【avlab.pl】Windows 11 下网络银行场景的攻击测试

anthonyqian

这是一个来自波兰的杀软实验室做的测评。他们使用了Caldera Framework tool来模拟黑客攻击。不同于其他测评机构只使用使用 HTTP 和 HTTPS协议在系统中放置恶意软件，avlab.pl 还测试了使用 FTP 下载恶意软件。测试的产品需要在任意阶段（运行前、运行后、和黑客服务器建立连接后）检测到并阻止攻击。

avlab.pl 执行了以下8个测试：

• 剪贴板捕获（第 1 部分）：测试用 Python 编写的恶意软件是否可以捕获系统剪贴板的内容并将信息发送到黑客的服务器。
• 剪贴板捕获（第 2 部分）：测试来自 Caldera 框架的恶意软件是否可以捕获系统剪贴板的内容并将信息发送到黑客的服务器。
• 剪贴板交换：测试恶意软件是否可以修改系统剪贴板的内容，例如复制银行帐号。
• 键盘记录：测试恶意软件是否可以在登录银行帐户时记录击键操作并将信息发送到攻击者的 Gmail 帐户。
• 截屏（第 1 部分）测试使用 Python 编写的恶意软件是否可以在使用网上银行时进行截屏。
• 截屏（第 2 部分）测试来自 Caldera 框架的恶意软件是否可以在使用网上银行时进行截屏。
• 隐藏桌面：测试恶意软件是否可以在活动的银行会话期间建立与黑客服务器的远程连接。
• 密码盗窃：测试恶意软件是否可以解析敏感信息，例如信用卡号、密码、登录名或银行帐号。
  

如下产品参与了测试：



测试结果：

1. F-SECURE Total

通过了所有的8个测试。

在激活了银行保护模式时，所有其他互联网连接都被暂时禁止。F-Secure能快速、自动地保护设备的安全，但用户可以完全控制一切。F-Secure的银行保护可以防止连接，因此没有恶意软件可以访问黑客的服务器。

2. COMODO Advanced Endpoint Protection 科摩多

通过了所有的8个测试。

激活了虚拟环境后，用户可以运行可疑的附件，而不必担心安全问题。 这项技术可以保护设备免受键盘记录程序、木马程序、蠕虫和屏幕记录程序的攻击，还可以隔离进程，防止恶意代码在虚拟环境中注入浏览器。 HIPS模块监控系统和应用程序的活动。 沙箱自动防止零日威胁，并在云端进行文件扫描。 Comodo是一个强大的工具，以保护系统免受零日恶意软件和网络攻击。  

3. NortonLifeLock 360 Standard 诺顿

通过了所有的8个测试。

在测试过程中，针对零日文件的保护对银行威胁做出了正确的反应。这种保护是基于文件信誉的，所以未知的文件和脚本被NortonLifeLock阻止了。被低估的防火墙是一个有用的模块，尽管它在一些安全套件中被边缘化了。事实证明，带有基于攻击签名的IPS模块的防火墙可以阻止黑客攻击，并检测进出的未经授权的网络流量。

4. ESET Smart Security

在基于 FTP 协议的剪贴板交换测试中失败了，无论启用何种银行模式，恶意软件都可能更改系统剪贴板的内容。但是在基于 HTTP 协议的剪贴板交换测试中成功了。其余7个测试都成功。

在测试中，防火墙模块检测到恶意连接，发挥了重要作用。网银保护是一个有用的功能，它可以保护系统的WinAPI免受键盘记录器的攻击。隔离浏览器可以免疫大多数网络攻击。但遗憾的是，在使用网上银行时，ESET没有任何技术能够充分有效地防止剪贴板劫持攻击。

5. KASPERSKY Total Security 卡巴斯基

在基于 FTP 协议的剪贴板交换测试中失败了，无论保护设置如何，恶意软件都可以在启用银行模式时更改系统剪贴板的内容。但是在基于 HTTP 协议的剪贴板交换测试中成功了。在基于 FTP 协议的截屏（第一部分）中失败了，测试人员没有发现能够有效防止在通过SFTP进行网上银行业务时发送屏幕截图的应用程序设置。但是在基于 HTTP 协议的截屏（第一部分）中成功了。其余6个测试都成功。

Safe Money模块在确保在线会话安全方面发挥了重要作用。它建议打开一个安全的浏览器，该浏览器可以抵抗注入恶意的DLLs，甚至从RAM中读取进入浏览器的敏感信息。从理论上讲，攻击者或恶意软件无法交换系统剪贴板的内容。不幸的是，我们已经成功了。在这个领域，开发者应该对不太流行的协议应用更好的安全技术。

