Test funkcjonalności: Microsoft Defender for Endpoint jako antywirus

Publish date:

Test funkcjonalności: Microsoft Defender for Endpoint jako antywirus 

Tomasz Dahms, inżynier infrastruktury IT w Cloud Infrastructure Services w Capgemini 

Rozwiązanie Microsoft Defender for Endpoint to nie tylko testowanie sygnatur plików ale również sprawdzanie zachowań oraz częściowa emulacja i korzystanie z funkcjonalności chmurowych do zabezpieczenia przed zagrożeniami. 

Microsoft opisuje dość szczegółowo przykład działania na swoim blogu tutaj i tutaj.

Co mnie jednak zastanowiło to fakt, że reakcja nastąpiła po zbadaniu zachowania na kilku systemach, co w przypadku zagrożenia, które wykradnie hasła i będzie się rozsiewać w innej formie może być niewystarczające. Postanowiłem wiec sam sprawdzić efektywność tego rozwiązania w przypadku nowych zagrożeń i odporności na pierwszy kontakt. 

Nie spodziewam się efektywności klasy SandBlast marki Checkpoint, czy rozwiązań Forcepoint ale chciałem porównać inne rozwiązanie dla klientów biznesowych. Wybór padł na Avast Business, który plasuje się zazwyczaj w drugiej połowie 10tki na wielu rankingach, a więc jest to rozwiązanie porównywalne jeśli chodzi o klasę, ale nadal dość zaawansowane. Jeśli chodzi o koszty, to porównujemy tu cenę jednej licencji ok 7zł za Avasta do ok 17zł za Defendera. 

Konfiguracja laba 

Żeby przetestować zagrożenia, skorzystałem ok 1500 próbek publikowanych przez Checkpoint, które miały maksymalnie 5 dni, a więc były to zagrożenia dość nowe ale już znane. Były to pliki różnego rodzaju, głównie kierowane na systemy i aplikacje Microsoft. 

W teście wykorzystałem 3 maszyny Windows 10 zwirtualizowane w Azure, pozostawały w wyizolowanych sieciach otwartych jedynie na internet. Były to wersje 1809, jako najpopularniejsze wśród klientów biznesowych. Posiadały kilka losowych aplikacji, Google Chrome, najnowszego Edge oraz najnowsze aktualizacje. Jedna maszyna była dołączona do MDfE, druga z wyłączonym Defenderem miała zainstalowany Avast Business a ostatnia służyła mi jako stepping stone to łączenia się z nimi, tak żeby nie było bezpośredniego połączenia z mojego komputera. Zdecydowałem się na chociaż taką izolację, z prostego powodu – większość pomyślnie uruchomionych zagrożeń wysyła szczegółowe informacje o wszystkich połączeniach, adresach ip etc. i nie chciałem przesyłać danych mojej maszyny. 

Rozwiązania antywirusowe miały włączone wszystkie dostępne opcje, licząc również analizę sieciową oraz analizę w chmurze. Po każdej akcji restartowałem system i czekałem chwilę, z uwagi na czas analizy chmurowej i możliwość otrzymania informacji zwrotnych. Na każdym komputerze byłem zalogowany jako lokalny administrator z wyłączonym User Account Control, tak żeby dać pełną możliwość wykazania możliwości antywirusom. 

Testy na różnych etapach 

Muszę zaznaczyć, że Avast zaskoczył mnie już na etapie instalacji kiedy zerwał połączenie RDP z powodu podejrzanego adresu z którego zestawiłem połączenie – nie był z tej samej sieci i był nawiązany z publicznego adresu z innego kraju więc to zachowanie było jak najbardziej odpowiednie. 

Następnie Avast jako jedyny zerwał połączenie podczas pobierania próbek w formacie .tar.gz i wskazał dokładnie zagrożenie jakie znalazł analizując pobrany fragment. 

W trakcie rozpakowywania próbek Windows Defender znalazł 16,2% zagrożeń a Avast 30%, następnie przeskanowałem cały folder z plikami i tutaj Defender łącznie znalazł już 72%, podczas gdy Avast znalazł jedynie 45%. 

Następnym krokiem był element który jest najciekawszy, czyli próba uruchomienia zainfekowanych plików wykonywalnych. Tutaj niestety na niekorzyść Defendera naliczyłem pozostałych, nie odnalezionych około 40 które w większości można było uruchomić i wykonać do końca. Pojedyńcze zagrożenia wykrył, ale niestety w przypadku niektórych w konsoli zobaczyłem następujący komunikat: 

Oznacza to mniej więcej tyle że zagrożenie nie zostało usunięte i będzie wymagało minimum restartu do jego unieszkodliwienia. Nie było jasne czy fatycznie zostało jego zachowanie zablokowane i na jakim etapie. Około 20 nie zdiagnozował jako zagrożenia wcale. 

W przypadku Avasta sprawa miała się nieco inaczej – pozostały 4 pliki wykonywalne po skanowaniu, 2 z nich zostały uruchomione w lokalnym sandboxie oraz przesłane do analizy – jeden wrócił z negatywnym wynikiem z analizy, a drugi został lokalnie zdiagnozowany jako szkodliwy i zatrzymany. Niestety pozostały 2 które nie były zdiagnozowane wcale, ale to bardzo dobra informacja mając na uwadze łączną ilość. Po późniejszych testach, jak się okazuje – Avast uruchamia wszystkie zmodyfikowane pliki wykonywalne najpierw w sandboxie, a dopiero kiedy określi że są bezpieczne uruchamia je normalnie. Nie trafiłem na tzw. false positive z tym rozwiązaniem. 

Pozostałe pliki których Avast nie wykrył to dokumenty Word’a i Excel’a z makrami, problematyczne pliki RTF oraz pliki PDF z linkami. W przypadku Defendera to pozostały wszystkie dostarczone pliki Flash, ale wykrywalność dokumentów Office była na dużo lepszym poziomie. 

Z pozostałych funkcji – wczesne skanowanie przed startem systemu jest dostępne dla obu rozwiązań. 

Podsumowanie 

Porównując oba rozwiązania, mimo procentowo niższej wykrywalności, Avast wydaje się bardziej pożądanym, ponieważ efektywnie wykrywa pliki wykonywalne. Defender lepiej wykrywa problematyczne pliki Office i jeśli planujemy korzystać z Windows 10 w trybie S (jedynie aplikacje Microsoft i pobrane z Microsoft Store) jest na pewno lepszym rozwiązaniem. Być może właśnie tak został zaprojektowany – w korporacji można łatwiej spodziewać się ataku przez załączniki w mailu niż poprzez pobrane oprogramowanie. Nie można jednak ominąć faktu, że rozwiązanie to jest ponad dwukrotnie droższe, ale z poziomu konsoli oferuje również zdalną analizę zachowań oraz izolacje maszyny, które opisałem w poprzednim artykule. 

 

Powiązane posty

Projects & Consulting

Zwyciężanie to gra zespołowa, czyli jak efektywnie budować zespoły sprzedażowe

Date icon 2021-01-22

Wskazówki jak zharmonizować pracę zespołów przetargowych przy sprzedaży usług IT

Projects & Consulting

Budujemy pozytywną przyszłość i dbamy o zieloną planetę

Date icon 2020-11-26

Akcja sprzątania plaży i lasu nad Jeziorem Dobczyckim