Anti-virus- en malwareontwijkingstechnieken

Anti-virussoftware is tegenwoordig een cruciaal aspect van de beveiliging van eindsystemen zoals computers en servers, bij individuele gebruikers tot grote organisaties. Hoewel anti-virussoftware een belangrijke verdediging is tegen cyberdreigingen, is deze niet waterdicht. Cybercriminelen gebruiken verschillende technieken om anti-virusprogramma's te omzeilen en malware te ontwijken.

Hoe functioneren anti-virusprogramma's?

Anti-virussoftware bepaalt of een bestand kwaadaardig is, en wel zo snel dat de ervaring van de gebruiker er niet onder leidt. Er zijn twee gangbare methoden die anti-virusoplossingen gebruiken om te zoeken naar kwaadaardige software, namelijk heuristische en op handtekeningen gebaseerde scans:

Heuristische scans onderzoeken de functie van een bestand en gebruiken algoritmen en patronen om te detecteren of de software verdacht gedrag vertoont
Op handtekeningen gebaseerde scans onderzoeken de indeling van een bestand, op zoek naar strings en patronen die overeenkomen met bekende soorten malware

Malwareontwikkelaars kunnen op twee manieren in contact komen met anti-virusprogramma's: de ene is op de schijf en de andere is in het geheugen. Op de schijf is een eenvoudig uitvoerbaar bestand een typisch voorbeeld. Anti-virusprogramma's hebben meer tijd om een bestand op de schrijf te scannen en te analyseren. Als het in het geheugen wordt geladen, heeft het anti-virusprogramma minder tijd voor interactie en is de kans groter dat malware met succes wordt uitgevoerd.

Beperkingen van anti-virusprogramma's

Hoewel anti-virussoftware wordt aanbevolen om systemen veilig te houden, is dit uiteindelijk niet genoeg om apparaten onhackbaar te maken. Een typisch anti-virusprogramma gebruikt een database met malwarehandtekeningen van eerder geïdentificeerde malware. Telkens wanneer een nieuw malware-exemplaar wordt ontdekt, wordt er een digitale handtekening voor aangemaakt dat wordt toegevoegd aan de database. Dit betekent dat er een kwetsbare periode zit tussen het circuleren van malware en het bijwerken van de database door anti-virusprogramma's. Binnen die tijd kan malware veel schade aanrichten. Daarom biedt anti-virussoftware weliswaar een extra beveiligingslaag, maar beperkt deze de bedreigingen niet volledig.

Bovendien neemt het aantal onafhankelijke besturingssysteemtalen dat kan worden gebruikt om malware te schrijven, toe. Dit betekent dat één enkel malwareprogramma een groter publiek kan treffen. Aangezien cyberdreigingen steeds geavanceerder worden, moeten anti-virusprogramma's evolueren om gelijke tred te houden. En omdat hackers hun technieken blijven ontwikkelen om anti-virusprogramma's te omzeilen en omdat het huidige beveiligingslandschap zo complex is, blijft dit een uitdaging.

Anti-virusontwijkingstechnieken

Cybercriminelen hebben een reeks ontwijkingstechnieken ontwikkeld om hun doel te bereiken. Deze omvatten:

Code inpakken en coderen

De meeste wormen en trojans zijn ingepakt en gecodeerd. Hackers ontwerpen ook speciale hulpprogramma's om items in te pakken en te coderen. Elk internetbestand dat wordt verwerkt met CryptExe, Exeref, PolyCrypt of een aantal andere programma's, blijkt schadelijk te zijn. Om ingepakte en gecodeerde wormen en trojans te detecteren, moet het anti-virusprogramma worden voorzien van nieuwe methoden voor het uitpakken en decoderen van items, of van nieuwe handtekeningen voor elk exemplaar van een schadelijk programma.

De code aanpassen

Door de code van een trojan te combineren met spaminstructies, waardoor de code er anders uitziet, maar de trojan zijn oorspronkelijke functionaliteit behoudt, proberen cybercriminelen hun kwaadaardige software onherkenbaar te maken. In bijna alle gevallen waarin de trojan wordt gedownload van een geïnfecteerde website, wordt code in realtime gewijzigd. De e-mailworm Warezov gebruikte deze techniek en veroorzaakte ernstige problemen voor gebruikers.

