I dag er antivirussoftware et afgørende aspekt af sikkerheden for slutpunkter, herunder computere og servere, lige fra individuelle brugere til store organisationer. Antivirussoftware er et vigtigt forsvar mod cybertrusler, men er ikke ufejlbarligt. Der cyberkriminelle bruger forskellige teknikker til at omgå antivirus og undgå malware.
Hvordan virker antivirus?
Målet med antivirussoftware er at afgøre, om en fil er skadelig – og det skal gøres hurtigt for at undgå at påvirke brugerens oplevelse. Antivirusløsninger bruger to meget udbredte metoder til at søge efter skadelig software, heuristiske og signaturbaserede scanninger:
- Heuristisk-baseret scanning undersøger en fils funktion ved hjælp af algoritmer og mønstre for at fastslå, om softwaren gør noget mistænkeligt
- Signaturbaseret scanning undersøger formen af en fil, leder efter strenge og mønstre, der matcher kendte malwareprøver
Malware-skabere kan vælge at interagere på to måder med antivirus – den ene er på disk og den anden er i hukommelsen. På disk vil et typisk eksempel være en simpel eksekverbar fil. Antivirus har mere tid til at scanne og analysere en fil på disken. Hvis den er indlæst i hukommelsen, har en antivirus mindre tid til at interagere, og generelt er det mere sandsynligt, at malwarefilen eksekveres.
Antivirusbegrænsninger
Selvom antivirussoftware er en anbefalet måde at holde systemerne sikre på, kan det i sidste ende ikke sikre enheder mod at blive hacket. Et typisk antivirusprogram bruger en database med malware-signaturer, der består af tidligere identificeret malware. Hver gang en ny malware-prøve opdages, oprettes en digital signatur for den og tilføjes til databasen. Det betyder, at der er en sårbar periode mellem en ny malware cirkuleres, og antivirusprogrammer opdaterer deres databaser. I det tidsrum har malware potentiale til at forårsage kaos. Så selvom antivirussoftware giver et ekstra lag af sikkerhed, sikrer de ikke helt mod trusler.
Derudover stiger antallet af operativsystem-uafhængige sprog, der kan bruges til at skrive malware, hvilket betyder, at et enkelt malware-program har potentialet til at påvirke et bredere publikum. Efterhånden som cybertrusler bliver mere sofistikerede, skal antivirusprogrammer udvikle sig for at følge med. Med hackere, der løbende udvikler deres teknikker til at omgå antivirusprogrammer og øget kompleksitet i nutidens sikkerhedslandskab, er dette en udfordring.
Antivirus-undvigelsesteknikker
For at nå deres mål har cyberkriminelle udviklet en række af undvigelsesteknikker. Disse omfatter:
Kodepakning og kryptering
Størstedelen af orme og trojanske heste er pakket og krypteret. Hackere udvikler også specielle hjælpeprogrammer til pakning og kryptering. Alle internetfiler, som er blevet bearbejdet vha. CryptExe, Exeref, PolyCrypt og nogle andre hjælpeværktøjer, har vist sig at være skadelige. For at detektere pakkede og krypterede orme og trojanere skal antivirusprogrammet enten tilføje nye udpaknings- og afkodningsmetoder eller tilføje nye signaturer for hvert eksempel på et skadeligt program.
Kodemutation
Ved at blande en trojansk virus' kode plus spam-instruktioner – så koden får et andet udseende, på trods af at trojaneren beholder sin oprindelige funktionalitet – forsøger cyberkriminelle at skjule deres ondsindede software. Nogle gange forekommer kodemutation i realtid – i alle, eller næsten alle, tilfælde, hvor trojaneren downloades fra et inficeret websted. Warezov-e-mailormen brugte denne teknik og forårsagede alvorlige problemer for brugerne.
Stealth-teknikker
Rootkit-teknologier – som generelt anvendes af trojanske heste – kan opsnappe og erstatte systemfunktioner for at gøre den inficerede fil usynlig for operativsystemet og antivirusprogrammer. Undertiden er selv registreringsdatabaserne – hvor trojaneren er registreret – og andre systemfiler skjulte.
Blokering af antivirusprogrammer og antivirusdatabaseopdateringer
Mange trojanske heste og netværksorme vil aktivt søge efter antivirusprogrammer på listen over aktive programmer på offerets computer. Malwaren forsøger derefter at:
- Blokere for antivirussoftwaren
- Ødelægge antivirusdatabaserne
- Forhindre antivirussoftwarens opdateringsprocesser i at fungere korrekt
For at bekæmpe malwaren skal antivirusprogrammet forsvare sig ved at kontrollere dens databases integritet og skjule dens processer mod den trojanske hest.
Maskering af koden på et websted
Antivirusudbydere lærer hurtigt adresserne på websteder, der indeholder trojanske virusfiler og deres virusanalytikere studerer derefter indholdet af disse websteder og tilføjer den nye malware til deres databaser. Men i forsøget på at bekæmpe antivirusscanning kan et websted ændres – dvs. når anmodningerne sendes af et antivirusfirma, downloades en ikke-trojansk fil i stedet for en trojaner.
Kvantitetsangreb
I et kvantitetsangreb distribueres store mængder af nye versioner af trojanske heste over internettet inden for en kort tidsperiode. Det betyder, at antivirusfirmaer modtager et enormt antal nye eksempler til analyse. Den cyberkriminelle håber derved, at den tid, der bruges på at analysere hvert eksempel, giver vedkommendes ondsindede kode en chance for at trænge ind på brugernes computere.
