In der heutigen digitalen Welt ist Antivirus-Software ein entscheidender Bestandteil der Sicherheit für Endpunkte wie Computer und Server, von einzelnen Benutzern bis hin zu großen Unternehmen. Sie bietet eine wichtige Verteidigung gegen Cyberbedrohungen, ist jedoch nicht unfehlbar. Cyberkriminelle entwickeln ständig neue Methoden, um Antivirus-Software zu umgehen und Malware zu verstecken. Ein tiefes Verständnis dieser “Antivirus-Umgehungstechniken” ist entscheidend für jeden, der seine digitale Sicherheit ernst nimmt.
Wie funktioniert Antivirus-Software?
Das Ziel von Antivirus-Software ist es, schnell zu erkennen, ob eine Datei bösartig ist, um die Benutzererfahrung nicht zu beeinträchtigen. Zwei weit verbreitete Methoden, die Antivirus-Lösungen zur Suche nach bösartiger Software verwenden, sind heuristische und signaturbasierte Scans:
- Heuristische Scans untersuchen die Funktion einer Datei und verwenden Algorithmen und Muster, um festzustellen, ob die Software verdächtige Aktionen ausführt. Sie versuchen, unbekannte Bedrohungen basierend auf ihrem Verhalten zu identifizieren.
- Signaturbasierte Scans untersuchen die Form einer Datei und suchen nach Zeichenketten und Mustern, die bekannten Malware-Samples entsprechen. Diese Methode ist effektiv gegen bereits identifizierte Bedrohungen.
Malware-Entwickler können auf zwei Arten mit Antivirus-Software interagieren: auf der Festplatte oder im Arbeitsspeicher. Auf der Festplatte, beispielsweise bei einer einfachen ausführbaren Datei, hat Antivirus mehr Zeit, die Datei zu scannen und zu analysieren. Wird die Malware jedoch direkt im Arbeitsspeicher geladen, hat die Antivirus-Software weniger Zeit zur Interaktion, und die Malware hat tendenziell größere Chancen, erfolgreich ausgeführt zu werden.
Grenzen der Antivirus-Software
Obwohl Antivirus-Software eine empfohlene Methode zur Sicherung von Systemen ist, macht sie Geräte letztendlich nicht unhackbar. Ein typisches Antivirus-Programm verwendet eine Datenbank von Malware-Signaturen, die aus zuvor identifizierter Malware besteht. Immer wenn ein neues Malware-Sample entdeckt wird, wird eine digitale Signatur dafür erstellt und der Datenbank hinzugefügt. Das bedeutet, es gibt eine vulnerable Periode zwischen der Verbreitung neuer Malware und der Aktualisierung der Antivirus-Datenbanken. In dieser Zeit kann die Malware potenziell großen Schaden anrichten. Antivirus-Software bietet also eine zusätzliche Sicherheitsebene, mindert Bedrohungen aber nicht vollständig.
Darüber hinaus nimmt die Anzahl der betriebssystemunabhängigen Sprachen, die zum Schreiben von Malware verwendet werden können, zu, was bedeutet, dass ein einzelnes Malware-Programm potenziell ein breiteres Publikum erreichen kann. Da Cyberbedrohungen immer ausgeklügelter werden, müssen sich Antivirus-Programme weiterentwickeln, um Schritt zu halten. Angesichts der Tatsache, dass Hacker ihre Techniken zur Umgehung von Antivirus-Programmen ständig weiterentwickeln und die heutige Sicherheitslandschaft komplex ist, stellt dies eine große Herausforderung dar.
Antivirus-Umgehungstechniken im Detail
Um ihre Ziele zu erreichen, haben Cyberkriminelle eine Reihe von Antivirus-Umgehungstechniken entwickelt. Diese umfassen:
Code-Packing und Verschlüsselung
Die Mehrheit der Würmer und Trojaner ist gepackt und verschlüsselt. Hacker entwickeln auch spezielle Dienstprogramme zum Packen und Verschlüsseln. Jede Internetdatei, die mit CryptExe, Exeref, PolyCrypt und einigen anderen Dienstprogrammen verarbeitet wurde, wurde als bösartig befunden. Um gepackte und verschlüsselte Würmer und Trojaner zu erkennen, muss das Antivirus-Programm entweder neue Entpack- und Dekodiermethoden oder neue Signaturen für jedes Sample eines bösartigen Programms hinzufügen.