Camouflagetechnieken

Rootkit-technologieën worden veel gebruikt door trojans en kunnen systeemfuncties stoppen en vervangen om zo het geïnfecteerde bestand onzichtbaar te maken voor het besturingssysteem en anti-virusprogramma's. Soms worden zelfs de registervertakking waar de trojan is geregistreerd en andere systeembestanden verborgen.

Anti-virusprogramma's en updates van anti-virusdatabases blokkeren

Veel trojans en netwerkwormen zijn actief op zoek naar anti-virusprogramma's in de lijst van actieve applicaties op de computer van het slachtoffer. De malware probeert dan het volgende te doen:

De anti-virussoftware blokkeren
De anti-virusdatabases beschadigen
Verhinderen dat updateprocessen van anti-virussoftware correct worden uitgevoerd

Om de malware te verslaan, moet het anti-virusprogramma zichzelf verdedigen door de integriteit van de databases te bewaken en de eigen processen te verbergen voor de trojans.

De code op een website coderen

Leveranciers die anti-virussoftware aanbieden, zijn snel op de hoogte van de adressen van websites die trojanvirusbestanden bevatten. Hun virusanalisten bestuderen de inhoud van die sites en voegen de nieuwe malware toe aan hun databases. Om scans door anti-virusprogramma's tegen te gaan, kan een webpagina echter worden aangepast. Wanneer er dan een aanvraag wordt verzonden door een bedrijf dat anti-virusoplossingen ontwikkelt, wordt er een bestand gedownload dat geen trojan is.

Massale aanvallen

Bij een massale aanval worden in korte tijd grote aantallen nieuwe trojanversies verspreid via internet. Hierdoor ontvangen bedrijven die anti-virusoplossingen ontwikkelen grote aantallen nieuwe exemplaren die ze moeten analyseren. De cybercrimineel hoopt dan dat in de tijd die nodig is om elk exemplaar te analyseren hun schadelijke code de kans krijgt om binnen te dringen op de computers van gebruikers.

Zero-day-bedreigingen

Je anti-virusprogramma wordt regelmatig bijgewerkt. Dit is meestal een reactie op een zero-day-bedreiging. Het gaat hier om een malwareontwijkingstechniek waarbij een cybercrimineel misbruik maakt van kwetsbare soft- of hardware en vervolgens malware vrijgeeft voordat een anti-virusprogramma deze kan patchen.

Fileless malware

Dit is een meer recente methode om malware op een systeem uit te voeren waarvoor niets op het doelsysteem hoeft te worden opgeslagen. Fileless malware werkt volledig in het geheugen van het systeem, en kan zo anti-virusscanners omzeilen. Als je een geïnfecteerde wegpagina bezoekt, wordt de malware niet direct afgeleverd. In plaats daarvan gebruikt de malware een eerder bekend beveiligingslek in een gerelateerd programma. De software downloadt vervolgens de malware naar een geheugengebied en voert het van daaruit uit. Wat fileless malware zo gevaarlijk maakt, is dat zodra de malware zijn werk heeft gedaan of de software is gereset, het geheugen wordt gewist en er geen bewijs overblijft dat een crimineel de malware heeft geïnstalleerd.

Phishing

Phishing is een van de meest voorkomende technieken die cybercriminelen gebruiken om informatie te stelen. Bij een phishing-aanval misleidt de aanvaller de computer van het slachtoffer door zich voor te doen als een vertrouwde of bekende bron. Als gebruikers op een kwaadaardige koppeling klikken of een geïnfecteerd bestand downloaden, kunnen aanvallers toegang tot hun netwerk krijgen en vervolgens gevoelige informatie stelen. Anti-virussoftware detecteert alleen bekende dreigingen en is onvoldoende effectief tegen nieuwe varianten.

Browsergebaseerde aanvallen

Anti-virussoftware heeft geen toegang tot besturingssystemen. Daardoor kunnen browsergebaseerde aanvallen ze omzeilen. Deze aanvallen infecteren je apparaat met behulp van kwaadaardige scripts en code. Om deze aanvallen te voorkomen, hebben sommige browsers ingebouwde beveiligingstools, maar die moeten consequent en correct worden gebruikt om doeltreffend te zijn.