Zero day-trusler
Dit antivirusprogram opdateres jævnligt. Dette er normalt som modsvar til en Zero day-trussel. Dette er en malware-undvigelsesteknik, hvor en cyberkriminel udnytter en software- eller hardwaresårbarhed og derefter frigiver malware, før et antivirusprogram kan rette den.
Filløs malware
Dette er en nyere metode til at køre malware på en maskine, der ikke kræver, at der gemmes noget på den målrettede maskine. Filløs malware fungerer udelukkende i maskinens hukommelse, så den kan omgå antivirusscannere. Besøg på et inficeret websted leverer ikke malware direkte. I stedet bruger den en tidligere kendt sårbarhed i et relateret program til at dirigere maskinen til at downloade malwaren til en hukommelsesregion – og derfra eksekveres den. Det, der gør filløs malware så farlig, er, at når først malwaren har gjort sit arbejde, eller maskinen er nulstillet, slettes hukommelsen, og der er ingen beviser for, at en kriminel har installeret malware.
Phishing
Phishinger en af de mest almindelige teknikker, som cyberkriminelle bruger til at stjæle information. I et phishing-angreb bedrager angriberen ofrene ved at foregive at være en pålidelig eller kendt kilde. Hvis brugere klikker på et skadeligt link eller downloader en inficeret fil, kan angribere få adgang til deres netværk og derefter stjæle følsomme oplysninger. Antivirussoftware kan kun registrere kendte trusler og virker ikke pålideligt mod nye varianter.
Browser-baserede angreb
Antivirussoftware har ikke adgang til operativsystemer, som tillader browserbaserede angreb at omgå dem. Disse angreb inficerer din enhed ved at bruge skadelige scripts og kode. For at forhindre disse angreb inkluderer nogle browsere indbyggede defensive værktøjer, men de skal bruges konsekvent og korrekt for at være effektive.
Kodning af nyttelast
En anden teknik, hvorigennem malware omgår antivirus-scannere er ved at kode nyttelasten. Cyberkriminelle bruger ofte værktøjer til at gøre dette manuelt, og når malwaren er leveret og aktiveret, afkodes den derefter og gør sin skade. Dette gøres normalt via et lille header-program, der er fasthæftet på forsiden af den kodede virus. Antivirusscannere opfatter ikke dette program som en trussel, og den kodede virus ses bare som data. Så når headeren udløses (for eksempel ved at være indlejret i en eksisterende eksekverbar funktion), vil den afkode malwaren i en hukommelsesregion og derefter springer programtælleren til den region og eksekverer malwaren.
Sådan beskytter du dig mod malware-undvigelsesteknikker
Brug af antivirussoftware bør være en kernedel af din overordnede cybersikkerhedsstrategi – men som denne artikel viser, bør virksomheder ikke udelukkende stole på dem for cyberbeskyttelse. For at sikre optimal sikkerhed er det bedst at investere i en tilgang til cybersikkerhed med flere lag. Yderligere værktøjer, du kan bruge til at holde cyberkriminelle ude af dit netværk, omfatter:
Enhedskryptering
Kryptering af enheder sikrer, at ingen kan få adgang til de data, de indeholder, uden den korrekte adgangskode eller nøgle. Selvom en enhed bliver stjålet eller inficeret med malware, kan korrekt kryptering forhindre uautoriseret adgang.
Multi-faktor autentificering
MFA kræver, at brugere indtaster mere end én information for at få adgang til konti, såsom en tidsfølsom kode. Dette giver større sikkerhed end blot at stole på adgangskode. Dette er især vigtigt, hvis du har følsomme eller personlige oplysninger på enheder eller konti.
Adgangskodeadministratorer
Adgangskoder er vigtige for at holde konti og netværk sikre, men det er afgørende at bruge stærke adgangskoder som er unikke for hver konto. En stærk adgangskode består mindst af 15 tegn (helst flere) – og er en blanding af store og små bogstaver, tal og symboler. Adgangskodeadministratorer kan hjælpe dig med at holde styr på det – de er en sikker boks til unikke adgangskoder der beskytter dem mod hackere.
Cybersikkerhedsbevidsthedstræning
Med stigningen i cyberkriminalitet, bør virksomheder lære deres medarbejdere om risici forbundet med cyberangreb, samt hvordan man håndterer dem, hvis de opstår. Ved at uddanne brugere om cybertrusselslandskabet kan du hjælpe dem med at genkende mistænkelig aktivitet såsom phishing-e-mails og så videre.
Slutpunktsregistrering og -respons
En EDR-løsning overvåger netværkets og slutpunkternes adfærd og gemmer disse logfiler. EDR-teknologier kan give sikkerhedspersonalet de data, de har brug for til at forstå karakteren af et cyberangreb, og levere automatiserede advarsler og udbedring af endepunkter.
Cyberkriminelle bruger normalt ikke kun én antivirusundvigelsesteknik. Tværtimod: malware er designet til at tackle forskellige situationer for at maksimere sine chancer for succes. Den gode nyhed er, at sikkerhedssamfundet er på vagt, lærer altid om nye antivirus- og malwareundvigelsesteknikker og udvikler nye måder at forebygge på.
Relaterede artikler:
- Hvad er slutpunktssikkerhed, og hvordan fungerer det?
- Sådan gennemtrænger malware systemer
- Social engineering
- Malwareklassifikationer
- Valg af antivirusløsning
Relaterede produkter: