AV-C第一份EDR测试报告出炉！

该测试包括一个由14个步骤和几个子步骤组成的完整攻击场景，以及信噪比评估。测试产品配置为仅检测模式，以准确评估其识别攻击步骤中使用的每种技术的能力。

值得注意的是，没有供应商提前知道测试中将使用哪种APT威胁模型、攻击链技术或执行流。每个产品都是盲目评估的，这意味着供应商事先不知道确切的攻击顺序。这种方法确保了他们的产品在面对未知的高级持续性威胁（APT）时的真实模拟。未来的测试场景不会完全相同，可能会随着时间的推移而演变，以确保对所有测试供应商进行平衡和公平的评估。

除了主要的攻击场景外，还设计了五种不同的信噪比场景来衡量过度警报和噪声。通过将信噪比测试与主要攻击场景脱钩，组织可以更清楚地了解信噪比（过度警报）的影响，而不会将其与实际攻击指标混为一谈。这种分离不仅确保了对EDR检测能力的更准确评估，还有助于防止由无关的信噪比场景引发的不必要的调查。最终，这种方法减少了运营开销，提高了威胁检测和响应的效率。

为了获得认证，产品必须检测到至少三分之二的测试步骤（通过主动响应或遥测），同时在信噪比场景中生成不超过三个警报。只有经过认证的产品才会发布报告并授予认证标志。

测试设置包括一个包含Windows 11工作站/客户端的内部环境，以及一个文件服务器和一个域控制器，两者都运行Windows server 2022。对于我们的命令和控制（C&C）基础设施，我们使用了Microsoft Azure，将Empire部署为Kali Linux VM上的C&C服务器。为了增强安全性，我们实现了一个重定向器，它将流量从Empire植入物/有效载荷转发到C&C服务器，增加了一层额外的混淆。

为了将鱼叉式网络钓鱼电子邮件发送到内部实验室的目标机器（WS01），测试团队选择了一种简单的方法，即使用Gmail账户。

在初始访问阶段，创建了一个名为Zoom-Plugin-2025.01.23.cpl的恶意负载以Empire的x64外壳代码为基础，手动创建了一个恶意代码。CPL文件。此有效载荷托管在pCloud上，下载链接嵌入在一封鱼叉式网络钓鱼电子邮件中，旨在诱骗目标执行它。

测试流程

测试的目标是根据我们自己的经验模拟红队攻击场景，并结合APT41或Wizard Spider等高级持久性威胁（APT）的一些影响。然而，今年，我们选择不太关注模仿或复制单个APT组织的操作。相反，我们采用了一种更广泛的方法，强调我们在过去的交战中经常遇到或使用的战术、技术和程序（TTP），以及普通组织在现实世界的攻击场景中可能面临的那些。

我们认为，关注特定的APT组并不总是有效测试所必需的。虽然这种基于APT的模拟可能很有价值，但我们的主要目标是创建反映各种潜在威胁的真实攻击场景。这种方法使我们能够更好地评估EDR产品在识别和应对各种攻击技术方面的检测能力，提供广泛适用于各种组织的可操作见解。

为了确保评估的真实性，测试产品供应商没有提前获悉测试期间使用的选定技术。这种方法反映了现实世界的情况，APT组织不会预先通知供应商他们将部署的具体攻击技术。通过让供应商不知道攻击顺序，我们可以更准确地衡量他们的EDR解决方案检测和应对以前看不见的威胁的能力。

AV-Comparatives于2025年1月进行了EDR检测验证测试，报告于2025年3月发布。作为第一份此类报告，它是一项试点测试，为未来的此类评估铺平了道路。卡巴斯基是第一个接受参与邀请的供应商，面临着在没有其他供应商事先基准的情况下进行评估的挑战。