Wie Kriminelle Antiviren- und Malware-Schutzprogramme umgehen

Eine Antiviren-Software gehört heutzutage zu jeder Schutzlösung für Endpoints wie Computer und Server dazu, ganz gleich, ob sie von Privatpersonen oder Unternehmen genutzt werden. Sie leistet einen wesentlichen Beitrag zum Schutz vor Cyberbedrohungen, ist aber nicht unfehlbar. Cyberkriminelle nutzen verschiedene Techniken, um Antiviren- und Malware-Schutzprogramme zu umgehen.

Wie funktionieren Antiviren-Programme?

Eine Antiviren-Software untersucht jede Datei, um festzustellen, ob sie eventuell schädlich ist. Und das muss schnell geschehen, damit die Nutzung des Geräts nicht beeinträchtigt wird. Zwei weit verbreitete Techniken, die in Antiviren-Lösungen zum Einsatz kommen, sind der heuristische und der signaturbasierte Scan:

Beim heuristischen Scan untersuchen Algorithmen die Funktionsweise einer Datei anhand von bekannten Mustern, um festzustellen, ob sich die Software verdächtig verhält.
Erfolgt der Scan signaturbasiert, wird die Form einer Datei untersucht. Dabei werden Zeichenfolgen und Muster mit bereits bekannten Beispielen von Malware verglichen.

Die Ersteller von Malware haben zwei Möglichkeiten mit einer Antiviren-Software zu interagieren: auf der Festplatte und im RAM. Ein typisches Beispiel für das Laden auf der Festplatte ist eine einfache ausführbare Datei. Auf der Festplatte bleibt der Antiviren-Software mehr Zeit die Datei zu scannen und zu analysieren. Wird sie dagegen im RAM geladen, muss es schnell gehen und die Wahrscheinlichkeit nimmt zu, dass die Malware erfolgreich ausgeführt werden kann.

Grenzen von Antiviren-Programmen

Eine Antiviren-Software ist zwar ein probates Mittel, um Systeme zu schützen, macht die Geräte aber letztlich nicht unangreifbar. In der Regel greift die Software auf eine Datenbank mit Malware-Signaturen zu, in der Beispiele von bereits identifizierter Malware hinterlegt sind. Jedes Mal, wenn ein neues Malware-Muster entdeckt wird, wird eine digitale Signatur dafür erstellt und zur Datenbank hinzugefügt. Damit besteht zwischen dem Auftreten einer neuen Malware und der Aktualisierung der Datenbank eine Lücke, in der das System anfällig ist. Dieser Zeitraum genügt der Malware unter Umständen, um weiteren Schaden anzurichten. Das bedeutet, dass Antiviren-Software zwar eine zusätzliche Sicherheitsebene bietet, aber nicht gegen alle Bedrohungen gefeit ist.

Darüber hinaus steigt die Zahl der Betriebssystem-unabhängigen Sprachen, die zum Schreiben von Malware verwendet werden können, so dass ein einziges Malware-Programm das Potential hat, eine noch größere Zielgruppe zu schädigen. Antiviren-Programme müssen ständig an die immer ausgeklügelteren Cyberbedrohungen angepasst werden. Da Hacker ihre Techniken zur Umgehung von Antiviren-Programmen ständig weiterentwickeln und auch die Sicherheitslandschaft als Ganzes immer komplexer wird, werden die Herausforderungen also eher größer als kleiner.

Umgehungstechniken gegen Antiviren-Programme

Um ihre Ziele zu erreichen, haben Cyberkriminelle ein ganzes Arsenal von Umgehungstechniken entwickelt. Dazu zählen:

Code-Verpackung und Verschlüsselung

Die meisten Würmer und Trojaner sind verpackt und verschlüsselt. Hacker nutzen für diese Komprimierung und Verschlüsselung spezielle Tools. Jede Internetdatei, die mit CryptExe, Exeref, PolyCrypt und anderen ähnlichen Tools verarbeitet wurde, stellte sich als schädlich heraus. Um komprimierte und verschlüsselte Würmer und Trojaner zu erkennen, muss das Antiviren-Programm entweder neue Dekomprimierungs- und Entschlüsselungsmethoden oder neue Signaturen für jede Variante einer Malware hinzufügen.

Mutierter Code

Indem Cyberkriminelle den Viruscode eines Trojaners mit Spam-Befehlen versehen, sodass der Code trotz seiner ursprünglichen Funktion anders wahrgenommen wird, versuchen sie, ihre Malware zu verschleiern. Manchmal geschieht diese Code-Mutation in Echtzeit – in (fast) allen Fällen, in denen Trojaner von einer infizierten Webseite heruntergeladen werden. Der E-Mail-Wurm „Warevoz“ nutzte diese Technik und verursachte einige verheerende Epidemie.

