Beim „Advanced In-the-Wild Malware Test“ im Mai 2026 stellte die AVLab Cybersecurity Foundation 14 Sicherheitslösungen gegenüber 360 einzigartigen Malware-Beispielen auf den Prüfstand. Emsisoft Enterprise Security + EDR erkannte 100 % davon und sicherte sich damit bei einem Grenzwert von 99,6 % das Zertifikat „Excellent“.
Dieser Testlauf unterstrich erneut den vermehrten Einsatz regulärer Windows-Dienste (LOLBins) sowie die Bedeutung von Telemetrie und der Rückverfolgung von Vorfällen.
Die zunehmende Rolle von LOLBins in modernen Angriffen
Der Test im Mai bestätigte erneut, dass Cyberkriminelle verstärkt legitime Systemkomponenten einsetzen, um die Erkennung zu umgehen. Zu den am häufigsten aufgerufenen LOLBins gehören:
svchost.exe: 19 230certutil.exe: 11 348sh.exe: 5 102taskhostw.exe: 4 050rundll32.exe: 2 695taskkill.exe: 2 060
Diese Dienste wurden ausgenutzt, um Dateien herunterzuladen, Befehle auszuführen und mit der Infrastruktur der Angreifer zu kommunizieren. Bei der Analyse traten auch weniger gebräuchliche Dienste ins Blickfeld, wie tor.exe (1 466 Vorkommnisse), curl.exe, sftp.exe, ssh.exe, ftp.exe, nslookup.exe, git.exe und msbuild.exe.
Das häufige Vorkommen der tor.exe deutet darauf hin, dass Angreifer aktiv ihren Netzwerkverkehr anonymisieren, um eine Analyse der Infrastruktur zu erschweren. Darüber hinaus stellt die native Integration von Linux-Befehlen über Coreutils-Tools in Microsoft eine neue Angriffsmethode dar, mit der sich AVLab in zukünftigen Testläufen näher befassen wird.
Der beständige Einsatz von LOLBins zeigt, dass eine allein auf Prozessen basierte Erkennung nicht mehr ausreicht. Um schädliche Aktivitäten von herkömmlichen Systemprozessen unterscheiden zu können, sind Verhaltensanalysen und umfangreiche Telemetrie erforderlich.
Bedrohungslandschaft und Zusammenstellung der Beispiele
Beim Test im Mai 2026 kamen 360 Malware-Beispiele zum Einsatz, wovon 318 per HTTP und 42 per HTTPS verteilt wurden. Die kompromittierten Server befanden sich hauptsächlich in den USA (179), Deutschland (51) und China (30).
Die Bereitstellung über HTTPS bleibt eine Herausforderung für rufbasierte Erkennungsmechanismen. SSL-Zertifikate deuten auf Verschlüsselung hin, nicht auf Sicherheit. Angreifer nutzen zunehmend auch verschlüsselte Kanäle, um Payloads bereitzustellen. Derartig ausgelieferte Malware beweisen, dass auf URL-Ruf und Sperrlisten basierende Ansätze ihre Grenzen haben, da es Zeit braucht, bis diese Informationen allgemein bekannt sind.
Emsisofts Leistung: Erkennung und Sichtbarkeit
Emsisoft Enterprise Security + EDR hat alle 360 Beispiele blockiert und folglich eine Erkennungsrate von 100 % erzielt, womit es sich das AVLab-Zertifikat „Excellent“ gesichert hat.
Aufteilung der Abwehr
- Schutz auf Internetebene (vor dem Ausführen): 84,72 %
- Abwehr während der Laufzeit (nach dem Ausführen): 15,28 %
Bereinigungszeit
Durchschnittlich 2,69 Sekunden – Dieser Wert gibt an, wie lange es dauert, die Bedrohung zu neutralisieren und das System wiederherzustellen, wozu auch das Entfernen schädlicher Rückstände und das Zurücksetzen von Systemänderungen zählen.
Das Produkt wurde mit seiner Standardkonfiguration getestet: Werkseinstellungen mit automatischer PUP-Reparatur sowie EDR , Rollback -Funktion und Browserschutz aktiviert. Damit wird gezeigt, was Anwender bei Nutzung ohne weitere Konfiguration von dem Produkt erwarten können.
Den vollständigen Bericht können Sie hier (auf Englisch) nachlesen.
Testablauf und Konformität
Der „Advanced In-the-Wild Malware Test“ wird sechs Mal pro Jahr durchgeführt. Jeder Testlauf bewertet Produkte basierend auf der Simulation einer vollständigen Angriffskette mit drei Phasen:
- Schutz auf Internetebene (vor dem Ausführen): In dieser Phase wird überprüft, ob die Lösung Bedrohungen blockiert, bevor sie ausgeführt werden, unter anderem auf Netzwerkebene, während des Herunterladens oder beim ersten Zugriff auf eine bösartige Quelle.
- Abwehr während der Laufzeit (nach dem Ausführen): Hier wird bewertet, wie das Produkt reagiert, wenn der Code ausgeführt wird. Diese Phase spiegelt Zero-Day- und dateilose Angriffe wider.
- Bereinigungszeit: Für diese Wertung wird gemessen, wie lange eine vollständige Reaktion auf den Angriff (einschließlich Neutralisierung der Bedrohung und Wiederherstellung des Systems) dauert und wie wirkungsvoll diese ist.
Bei dem Test kommen Beispiele von echten Malwares zum Einsatz, die über aktive URLs, öffentliche Feeds, Honeypods und überwachte Kanäle gesammelt wurden. Jedes Beispiel wird vor dem Testlauf einem Vergleich des SHA-256-Hashs unterzogen, um Duplikate zu vermeiden, anhand YARA-Regeln statisch analysiert und in Windows 11 dynamisch ausgeführt, um zu überprüfen, ob es tatsächlich schädlich ist.
AVLab ist Mitglied der Anti-Malware Testing Standards Organization (AMTSO) und erfüllt die Anforderungen der Microsoft Virus Initiative (MVI).
Fazit
Die Ergebnisse des AVLab-Tests im Mai 2026 bestätigen erneut, dass Emsisoft Enterprise Security + EDR durch das Blockieren aller 360 Malware-Beispiel weiterhin den erhöhten Zertifizierungsgrenzwert von 99,6 % einhält.
Indem Angreifer vermehrt legitime Systemdienste und verschlüsselte Kommunikationskanäle einsetzen, kommt der Qualität der Telemetrie und Rückverfolgung von Vorfällen eine ebenso wichtige Rolle zu wie der Erkennung selbst.
Übersetzung: Doreen Schäfer