Code-Mutation
Indem Cyberkriminelle den Code eines Trojaners mit Spam-Anweisungen mischen – sodass der Code ein anderes Aussehen annimmt, obwohl der Trojaner seine ursprüngliche Funktionalität beibehält – versuchen sie, ihre bösartige Software zu tarnen. Manchmal findet die Code-Mutation in Echtzeit statt – bei allen oder fast allen Gelegenheiten, bei denen der Trojaner von einer infizierten Website heruntergeladen wird. Der Warezov-Mailwurm nutzte diese Technik und verursachte ernsthafte Probleme für Benutzer.
Stealth-Techniken
Rootkit-Technologien, die im Allgemeinen von Trojanern eingesetzt werden, können Systemfunktionen abfangen und ersetzen, um die infizierte Datei für das Betriebssystem und Antivirus-Programme unsichtbar zu machen. Manchmal werden sogar die Registrierungszweige, in denen der Trojaner registriert ist, und andere Systemdateien versteckt.
Blockieren von Antivirus-Programmen und Datenbank-Updates
Viele Trojaner und Netzwerk-Würmer suchen aktiv nach Antivirus-Programmen in der Liste der aktiven Anwendungen auf dem Opfercomputer. Die Malware versucht dann:
- Die Antivirus-Software zu blockieren
- Die Antivirus-Datenbanken zu beschädigen
- Die korrekte Funktion der Update-Prozesse der Antivirus-Software zu verhindern
Um die Malware zu besiegen, muss das Antivirus-Programm sich selbst verteidigen, indem es die Integrität seiner Datenbanken kontrolliert und seine Prozesse vor den Trojanern verbirgt.
Maskierung des Codes auf Websites
Antivirus-Anbieter lernen schnell die Adressen von Websites, die Trojaner-Dateien enthalten – und ihre Virenanalysten untersuchen dann den Inhalt dieser Sites und fügen die neue Malware ihren Datenbanken hinzu. Um jedoch Antivirus-Scans zu bekämpfen, kann eine Webseite modifiziert werden – so dass, wenn Anfragen von einer Antivirus-Firma gesendet werden, eine nicht-Trojaner-Datei anstelle eines Trojaners heruntergeladen wird.
Mengenangriffe (Quantity Attacks)
Bei einem Mengenangriff werden innerhalb kurzer Zeit große Mengen neuer Trojaner-Versionen im Internet verbreitet. Infolgedessen erhalten Antivirus-Firmen riesige Mengen neuer Samples zur Analyse. Der Cyberkriminelle hofft, dass die Zeit, die für die Analyse jedes Samples benötigt wird, seinem bösartigen Code eine Chance gibt, in die Computer der Benutzer einzudringen.
Zero-Day-Bedrohungen
Ihre Antivirus-Software wird regelmäßig aktualisiert. Dies geschieht in der Regel als Reaktion auf eine Zero-Day-Bedrohung. Dies ist eine Malware-Umgehungstechnik, bei der ein Cyberkrimineller eine Software- oder Hardware-Schwachstelle ausnutzt und dann Malware freigibt, bevor ein Antivirus-Programm sie patchen kann.
Dateilose Malware (Fileless Malware)
Dies ist eine neuere Methode zur Ausführung von Malware auf einem Computer, die erfordert, dass nichts auf dem Zielcomputer gespeichert wird. Dateilose Malware operiert vollständig im Arbeitsspeicher des Computers, wodurch sie Antivirus-Scanner umgehen kann. Der Besuch einer infizierten Webseite liefert die Malware nicht direkt. Stattdessen nutzt sie eine zuvor bekannte Schwachstelle in einem verwandten Programm, um den Computer anzuweisen, die Malware in einen Speicherbereich herunterzuladen – und von dort wird sie ausgeführt. Was dateilose Malware so gefährlich macht, ist, dass, sobald die Malware ihre Arbeit erledigt hat oder der Computer zurückgesetzt wird, der Speicher gelöscht wird und es keine Beweise dafür gibt, dass ein Krimineller Malware installiert hat.
Phishing
Phishing ist eine der häufigsten Antivirus-Umgehungstechniken, die Cyberkriminelle verwenden, um Informationen zu stehlen. Bei einem Phishing-Angriff täuscht der Angreifer Opfer, indem er sich als vertrauenswürdige oder bekannte Quelle ausgibt. Wenn Benutzer auf einen bösartigen Link klicken oder eine infizierte Datei herunterladen, können Angreifer Zugang zu ihrem Netzwerk erhalten und dann sensible Informationen stehlen. Antivirus-Software kann nur bekannte Bedrohungen erkennen und ist gegen neue Varianten nicht zuverlässig wirksam.