Stealth-Techniken

Rootkit-Technologien, die im Allgemeinen von Trojanern genutzt werden, können Systemfunktionen abfangen und ersetzen, um die infizierte Datei für das Betriebssystem und die Antiviren-Programme unsichtbar zu machen. Manchmal werden sogar die Registrierungspfade, unter denen sich der Trojaner befindet, und andere Systemdateien versteckt.

Blockierung von Antiviren-Programmen und -Updates

Viele Trojaner und Netzwerkwürmer suchen in der Liste aktiver Anwendungen aktiv nach Antiviren-Programmen auf dem Computer des Opfers. Wird ein Programm gefunden, versucht die Malware ...:

Die Antiviren-Software zu blockieren
Die Viren-Datenbanken zu beschädigen
Die Update-Prozesse der Antiviren-Software zu stören

Um die Malware zu entfernen, muss das Antiviren-Programm zunächst einmal sich selbst schützen, indem es die Integrität seiner Datenbanken kontrolliert und seine Prozesse vor Trojanern verbirgt.

Code-Maskierung auf einer Webseite

Antiviren-Anbieter erfahren schnell, welche Webseitenadressen Trojaner-Dateien enthalten. Einmal ermittelt, können ihre Virenanalysten den Inhalt der Seiten untersuchen und neue Malware zu ihren Datenbanken hinzufügen. Bei dem Versuch, den Antiviren-Scans zu entgehen, kann eine Webseite jedoch so modifiziert werden, dass bei Anfragen von Antiviren-Anbietern statt des Trojaners eine andere Datei heruntergeladen wird.

Massenangriffe

Bei einem Massenangriff werden in kurzer Zeit große Mengen neuer Trojaner-Versionen über das Internet verbreitet. So erhalten Antiviren-Anbieter Unmengen neuer Proben zur Analyse. Die Cyberkriminellen hoffen dabei darauf, dass sich durch die Analyse ein Zeitfenster öffnet, in dem ihr schädlicher Code die Computer ihrer Opfer infizieren kann.

Zero-Day-Bedrohungen

Ihr Antiviren-Programm wird regelmäßig aktualisiert. Das geschieht in der Regel als Reaktion auf eine Zero-Day-Bedrohung. Dabei handelt es sich um eine Malware, die eine Schwachstelle in der Software oder Hardware ausnutzt und von Cyberkriminellen in Umlauf gebracht wird, bevor die Sicherheitslücke geschlossen werden kann.

Dateilose Malware

Bei dieser relativ neuen Methode wird eine Malware auf einem Rechner zur Ausführung gebracht, ohne dass etwas auf dem betroffenen Gerät gespeichert werden muss. Dateilose Malware ist nur im RAM des Rechners aktiv, so dass sie auch von Antiviren-Scannern nicht erkannt wird. Die Malware wird beim Besuch einer infizierten Webseite nicht direkt übertragen. Vielmehr wird der Rechner über eine bekannte Schwachstelle in einem bestimmten Programm angewiesen, die Malware in einen Speicherbereich herunterzuladen, von wo aus sie dann ausgeführt wird. Was dateilose Malware so gefährlich macht, ist die Tatsache, dass der Speicher geleert wird, sobald die Malware ihr Werk vollbracht hat oder der Computer zurückgesetzt wird, und es keinen Beweis dafür gibt, dass je eine Malware installiert wurde.

Phishing

Phishing ist eine der häufigsten Techniken, die Cyberkriminelle einsetzen, um Informationen abzugreifen. Bei einem Phishing-Angriff täuscht der Angreifer seine Opfer meist mit einer E-Mail, die von einem vertrauenswürdigen oder bekannten Absender zu stammen scheint. Klickt der Nutzer dann nichtsahnend auf einen schädlichen Link oder lädt eine infizierte Datei herunter, öffnet er den Angreifern Tür und Tor zu seinem Netzwerk und allen darin gespeicherten vertraulichen Informationen. Antiviren-Programme können nur bekannte Bedrohungen erkennen und bieten keinen zuverlässigen Schutz vor neuen Varianten.

Browser-basierte Angriffe

Antiviren-Software hat keinen Zugang zum Betriebssystem, so dass sie gegen Angriffe, die über den Browser erfolgen, machtlos sind. Bei dieser Art von Angriff wird das Gerät mit schädlichen Skripten und Codes infiziert. Einige Browser sind mit Abwehrmechanismen ausgestattet, die derartige Angriffe verhindern sollen. Das funktioniert jedoch nur, wenn diese Tools durchgängig und richtig angewendet werden.

