最近這幾天席捲全世界,尤其台灣也是重災區的 WannaCry(想哭) 勒索病毒,
想必許多人都會問,除了修補系統與軟體的漏洞之外,
身為系統安全最後一道防線的防毒軟體,究竟能不能替我們擋住未知的勒索病毒威脅 ?
昨天晚上我在中國知名討論資安的論壇 卡飯論壇,
看到一篇相當有意思的測試,小弟經過原作者允許,
稍微修飾與排版,並修改成一些台灣習慣的用字遣詞,
貼給各位參考
文章來源 : [技術原創] WanaCrypt0r勒索病毒:20 款殺軟主防測試
原作者 : houtiancheng
請注意 !
這個測試是將所有防毒軟體的時間凍結在 2016/12/12 日,
包含所有的病毒資料庫、引擎等,並且禁止所有網路連線。
其目的是為了模擬各家防毒軟體,遇上未知的威脅,是否能有效防禦勒索病毒的行為
在 2016/12/12 的時候,這隻 WannaCry(想哭) 勒索病毒應該是還不存在的,
透過這種方式,模擬各家防毒軟體,如果在未來的時候面臨勒未知的索病毒攻擊時,
能否有效發揮自家的主動式防禦,正確偵測出勒索病毒的惡意行為,並且阻止。
------------------
更新 : 2017/05/15 19:00
由於 HitmanPro.Alert 開發者提出解釋,
原作者重新測試之後,發現結果有改變,
本文一併按照原作者測試結果更新。
------------------
以下是該文章正式內容 :
======================================
看到最近這個勒索這麼火,手癢啦~
這個樣本主要應該是靠漏洞傳播,剛好合適我的測試環境,
所以來測試一下看看各大防毒軟體的主防是否有效。
測試的方法照舊是鎖庫+ 斷網(不再對這個測試方法回覆,詳情參照我之前的測試貼)。
這次用的大部分防毒都鎖在2016年12月12日的庫,雖然很早很早,但結果依然令人驚訝的好。
測試環境:
VBox 虛擬機,Windows 7 英文版SP1(未更新),各防毒軟體均採用預設值設定,
解壓後直接雙擊執行病毒
樣本下載:
http://bbs.kafan.cn/thread-2088985-1-1.html
測試結果:
防禦成功(會留下一些無害衍生物):
BitDefender Free(20161212):(比特凡德 免費版)
一聲不響就殺掉了
Kaspersky Internet Security(20161212):(卡巴斯基 網路安全套裝)
被加密了一些檔案後,主動防禦發現威脅並移除,並成功復原遭加密的檔案
F-Secure Client Security(20161212):(芬安全)
主動式防禦發現威脅並移除
Cybereason RansomFree(20161231,v2.1.1.0):(這軟體只有防勒索功能,不能算防毒軟體)
成功攔截攻擊
Emsisoft Internet Security(20170104):
智慧型 HIPS 發現威脅,並提示疑似為勒索病毒,依照建議阻止並隔離
Dr. Web Anti-Virus(20161212):(大蜘蛛)
啟發式分析,偵測到威脅並刪除
(根據原作者說明,連變種的也能夠偵測到)
SandBoxie(v5.12):(沙盒)
成功防禦。
(作者表示預期之內,即使是舊版本的沙盒,依舊不會被攻破)
----------------------------
在部分狀況能夠防禦的:
HitManPro.Alert(3.6.1 Build 574):
系統內至少需要在不同地點儲存私人文件檔案,HMPA 才會有動作。
若只有在桌面上放檔案、圖片,則不會有反應。
只有在桌面上放檔案 (失敗)
除了桌面,其他地方也放上私人檔案後 (成功防禦)
----------------------------
檢測到惡意行為,但防禦失敗(後知後覺)的:
Trend Micro(20161212):(趨勢科技)
跳出警告視窗,但即使選擇封鎖,文件檔案依舊被加密綁架
GDATA(20161212):
同樣都有警告訊息,但是即使點封鎖,文件檔案依舊被加密綁架
----------------------------
防禦失敗(無反應且檔案被加密):
360殺毒+360衛士(20161212):(中國版 360)
360 Total Security(20161212):(國際版 360)
火絨(20161212):(中國火絨)
費爾(20161212):(中國費爾托斯特)
AVAST Internet Security(20170127,舊版):(Avast 網路安全、舊版本)