De payload coderen

Een andere techniek waarmee malware anti-virusscanners omzeilt, is door de payload te coderen. Cybercriminelen gebruiken vaak tools om dit handmatig te doen. Zodra de malware is afgeleverd en geactiveerd, wordt deze gecodeerd en is de schade aangericht. Dit gebeurt meestal via een klein headerprogramma dat aan de voorkant van het gecodeerde virus wordt toegevoegd. Dit zorgt ervoor dat anti-virusscanners het programma niet als een bedreiging zien. Het gecodeerde virus wordt gewoon als gegevens beschouwd. Wanneer de header dus wordt geactiveerd (bijvoorbeeld doordat deze in een bestaand uitvoerbaar bestand is ingebed), zal deze de malware decoderen in een geheugengebied en vervolgens de programmateller naar dat gebied laten springen om de malware uit te voeren.

Jezelf beschermen tegen ontwijkingstechnieken van malware

Het gebruik van een anti-virussoftware moet een kernonderdeel zijn van je algemene cyberbeveiligingsstrategie, maar zoals uit dit artikel blijkt, moeten bedrijven daar niet alleen op vertrouwen als het gaat om cyberbescherming. Voor een optimale beveiliging kun je het beste investeren in een meerlagige aanpak van cyberbeveiliging. Hieronder staan een aantal extra tools die je kunt gebruiken om cybercriminelen buiten je netwerk te houden:

Apparaatversleuteling

Het coderen van apparaten zorgt ervoor dat niemand zonder het juiste wachtwoord of sleutel toegang krijgt tot de gegevens op die apparaten. Fatsoenlijke encryptie voorkomt onbevoegde toegang, zelfs als het apparaat wordt gestolen of geïnfecteerd met malware.

Meervoudige authenticatie

Meervoudige authenticatie (MFA) of meervoudige verificatie vereist dat gebruikers op meer dan één enkele manier informatie invoeren om toegang te krijgen tot accounts, zoals een tijdgevoelige code. Dit is veiliger dan alleen een wachtwoord. Deze methode wordt vooral aanbevolen als je gevoelige of persoonlijke informatie op apparaten of accounts hebt staan.

Wachtwoordbeheerders

Om accounts en netwerken veilig te houden, heb je wachtwoorden nodig. Je hebt echter sterke wachtwoorden nodig die uniek zijn voor elk account. Een sterk wachtwoord bestaat uit minimaal 15 tekens (ideaal gezien nog meer) en bevat een combinatie van kleine letters, hoofdletters, cijfers en symbolen. Wachtwoordbeheerders helpen je het overzicht te bewaren. Ze vormen een veilige kluis om unieke wachtwoorden in op te slaan en ze te beschermen tegen hackers.

Bewustmakingstrainingen over cyberbeveiliging

Met de toenemende cybercriminaliteit moeten bedrijven hun medewerkers bewust maken van de risico's van cyberaanvallen en hoe ze ermee moeten omgaan als ze zich voordoen. Gebruikers voorlichten over cyberbedreigingen helpt hen verdachte activiteiten te herkennen, zoals phishing-e-mails.

Endpoint detection and response

EDR-oplossingen bewaken het gedrag van het netwerk en de eindsystemen en slaat deze logboeken op. EDR-technologieën voorzien beveiligingsmedewerkers van de gegevens die zij nodig hebben om de aard van een cyberaanval te overzien, door middel van automatische waarschuwingen en herstel van eindsystemen.

Cybercriminelen gebruiken meestal niet één anti-virusontwijkingstechniek tegelijk. Integendeel, malware is ontworpen om verschillende situaties aan te pakken om zo de kans op succes te maximaliseren. Het goede nieuws is dat de beveiligingsgemeenschap waakzaam is, nieuwe anti-virus- en malwareontwijkingstechnieken blijft bestuderen en nieuwe manieren van preventie ontwikkelt.

Gerelateerde artikelen:

Gerelateerde producten:

Kaspersky Endpoint Security

Hoe proberen cybercriminelen anti-virusbescherming te omzeilen?

Kaspersky

Anti-virus is een cruciaal onderdeel van cyberbeveiliging. Toch worden dergelijke programma's soms omzeild. Lees hier meer over de anti-virus- en malwareontwijkingstechnieken.