterpreter-Verkehr wurde nicht verhindert → Dies ist unser Ergebnis.

 Außerhalb des Geltungsbereichs

Die Bewertung von AV, EPP und EDR als erste Verteidigungslinie fällt nicht in den Anwendungsbereich. Der Schwerpunkt liegt nicht auf der Verhinderung der Ausführung; stattdessen konzentriert sich der Test nur auf die Verhinderung von C2-Datenverkehr. Auf dem Windows-Endpunkt werden keine AV-, EPP- oder EDR-Lösungen installiert oder zumindest werden keine Module oder Funktionen aktiviert, die sich auf den Endpunktschutz beziehen. AV-, EPP- und EDR-Produkte können teilnehmen, aber nur ihre netzwerkbasierten Präventions- und Erkennungsmodule dürfen aktiv sein. Signatur- und verhaltensbasierte Funktionen zur Verhinderung oder Erkennung von Malware fallen nicht in den Anwendungsbereich und müssen deaktiviert bleiben.

 Konfiguration

Ein produktspezifischer Schutz des C2-Verkehrs sollte z. B. von jedem Hersteller aktiviert werden.

• Blockieren bekannter Ransomware-C2-Profile (IOCs)
• Blockierung des C2-Verkehrs von bekannten C2-Frameworks (IOCs)
• Die Konfiguration muss von AV-Comparatives validiert und akzeptiert werden.
• Nicht praktikable Konfigurationen sind nicht zulässig.
• Die Konfiguration wird in dem Bericht offengelegt.

Test-Ergebnisse

Um von AV-Comparatives für den NGFW Egress C2-Schutz zugelassen zu werden, müssen alle bösartigen Verkehrsszenarien, die während des Tests ausgeführt werden, blockiert werden. Wir haben verschiedene Arten von bösartigem Command-and-Control (C2)-Verkehr simuliert, um zu testen, ob die NGFW / der Netzwerkschutz den jeweiligen C2-Verkehr erfolgreich blockiert oder nicht.

Nur Produkte, die für den NGFW Egress C2 Test eingereicht wurden und diesen bestanden haben, werden veröffentlicht. Bitdefender GravityZone Business Security Enterprise erfüllte die Zertifizierungsanforderungen, d. h. es blockierte den gesamten bösartigen Datenverkehr, der in diesem Test verwendet wurde. Kein anderes Produkt wurde in diesem Jahr zertifiziert. Dieser Test wird im Jahr 2026 erneut angeboten.

Alle in diesem Test verwendeten Szenarien für bösartigen C2-Datenverkehr wurden erfolgreich blockiert.

 

Die folgenden HTTP-Befehls- und Kontrollverkehrsprofile wurden getestet:

1.	Zählerableser
2.	Etumbot
3.	Havex
4.	POSeidon
5.	Trick_Ryuk
6.	Emotet
7.	Trickbot
8.	Gandkrabbe
9.	Bazarloader
10.	Covid19_Koadic

 

Anmerkungen: In den Szenarien 8 (Grandcrab) und 9 (Bazarloader) konnte ein stabiler C2-Kanal aufgebaut werden, aber die gesamte Kommunikation nach der Ausbeutung wurde erfolgreich blockiert.

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2025 von AV-Comparatives ®. Jegliche Nutzung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, aber eine Haftung für die Richtigkeit der Testergebnisse kann von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, der Testdokumente oder der damit verbundenen Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Dezember 2025)