AVAST Internet Security(20170210,IDP融合後的版本):(Avast 網路安全、新版本)
AVG Free(20161212):
McAfee Endpoint Security(20161220):(邁克菲、賣咖啡)
Symantec Endpoint Security(20161212):(賽門鐵克)
Avira Free(20161212):(小紅傘、免費版)
ESET Internet Security(20161219):(ESET、NOD32)
----------------------------
總結:
原作者 :
之前看到有人說,國外這些防毒大廠技術先進,可能領先幾個月之多。
當時我不太相信,不過現在只能說,事實勝於雄辯 ~
無論從哪個測試看,無疑卡巴斯基和比特凡德都是現在防毒大軍中的超一流,這再次得到了驗證。
這也再次證明了主動式防禦的必要性。
用5個月前的病毒資料庫和行為資料庫斬殺了5個月後流行的病毒,事實勝於雄辯。
(可惜了我的AVG……不給力啊)
(ps:如果讓exe入沙盒執行,AVG 的IDP 技術是會有警告攔截的,算是個小驚喜ww)
(pps:本次測試娛樂成分居多,結果僅供參考~)
=============================
我個人的補充 :
首先感謝 卡飯的 houtiancheng 協助測試這麼多款的防毒軟體 ~
在現今這麼多防毒軟體都在宣稱自己是最佳的選擇,
並且都大肆宣傳可以抵禦勒索病毒的狀況下,
究竟那些防毒軟體可以真正靠軟體本身的防禦能力,
來抵禦未知、或者變種的勒索病毒,
而不是單純只靠發現後才列入黑名單的消極做法,有相當的參考意義。
每一家的防毒軟體的廠商,辨識病毒並將病毒的資料輸入到資料庫,列入黑名單,
然後使用者在透過網路更新防毒軟體的病毒碼,這都是需要一段時間的。
如果說有人在這段時間內就不幸中了新的、變種的勒索病毒,
那就很有可能在防毒軟體還無法正式辨識之前,就會中獎了。
所以不論防毒廠商的更新速度在怎樣的快,
還是有可能會有段空窗期 ~
之前在伊莉論壇的假 Flash 更新檔(木馬),就是一個例子,
許多防毒軟體將假更新檔(木馬)列入病毒資料庫的速度不夠快。
從上面例子來看,主動式的防禦能力還是有其必要,
主動式防禦能夠在防毒軟體認識這隻病毒之前,
就能先注意到可疑的行為,並且成功地阻止,並建議使用者處理。
由 houtiancheng 的測試可以看出每一家防毒軟體的主動式防禦,
誰的防禦能力比較佳,誰的比較弱,誰甚至完全沒有,應該都很清楚了
不過我還是要說 :
請注意 ! 這項測試只是提供各位一個參考,絕對不是防毒軟體的優劣排名
也不是非常嚴謹的一項測試,都是僅供參考而已 ~
在現今勒索病毒肆虐的環境之下,
除了一定要做好系統漏洞的更新、軟體的更新之外,
慎選系統最後一道防護,也是應該考量的地方。
像是我自己選擇的就是 Emsisoft 這一套,
除了非常省系統資源,且採用雙引擎、雙資料庫,
加上強大的主動式防禦系統(Behavior Blocker),
真的是我近期用過讓我非常滿意的防毒軟體
如果對 Emsisoft 有興趣的,可以參考我以前發的文章(點我)
這裡替大家省些時間,如果說有人有對這幾家表現好的防毒軟體有興趣,
文末提供這次表現較佳的幾家防毒軟體下載連結 :
(下載點均為官方網站)
BitDefender Free (比特凡德、免費版)
Kaspersky Internet Security (卡巴斯基 安全軟體、30天試用)
F-Secure Internet Security (芬安全 網路安全、30天試用)
Emsisoft Anti-Malware (30天試用)
Dr.Web Anti-virus (無防火牆、30天試用)
Dr.Web Security Space (全功能、30天試用)
更新補充 :
Q.
為什麼沒有 XXX 防毒、XXX 廠牌的測試 ?
是不是在圖利特定廠商 ?
A.
由於這是該位作者在半年之久以前,透過虛擬機的系統保存了這幾家防毒軟體的狀態,
但礙於作者本身硬碟空間限制&時間,不可能把所有防毒軟體都測試一遍。
再加上時間是不可能往回走,
所以也不可能在現在 2017年的時候安裝 XX 廠牌防毒軟體來測試,
畢竟已經無法取得 2016 年的病毒碼資料庫。
用最新的資料庫來測試就失去公平性了。
文章更新時間&內容 :
2017/05/15、19:20 => 修正 HitmanPro.Alert 測試結果
2017/05/16、19:30 => 修正 Emsisoft 相關文字敘述、錯字修正
