Hopp til hovedinnholdet

Slik prøver cyberkriminelle å omgå antivirusbeskyttelse.

An hacker mask next to a computer

I dagens samfunn er antivirusprogramvare en viktig del av sikkerheten for endepunkter inkludert datamaskiner og servere for alt fra individuelle brukere til store organisasjoner. Antivirusprogramvare gir viktig beskyttelse mot cybertrusler, men er ikke ufeilbarlig. Det finnes ulike teknikker cyberkriminelle bruker for å omgå antivirus og spre skadelig programvare.

Hvordan fungerer antivirus?

Målet til antivirusprogramvaren er å bestemme om en fil er ondsinnet – og den må gjøre dette raskt for å unngå å påvirke brukeropplevelsen. To svært vanlige metoder som antivirusløsninger bruker for å søke etter ondsinnet programvare er heuristiske og signaturbaserte skanninger:

  • Heuristiske skanninger undersøker funksjonen til en fil ved hjelp av algoritmer og mønstre for å vurdere om programvaren gjør noe mistenkelig.
  • Signaturbasert skanning undersøker filens form og ser etter strenger og mønstresom samsvarer med kjente skadelige programvarer

Skapere av skadelig programvarekan velge å samhandle medantivirus på to forskjellige måter – den ene er på disk og den andre i minnet. På disk vil det som regel være en enkel, kjørbar fil. Antivirus har mer tid til å skanne og analysere en fil på disken. Hvis den blir lastet inn i minnet, har antivirus mindre tid til å samhandle, noe som gjør at den skadelige programvaren har større sannsynlighet for å kjøres med suksess.

Begrensninger for antivirus

Selv om antivirusprogramvare er en anbefalt måte å holde systemene sikre på, gjør det ikke at systemene blir umulige å hacke. Et typisk antivirusprogram bruker en database med skadevaresignaturer som består av tidligere identifisert skadelig programvare. Hver gang en ny skadelig programvare oppdages, opprettes en digital signatur for den og legges til i databasen. Dette betyr at det er en sårbar periode mellom tidspunktet en ny skadelig programvare sirkulerer og antivirusprogrammene oppdaterer databasene sine. I løpet av den tiden kan den skadelige programvaren forårsake kaos. Selv om antivirusprogrammer gir et ekstra lag med beskyttelse, kan de altså ikke beskytte fullstendig mot trusler.

I tillegg øker antallet operativsystem (OS)-uavhengige språk som kan brukes til å skrive skadelig programvare. noe som betyr at en enkel programvare har potensial til å påvirke et bredere publikum. Etter hvert som cybertrusler blir mer sofistikerte, må antivirusprogrammer utvikle seg for å holde tritt. Med hackere som kontinuerlig utvikler sine teknikker for å omgå antivirusprogrammer, og på grunn av kompleksiteten i dagens sikkerhetslandskap, er dette en utfordring.

Teknikker for å omgå antivirus

For å nå sine mål har cyberkriminelle utviklet en rekke teknikker for å omgå antirivus. Disse omfatter:

Kodepakking og kryptering
Flertallet av ormer og trojanske programmer er pakket og kryptert. Hackere designer også spesielle verktøy for pakking og kryptering. Enhver internettfil som er behandlet med CryptExe, Exeref, PolyCrypt og noen andre verktøy, har vist seg å være onsinnede. For å oppdage pakkede og krypterte ormer og trojanske programmer, må antivirusprogrammene enten legge til nye metoder for utpakking og dekoding, eller legge til nye signaturer for hver prøve av et onsinnet program.

Kodemutasjon
Ved å blande trojanske viruskoder og spam-instruksjoner – slik at koden får et annet utseende, til tross for at det trojanske programmet beholder sin opprinnelige funksjonalitet – prøver cyberkriminelle å skjule den onsinnede programvaren. Noen ganger skjer kodemutasjon i sanntid – i alle, eller nesten alle tilfeller, blir det trojanske programmet lastet ned fra et infisert nettsted. Warezov-ormen i e-poster brukte denne teknikken og forårsaket alvorlig skade for brukere.