6. SOPHOS Home

在基于 FTP 协议的剪贴板交换测试中失败了，系统剪贴板已成功交换。但是在基于 HTTP 协议的剪贴板交换测试中成功了。在基于 FTP 协议的截屏（第一部分）中失败了，恶意程序已成功截取屏幕截图并将其发送到黑客的服务器。但是在基于 HTTP 协议的截屏（第一部分）中成功了。其余6个测试都成功。

Sophos Home 提供高级的威胁防护。 在实践中，反键盘记录技术已被证明可以正常工作，因为我们无法捕获击键。 低信誉文件警告技术在防御新威胁方面发挥着极其重要的作用，尽管文件扩展名并不重要。  然而，事实证明，向系统传递文件的协议是相关的，所以Sophos Home在两个测试中检测恶意软件时出现了问题。这方面需要开发者加以改进。

7. MICROSOFT Defender 微软

在基于 FTP 协议的剪贴板捕获（第 1 部分）中失败了，尽管启用了所有安全功能，但不受信任的应用程序仍访问了网络。但是在基于 HTTP 协议的剪贴板捕获（第 1 部分）中成功了。在基于 FTP 协议的剪贴板交换测试中失败了，尽管启用了所有安全功能，但不受信任的应用程序仍访问了网络。但是在基于 HTTP 协议的剪贴板交换测试中成功了。在基于 FTP 协议的键盘纪录器中失败了，Microsoft Defender 没有阻止可以将击键发送到黑客的服务器的键盘记录器。但是在基于 HTTP 协议的键盘纪录器中成功了。在基于 FTP 协议的截屏（第一部分）中失败了，恶意程序已成功截取屏幕截图并将其发送到黑客的服务器。但是在基于 HTTP 协议的截屏（第一部分）中成功了。在其余 4 个测试中都成功。

MD与SmartScreen系统功能配合得最好。SmartScreen技术虽然能有效防止可疑文件，并在文件没有数字签名时发出警告，但如果恶意软件以不同于浏览器的方式进入系统，例如通过Pendrive、交换协议或电子邮件客户端，它就不够有效了。开发者应该改进对浏览器以外的未知威胁的阻止。

9. G DATA Total Security

在基于 FTP 和 HTTP 协议的剪贴板捕获（第 1 部分）中完全失败。在基于 FTP 和 HTTP 协议的截屏（第一部分）中完全失败。其余6个测试都成功。

总结：这个测试中，科摩多、诺顿、F-Secure的银行保护功能最好，其次是卡巴斯基、ESET、Sophos，最后是微软和G Data。


详情参阅：https://avlab.pl/en/overview-of- ... acks-in-windows-11/

ICzcz

MD翻车了。。。

NICO-COOPER

又发现了一款冷门杀软MKS_VIR，看看能不能搞来玩玩
从sophos的评测结果来看，hitmanpro alert的攻击缓解都不是摆设，又一次坚定了入正的决心

企稳向好

NICO-COOPER 发表于 2022-1-21 10:59
又发现了一款冷门杀软MKS_VIR，看看能不能搞来玩玩
从sophos的评测结果来看，hitmanpro alert的攻击 ...

mks_vir是波兰安软，和arcabit是一家，早年还有一个能够独立更新的波兰语/英语扫描仪可用，勉强还能看懂。现在只提供波兰语的在线扫描仪了，虽然大概能猜出来意思，但还是看的眼晕

NICO-COOPER

企稳向好 发表于 2022-1-21 14:57
mks_vir是波兰安软，和arcabit是一家，早年还有一个能够独立更新的波兰语/英语扫描仪可用，勉强还能看懂 ...

arcabit前几天刚玩过，据论坛大佬说是BD套壳，瞬间就没了兴趣，果断删掉快照。
mks_vir刚那会才看过官网，在机翻的帮助下勉强能够正常阅读，我还以为是一家没见过的波兰杀软，既然跟arcabit是一家，那就算了。
arcabit的UI优化是真的不行，虚拟机上设置一个选项卡一下，电脑运行的倒挺流畅。

企稳向好

NICO-COOPER 发表于 2022-1-21 15:12
arcabit前几天刚玩过，据论坛大佬说是BD套壳，瞬间就没了兴趣，果断删掉快照。
mks_vir刚那会才看过官网 ...

你看看他俩官网就知道了
https://mks-vir.pl/skaner-online/
https://arcabit.pl/skaner-online/

zwl2828

NICO-COOPER 发表于 2022-1-21 10:59
又发现了一款冷门杀软MKS_VIR，看看能不能搞来玩玩
从sophos的评测结果来看，hitmanpro alert的攻击 ...

Sophos 差个 FW。

NICO-COOPER

zwl2828 发表于 2022-2-5 07:47
Sophos 差个 FW。

你要想用FW，sophos向家庭用户免费开放XG firewall的软件支持，自己找个硬件安上就补全了

versex

瑟瑟发抖