Analiza ochrony systemów przed aktywnym malware online – lipiec 2025

Wykonana kolejna już edycja badania z serii Advanced In-The-Wild Malware Test w lipcu 2025 wnosi kilka zmian. Po pierwsze producenci testowanych rozwiązań bezpieczeństwa będą otrzymywać od tej edycji nadprogramowe rozszerzone logi w postaci drzewa zdarzeń ze skorelowanych ze sobą procesów, nowo utworzonych i skasowanych plików, wykonanych poleceń w terminalu, połączeń internetowych oraz inne instrukcje zrealizowane przez złośliwe oprogramowanie. Pozwoli to szybciej i łatwiej analizować to, co działo się na styku działania malware i reakcji testowanego pakietu bezpieczeństwa. Logi te mogą być także rozszerzonym dowodem na brak odpowiedzi silnika antywirusowego/EDR na malware:

Dodatkowo pod koniec czerwca 2025 zaktualizowaliśmy systemy operacyjne Windows 11 do wersji najnowszych, aby podczas testów korzystać z możliwe najbardziej aktualnych buildów Windows 11. Pozostałe programy są także aktualizowane na bieżąco podczas samych testów, co opisuje krok po kroku nasza metodologia. W końcu po trzecie od tej edycji przechwytujemy informacje od jeszcze większej liczby LOLBINs – legalnych narzędzi i procesów Microsoft, które mogą być używane przez malware do ukrywania się albo pobierania kolejnych złośliwych programów, skryptów.

Wyniki w lipcu 2025

W lipcu przetestowaliśmy 16 rozwiązań do domowego i biznesowego zastosowania pod kątem wykrywania i neutralizowania zagrożeń online spotykanych na co dzień w Internecie. Adresy URL prowadzące do szkodliwych plików pozyskujemy z różnych miejsc. Są to komercyjne i darmowe feedy, komunikatory, fora internetowe, honeypoty.

Nasze testy są zgodne z wytycznymi Anti-Malware Testing Standards Organisation. Szczegóły na temat badania dostępne są na tej stronie, a także w naszej metodologii.

Jakie rozwiązania testowaliśmy w lipcu 2025?

Jakich używamy ustawień?

Chociaż w naszych testach staramy się unikać próbek typu PUP i PUA (potencjalnie niepożądanych aplikacji, które nie są w 100% malware), zalecamy włączenie funkcji ochrony przed tego typu zagrożeniami — sami również zawsze ją aktywujemy.

Podczas konfiguracji systemu zabezpieczającego zwracamy uwagę, aby jeżeli to możliwe, korzystać z dedykowanego rozszerzenia do przeglądarki. Dodatkowo ustawiamy testowany program ochronny w taki sposób, by automatycznie reagował na incydenty poprzez ich blokowanie, usuwanie lub naprawianie skutków (przechwytujemy takie akcje dzięki specjalnego systemu do testowania).

Na podstawie wielu dotychczasowych testów zauważamy, iż ustawienia domyślne są zwykle dobre, ale nie zawsze zapewniają optymalny poziom ochrony. Dlatego dla pełnej przejrzystości informujemy o wszystkich modyfikacjach konfiguracji – zarówno te, które mają na celu zwiększenie skuteczności, jak i te wymagane przez producenta danego oprogramowania. Przy czym taka zmiana ustawień nie zawsze jest konieczna i nie zawsze możliwa z powodu braku dostępności dodatkowych opcji konfiguracyjnych.

Rozwiązania klasy Enterprise

Rozwiązania dla konsumentów i małych firm

Badanie Advanced In-The-Wild Malware Test

Jak oceniamy i jak długo trwa?

​W roku kalendarzowym przeprowadzamy 6 edycji badań, które kończą się dużym podsumowaniem mającym na celu przyznanie nagród najlepszym rozwiązaniom na rynku. W każdej z sześciu edycji oceniamy skuteczność testowanych produktów bezpieczeństwa dla firm i dla konsumentów z uwzględnieniem 3 kluczowych parametrów:

1. PRE_EXECUTION – oceniamy, czy zagrożenie zostało zidentyfikowane i zablokowane na wczesnym etapie, zanim jeszcze doszło do jego uruchomienia. Może to obejmować blokadę strony internetowej, blokadę pobieranego pliku lub blokadę podczas próby zapisu, podczas próby pierwszego dostępu do pliku.
   
   
2. POST_EXECUTION – sprawdzamy, czy złośliwe oprogramowanie, które zostało pobrane i uruchomione w systemie, zostało rozpoznane i zatrzymane podczas bardziej zaawansowanej analizy. Ten etap symuluje najgroźniejszy scenariusz, czyli atak 0-day, w którym malware zostało już uruchomione przez użytkownika.
   
