MITRE ATT&CK Evaluation 2024年测试结果排名+翻译

神龟Turmi

一年一度的唯一EDR测试真神该来的终于来了
去年的传送门：https://bbs.kafan.cn/thread-2261035-1-1.html
今年的测试只有19个厂商参加，分为四个部分，分别为DPRK/CL0P/LockBit（EDR检测能力）和保护（EPP保护能力）
今年除了比去年多了一个检测能力的部分，还额外加入了MacOS下的测试项目，以及误报数量的统计
（让我们看看4202年了还有谁家的EDR没支持MacOS）

以下是三个EDR测试部分的介绍：
1.DPRK
与朝鲜民主主义人民共和国（DPRK）有关的威胁行为者主要针对金融行业（虚拟币、银行、区块链）以及国防和技术部门作为攻击目标。这些攻击者通常会对特定目标进行全面社工，经常采取量身定制的方法来建立信任，并经常冒充合法联系人或组织以增加受害者的信任。与DPRK有关的攻击者已将攻击范围扩大到MacOS系统，利用社工技巧迫使用户执行伪装成合法软件的恶意软件，发动复杂的供应链攻击，将恶意文件伪装成合法应用程序，并在控制受害者环境的同时躲避检测。这些行为者的行动目标通常是窃取敏感信息，如管理员密码、会话cookie和MacOS密码库。DPRK国家资助的攻击者持续专注于他们的目标，###此处删除一句政治阴谋论###。
2.CL0P
CL0P是一种自2019年以来一直活跃的高级勒索软件家族，与TA505和FIN11网络犯罪团伙可能有关。CL0P利用钓鱼攻击活动来获得初始访问权限，常常使用启用宏的文档来部署恶意Loader。与其他大多数勒索软件家族一样，CL0P采用“窃取、加密和泄露”策略——他们识别并加密文件，添加各种扩展名（例如.clop），并通过其Tor站点CL0P^_-LEAKS威胁泄露数据，迫使受害者支付赎金。
最近的攻击利用了MOVEit Transfer和GoAnywhere MFT等软件的漏洞，导致了重大数据泄露，并促使美国当局提供奖励以悬赏该团伙成员的信息。CL0P的目的是获得经济上的“收益”，因此在目标选择上采取了更为随机化的策略，似乎并不针对任何特定地区或行业。CL0P的灵活战术和广泛的目标攻击能力使其成为当今最具威胁的勒索软件之一。
3.Lockbit
LockBit是一种臭名昭著的勒索软件家族，2019年首次以“ABCD”勒索的形式出现。其以使用复杂工具、勒索方法和高严重性攻击而闻名。LockBit采用勒索软件即服务（RaaS）模式，允许“客户”使用他们的工具发起攻击。这种去中心化的方法使使用勒索软件工具的门槛降低，并促使了各种不同的行为，使得检测和响应变得更加复杂和不可预测。执法机构在2022年将LockBit认定为“全球部署最广泛的勒索软件家族”，在2022年至2023年间，近30%的勒索软件攻击是由LockBit的“客户”实施的。LockBit不断适应环境，推出了针对LockBit 3.0的漏洞悬赏计划来改进其工具，针对Windows和Linux系统采用不断演变的逃避战术，并在LockBit Green中融入了现已停用的Conti勒索软件的元素，反映了勒索软件生态系统中代码和战术回收的趋势。为了渗入目标系统，LockBit攻击者使用了合法资源（如渗透测试工具Metasploit和Cobalt Strike，利用远程桌面协议（RDP），以及PowerShell和CMD脚本等系统自带程序），并利用了已知漏洞（如CVE-2018-13379、CVE-2019-0708和CVE-2020-1472）。LockBit一直普遍存在，直到其全球影响高到促使多国执法机构在2024年2月联合捣毁其所属平台。Operation Cronos行动的持续努力导致LockBit操作员在2024年10月被逮捕，尽管进行了此次行动，LockBit仍然是直到2024年5月最常见的勒索家族。

那么话不多说直接上整理之后的结果和排名
由于部分厂商并不支持MacOS系统，导致总分存在差异，我将不支持MacOS系统的厂商分数用蓝色标出，请阅读时酌情考虑不支持全平台的问题
检测（EDR）部分：

保护（EPP）部分：

无论是EPP还是EDR的结果都有点出人意料呢~

最后补充一些细节
MD的唯一windows平台EPP检出来自ASR
这侧面说明了ASR的重要性，能用的话记得用上哦

Cynet和Cybereason虽然有OEM引擎（Avira和BD）但是大部分EPP检出来自自家主防而不是OEM引擎
所以不要指望其他OEM Avira/BD的产品也一定能有一样的表现哦


而蛐蛐的EPP成绩也依然有机器学习的参与，不代表个人版成绩，但是论坛里的白嫖版ApexOne应该是能复现一致结果的哦

裂空我爱杰

微软自家的其实确实可以。无奈卡成狗。。

chx818

cs和es都没参加测试啊

神龟Turmi

chx818 发表于 2024-12-12 09:05
cs和es都没参加测试啊

es一开始就不在名单里
cs一开始在名单 但是最后成绩没有cs 不知道发生了什么

LeeHS

神龟Turmi 发表于 2024-12-12 09:18
es一开始就不在名单里
cs一开始在名单 但是最后成绩没有cs 不知道发生了什么

cs:我觉得你的测试不能代表什么，我拒绝接受成绩，如果你放出来我就告你诽谤（雾）

神龟Turmi

LeeHS 发表于 2024-12-12 09:50
cs:我觉得你的测试不能代表什么，我拒绝接受成绩，如果你放出来我就告你诽谤（雾）

什么卡巴斯基剧本（

King、暮光

趋势今年挺猛啊，期待我司产品有一天也能参测。
另外 Cortex这个有没有渠道啊，一定要官网商业邮箱注册申请演示吗

神龟Turmi

King、暮光 发表于 2024-12-12 10:45
趋势今年挺猛啊，期待我司产品有一天也能参测。
另外 Cortex这个有没有渠道啊，一定要官网商业邮箱注册申 ...

他们有国内分公司 直接电话也行
销售非常好说话 即使你只是想了解一下没打算买也会很热情的喊你开会 介绍的非常详细
但是250设备起售

小小龙

裂空我爱杰 发表于 2024-12-12 08:45
微软自家的其实确实可以。无奈卡成狗。。

看这个。。。我的付费杀软还不如WD。。。只不过没它卡

神龟Turmi

小小龙 发表于 2024-12-12 11:30
看这个。。。我的付费杀软还不如WD。。。只不过没它卡

杀软？
MD测试的是MD Endpoint P2
和windows自带的不是一回事 自带的哪有EDR。。。
如果你指的是后面的保护部分 唯一在windows平台上的拦截来自ASR 另外两分都是MacOS和Linux下拿的 其他windows平台的测试项目漏光光了都