Payload-Verschlüsselung

Eine weitere Technik, mithilfe derer Malware Antiviren-Scanner umgehen kann, ist die Verschlüsselung der Payload. Dafür stehen Cyberkriminellen Tools zur Verfügung. Sobald die Malware ihren Bestimmungsort erreicht hat und scharf geschaltet ist, entschlüsselt sie sich selbst und entfaltet ihre schädliche Wirkung. Als Auslöser dient ein kleines Header-Programm, das gleich am Anfang des Virus-Codes steht. Dieses Programm wird von Antiviren-Scannern nicht als Bedrohung wahrgenommen, und der verschlüsselte Virus sind für die Schutzsoftware einfach nur Daten. Bei Auslösung des Headers (zum Beispiel durch Einbettung in eine vorhandene ausführbare Datei) wird die Malware in einen Speicherbereich entschlüsselt, der Befehlszähler in diesem Bereich wird übersprungen und die Malware ausgeführt.

So schützen Sie sich vor den Umgehungstechniken von Malware

Eine Antiviren-Software sollte Kernbestandteil einer jeden Cybersicherheitsstrategie sein. Wie in diesem Artikel jedoch dargelegt wurde, ist der Cyberschutz, den sie bietet, nicht allumfassend. Um optimale Sicherheit zu gewährleisten, sollte das Cybersicherheitssystem aus mehreren Stufen bestehen. Folgende Tools können Sie einsetzen, um Cyberkriminelle von Ihrem Netzwerk fernzuhalten:

Geräteverschlüsselung

Mit der Verschlüsselung von Geräten ist sichergestellt, dass niemand ohne das richtige Passwort oder den richtigen Schlüssel auf die Gerätedaten zugreifen kann. Selbst wenn das Gerät gestohlen oder mit Malware infiziert wird, kann eine ordnungsgemäße Verschlüsselung den unbefugten Zugriff verhindern.

Mehrfaktor-Authentifizierung

Bei der MFA müssen Nutzer mehr als eine Information eingeben, bevor sie auf Konten zugreifen können. Einer dieser Codes könnte beispielsweise zeitkritisch, also nur begrenzt gültig sein. Ein solches Anmeldeverfahren bietet mehr Sicherheit als ein reines Passwort. Vor allem wenn Sie sensible oder personenbezogene Daten oder Konten verwalten, ist eine MFA eigentlich unverzichtbar.

Password Manager

Passwörter sind wichtig, um Konten und Netzwerke zu schützen, sie müssen dafür aber auch sicher sein und dürfen nicht mehrmals vergeben werden. Ein sicheres Passwort besteht aus mindestens 15 Zeichen (idealerweise mehr) sowie einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Mithilfe eines Passwort-Managers, der als eine Art Tresor für eindeutige Passwörter dient und sie vor Hackern schützt, behalten Sie leichter den Überblick.

Schulungen zum Thema Cybersicherheit

Angesichts der zunehmenden Cyberkriminalität sollten Unternehmen ihre Mitarbeiter über die Risiken von Cyberangriffen und das richtige Verhalten im Falle eines Falles aufklären. Im Rahmen von Sensibilisierungskursen zur aktuellen Bedrohungslandschaft lernen Ihre Mitarbeiter, woran sie verdächtige Aktivitäten wie Phishing-Mails etc. erkennen.

Endpoint Detection and Response

Eine EDR-Lösung behält Ihr Netzwerk und Ihre Endpoints ständig im Blick und protokolliert alle Vorgänge. Neben automatischen Warnhinweisen und Abhilfemaßnahmen für die Endpoints liefern EDR-Technologien alle benötigten Daten, damit Ihr Sicherheitsteam die Art eines Cyberangriffs ermitteln kann.

Cyberkriminelle setzen in der Regel auf mehr als eine Umgehungstechnik gegen Antiviren-Programme. Um die Erfolgschancen ihrer Malware zu erhöhen, ist diese meist so konzipiert, dass sie sich in verschiedenen Situationen durchsetzen kann. Die gute Nachricht ist, dass die Sicherheits-Community wachsam ist, immer wieder neue Techniken entlarvt, mit denen Antiviren-Software und Malware-Schutzprogrammen ausgetrickst werden sollen, und neue Gegenmaßnahmen entwickelt.

Weitere Artikel:

Weitere Produkte:

Kaspersky Endpoint Security

Wie Cyberkriminelle versuchen den Virenschutz zu umgehen

Kaspersky

Antiviren-Software ist ein wichtiger Bestandteil der Cybersicherheit, wird aber gelegentlich erfolgreich umgangen. In diesem Artikel erfahren Sie alles Wissenswerte über Umgehungstechniken, mit denen Antiviren- und Malware-Schutzprogramme ausgetrickst werden.