   
3. REMEDIATION TIME – mierzymy czas, jaki upływa od momentu pojawienia się zagrożenia w systemie do jego całkowitego usunięcia oraz naprawy skutków incydentu. Ten parametr ściśle wiąże się z poprzednimi i pozwala ocenić, jak gwałtownie i skutecznie oprogramowanie radzi sobie z eliminacją zagrożeń.

Analizując wyniki, należy uwzględnić fakt, iż testowane rozwiązania miały do dyspozycji aktywne połączenie internetowe oraz wszystkie dostępne moduły służące do skanowania i klasyfikowania pobieranych plików. Niektóre z rozwiązań stosują blokowanie pliku w przeglądarce do czasu zakończenia analizy w chmurze, inne natomiast opierają się na reputacji pliku i — w przypadku niskiej popularności — obserwują jego działanie aż do wystąpienia pierwszych podejrzanych zachowań, takich jak nawiązanie połączenia z C&C czy zapisanie plików w katalogu TEMP.

Testy z serii Advanced In-The-Wild Malware Test odzwierciedlają rzeczywistą skuteczność systemu w ochronie przed zagrożeniami pobieranymi z Internetu za pośrednictwem przeglądarki. Należy jednak pamiętać, iż poziom ochrony może się nieznacznie różnić w sytuacjach, gdy zagrożenie przedostaje się do systemu innym wektorem na przykład przez pocztę e-mail, komunikatory, urządzenia USB lub katalogi sieciowe.

Niektóre z testowanych rozwiązań nie wykryły od jednej do kilkunastu próbek malware. W przypadku Aura rozwiązanie jest stosunkowo nowe na rynku, na pewno z mniejszym stażem niż konkurencja, zatem to zrozumiałe, iż silnik nie pozostało na tyle wytrenowany, aby wyłapać wszystkie popularne zagrożenia znalezione w sieci. Niewystarczająca liczba użytkowników Aura także może mieć wpływ na wynik, gdy mowa o kolektywnej ochronie – udostępnianiu danych telemetrycznych z urządzeń producentowi. Zaskoczeniem jest także wynik Comodo i Xcitium, ponieważ oba rozwiązania nie zablokowały po jednym (tym samym) zagrożeniu, które zostało wcześniej zakwalifikowane przez producenta jako False Negative: błędnie oznaczone przez człowieka jako bezpieczne w chmurze producenta, co mogło mieć wpływ na globalną odpowiedź dla stacjach roboczych.

Na koniec warto dodać, iż chociaż pojedynczy incydent może wydawać się statystycznie nieistotny, to w rzeczywistości może reprezentować nieznane wcześniej zagrożenie 0-day. Tego typu atak jest w stanie ominąć mechanizmy ochronne zainstalowanego systemu ochronnego. Czasami choćby najlepsze technologie nie mogą się równać z błędem ludzkim, co w konsekwencji może skutkować infekcją systemu, zaszyfrowaniem danych, kradzieżą informacji lub innym niepożądanym działaniem.

Więcej o Advanced In-The-Wild Malware Test

Badanie realizowane jest cyklicznie sześć razy w roku i koncentruje się na ocenie skuteczności rozwiązań ochronnych w wykrywaniu i blokowaniu złośliwego systemu działającego w środowisku systemu Windows 11. Celem badania jest identyfikacja silnych i słabych stron testowanych rozwiązań w zakresie wykrywania i neutralizacji aktywnie występujących w w Internecie zagrożeń. Testowi towarzyszy również gromadzenie danych telemetrycznych, które pozwalają na analizę aktualnego krajobrazu zagrożeń oraz technik najczęściej wykorzystywanych przez cyberprzestępców w atakach ukierunkowanych i masowych.

Więcej o AVLab Cybersecurity Foundation

AVLab Cybersecurity Foundation to ceniona organizacja działająca w ramach AMTSO (Anti-Malware Testing Standards Organization) oraz Microsoft Virus Initiative (MVI). Specjalizuje się w podnoszeniu poziomu bezpieczeństwa cyfrowego poprzez szczegółowe testy i analizy rozwiązań zabezpieczających. Eksperci AVLab stosują zaawansowane i realistyczne metody oceny skuteczności systemu ochronnego w rzeczywistych warunkach zagrożeń. Organizacja regularnie aktualizuje swoje protokoły testowe, dzięki czemu dostarcza rzetelne i wartościowe raporty z zakresu cyberbezpieczeństwa, wspierając zarówno użytkowników indywidualnych, jak i przedsiębiorstwa w podejmowaniu świadomych decyzji dotyczących ochrony ich systemów.