Skjulingsteknikker
Rootkit-teknologier – som generelt brukes av trojanske programmer – kan avskjære og erstatte systemfunksjoner for å gjøre den infiserte filen usynlig for operativsystemet og antivirusprogrammer Noen ganger er til og med grenene i registeret – der de trojanske programmene er registrert – og andre systemfiler skjult.

Blokkering av antivirusprogrammer og oppdatering av antivirusdatabaser
Mange trojanske programmer og nettverksormer vil aktivt søke etter antivirusprogrammer i listen over den infiltrerte datamaskinens aktive programmer. Den skadelige programvaren vil deretter forsøke å:

  • Blokkere antivirusprogramvaren
  • Skade antivirusdatabasene
  • Forhindre riktig drift av antivirusprogramvarens oppdateringsprosesser

For å bekjempe skadelig programvare, må antivirusprogrammet forsvare seg ved å kontrollere databasens integritet og skjule prosessene for de trojanske programmene.

Maskering av koden på et nettsted
Antivirusleverandører lærer raskt adressene til nettsteder som inneholder trojanske virusfiler – og virusanalytikerne deres studerer deretter innholdet på disse sidene og legger til nye skadelige programvarer i databasen deres. Imidlertid kan et nettsted modifiseres i et forsøk på å bekjempe skanning av antivirus – slik at ikke-trojanske filer blir lastet ned i stedet for et trojansk program når forespørsler sendes av et antivirusselskap.

Masseangrep
I et masseangrep blir store mengder nye trojanske programvarer distribuert på internett i løpet av en kort periode. Som et resultat av dette, kan antivirusselskaper motta store antall nye filer for analyse. Cyberkriminelle håper at tiden det tar å analyse hver filtype vil gi den ondsinnede koden en mulighet til å infiltrere brukernes datamaskiner.

Nulldag-trusler

Antivirusprogrammet ditt oppdateres regelmessig. Dette er en vanligvis en respons på en null-dagerstrussel. Dette er en teknikk for å omgå skadelig programvare der en cyberkriminell utnytter en sårbarhet i en programvare eller maskinvare før antivirusprogrammet rekker å patche det.

Filløs skadevare

Dette er en nyere metode for å kjøre skadelig programvare på en maskin som ikke krever at noe lagres på den aktuelle maskinen. Filløs skadevare opererer utelukkende i minnet til maskinen, slik at den kan omgå antivirusskannere. Å besøke et infisert nettsted leverer ikke den skadelige programvaren direkte. I stedet bruker den en tidligere kjent sårbarhet i et relatert program til å lede maskinen til å laste ned den skadelige programvaren til minnet – hvor den senere kjøres fra. Det som gjør filløs skadevare så farlig, er at når skadevaren har gjort jobben eller maskinen startes på nytt, blir minnet slettet og det er ikke lenger noe bevis for at en kriminell har installert skadelig programvare.

Phishing Phishing er en av de vanligste teknikkene cyberkriminelle bruker til å stjele opplysninger. I et phishing-angrep lurer angriperen ofrene ved å utgi seg for å være en pålitelig eller kjent kilde. Hvis brukere klikker på en ondsinnet lenke eller laster ned en infisert fil, kan angripere få tilgang til nettverket deres, og dermed stjele sensitive opplysninger. Antivirusprogramvare kan bare oppdage kjente trusler og er ikke pålitelig i møte med nye varianter. 

Nettleserbaserte angrep

Antivirusprogramvare har ofte ikke tilgang til operativsystemet, noe som gjør at nettleserbaserte angrep kan omgå dem. Disse angrepene infiserer enheten din ved å bruke ondsinnet skript og kode. For å hindre disse angrepene har noen nettlesere innebygde defensive verktøy, men de må brukes konsekvent og riktig for å være effektive.