Browserbasierte Angriffe
Antivirus-Software hat keinen Zugriff auf Betriebssysteme, die browserbasierte Angriffe umgehen können. Diese Angriffe infizieren Ihr Gerät mithilfe bösartiger Skripte und Codes. Um diese Angriffe zu verhindern, enthalten einige Browser integrierte Verteidigungswerkzeuge, müssen aber konsequent und korrekt verwendet werden, um wirksam zu sein.
Kodierung der Payload
Eine weitere Technik, mit der Malware Antivirus-Scanner umgeht, ist die Kodierung der Payload. Cyberkriminelle verwenden oft Tools, um dies manuell zu tun, und wenn die Malware geliefert und aktiviert wird, wird sie dann dekodiert und richtet ihren Schaden an. Dies geschieht in der Regel über ein kleines Header-Programm, das an der Vorderseite des kodierten Virus angebracht wird. Antivirus-Scanner nehmen dieses Programm nicht als Bedrohung wahr, und der kodierte Virus wird einfach als Daten betrachtet. Wenn der Header ausgelöst wird (zum Beispiel durch Einbettung in eine vorhandene ausführbare Datei), dekodiert er die Malware in einen Speicherbereich und springt dann den Programmzähler zu diesem Bereich und führt die Malware aus.
Ein Mann sitzt vor einem Computer und arbeitet
Wie Sie sich vor Malware-Umgehungstechniken schützen können
Der Einsatz von Antivirus-Software sollte ein Kernbestandteil Ihrer gesamten Cybersicherheitsstrategie sein – aber, wie dieser Artikel zeigt, sollten Unternehmen sich nicht ausschließlich darauf verlassen. Um optimale Sicherheit zu gewährleisten, ist es am besten, in einen mehrschichtigen Ansatz der Cybersicherheit zu investieren. Zusätzliche Tools, die Sie verwenden können, um Cyberkriminelle aus Ihrem Netzwerk fernzuhalten, umfassen:
Geräteverschlüsselung
Die Verschlüsselung von Geräten stellt sicher, dass niemand ohne das richtige Passwort oder den richtigen Schlüssel auf die enthaltenen Daten zugreifen kann. Selbst wenn ein Gerät gestohlen oder mit Malware infiziert wird, kann eine ordnungsgemäße Verschlüsselung unbefugten Zugriff verhindern.
Multi-Faktor-Authentifizierung (MFA)
MFA erfordert von Benutzern die Eingabe von mehr als einer Information, um auf Konten zuzugreifen, z. B. einen zeitlich begrenzten Code. Dies bietet eine höhere Sicherheit als das bloße Verlassen auf ein Passwort. Dies ist besonders wichtig, wenn Sie sensible oder persönliche Informationen auf Geräten oder Konten haben.
Passwort-Manager
Passwörter sind wichtig, um Konten und Netzwerke sicher zu halten, aber es ist entscheidend, starke Passwörter zu verwenden, die für jedes Konto einzigartig sind. Ein starkes Passwort ist mindestens 15 Zeichen lang (idealerweise mehr) und besteht aus einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen. Passwort-Manager können Ihnen helfen, den Überblick zu behalten – sie sind ein sicherer Tresor für einzigartige Passwörter und schützen diese vor Hackern.
Schulungen zum Cybersicherheitsbewusstsein
Angesichts der zunehmenden Cyberkriminalität sollten Unternehmen ihre Mitarbeiter über die Risiken von Cyberangriffen sowie den Umgang damit im Falle eines Falles schulen. Indem Sie Benutzer über die Cyberbedrohungslandschaft aufklären, können Sie ihnen helfen, verdächtige Aktivitäten wie Phishing-E-Mails usw. zu erkennen.
Endpoint Detection and Response (EDR)
Eine EDR-Lösung überwacht das Verhalten des Netzwerks und der Endpunkte und speichert diese Protokolle. EDR-Technologien können dem Sicherheitspersonal die Daten liefern, die es benötigt, um die Art eines Cyberangriffs zu verstehen, und automatisierte Warnungen und Endpunkt-Remediation bereitstellen.
Cyberkriminelle verwenden normalerweise nicht nur eine Antivirus-Umgehungstechnik allein. Im Gegenteil: Malware ist darauf ausgelegt, verschiedene Situationen zu bewältigen, um ihre Erfolgschancen zu maximieren. Die gute Nachricht ist, dass die Sicherheitsgemeinschaft wachsam ist, ständig neue Antivirus- und Malware-Umgehungstechniken erforscht und neue Präventionsmethoden entwickelt. Schützen Sie sich durch einen umfassenden Ansatz, der über den reinen Virenschutz hinausgeht.