Koding av nyddelasten

En annen teknikk som brukes for at skadelig programvare skal omgå antivirusskannere, er koding av nyttelasten. Cyberkriminelle bruker ofte verktøy til å gjøre dette manuelt, og når den skadelige programvaren leveres og aktiveres, blir den dekodet og gjør skade. Dette skjer vanligvis via et lite header-program som er festet på forsiden av det kodede viruset. Antivirusskannere oppfatter ikke dette programmet som en trussel, og det kodede viruset blir enkelt sett på som data. Når header-programmet utløses (for eksempel ved å være innebygd i en eksisterende, kjørbar fil), vil den dekode skadevaren inn i minnet og deretter flytte programtelleren til det området og kjøre den skadelige programvaren.

A man sitting a computer

Slik beskytter du deg mot teknikker for å omgå skadelig programvare

Bruk av antivirusprogrammer bør være en sentral del av din overordnede cybersikkerhetsstrategi – men som vist i denne artikkelen, bør ikke virksomheter stole på dette alene for å være beskyttet på nett. For å sikre optimal sikkerhet, er det best å investere i en tilnærming til cybersikkerhet med flere lag. Ytterligere verktøy du kan bruke for å holde cyberkriminelle borte fra nettverkene dine, inkluderer:

Enhetskryptering

Kryptering av enheter slik at ingen får tilgang til dataene de inneholder uten riktig passord eller nøkkel. Selv om enheten blir stjålet eller infisert av skadelig programvare, kan riktig kryptering hindre uautorisert tilgang. 

Flerfaktorautentisering

FFA krever at brukere oppgir mer enn én type informasjon for å få tilgang til kontoer, som en tidssensitiv kode. Dette gir større sikkerhet enn å bare stole på et passord. Dette er spesielt viktig hvis du oppbevarer sensitiv informasjon eller personopplysninger på enheter eller kontoer.

Passordadministratorer

Passord er viktige for å holde kontoer og nettverk sikre, men det er kritisk å bruke sterke passord som er unike for hver konto. Et sterkt passord har minst 15 tegn (ideelt sett flere) og inneholder en blanding av store og små bokstaver, tall og symboler. Passordadministratorerkan hjelpe deg med å holde oversikt – de er et sikkert hvelv for unike passord og beskytter dem mot hackere. 

Opplæring om cybersikkerhet

Med cyberkriminalitet som et økende problem, bør virksomheter utdanne sine ansatte om risikoene knyttet til cyberangrep, samt hvordan de skal håndteres hvis de oppstår. Ved å lære opp brukere om cyberkriminalitet, kan du hjelpe dem til å gjenkjenne mistenkelig aktivitet som phishing-e-poster, osv.

Endepunktdeteksjon og respons (EDR)

En EDR-løsning overvåker atferden til nettverket og endepunktene og lagrer disse loggene. EDR-teknologier kan gi sikkerhetspersonalet dataene de trenger for å forstå karakteren av et cyberangrep, samt levere automatiserte varsler og utbedring av endepunkter. 

Cyberkriminelle bruker som regel ikke bare én teknikk for å omgå antivirus. Tvert imot: skadelig programvare er utviklet for å takle ulike situasjoner for å maksimere sjansene for suksess. Den gode nyheten er at sikkerhetsfellesskapet er årvåkent og hele tiden lærer om nye teknikker for omgåelse av antivirus, skadelig programvare samt utvikler nye forebyggende metoder.

Relaterte artikler:

Relaterte produkter:

Slik prøver cyberkriminelle å omgå antivirusbeskyttelse.

Antivirus er en viktig del av cybersikkerhet, men kan noen ganger omgås. Finn ut mer om teknikker for å unslippe antivirus og skadelig programvare.
Kaspersky logo

Relaterte artikler