Hoppa till huvudinnehållet

Så här försöker cyberbrottslingar kringgå antivirusskydd

I dagens värld är antivirusprogram en avgörande säkerhetsaspekt för slutpunkter, inklusive datorer och servrar, från enskilda användare till stora organisationer. Antivirusprogram ger ett viktigt försvar mot cyberhot men är inte ofelbara. Det finns olika tekniker som cyberbrottslingar använder för att kringgå antivirus och undvika skadlig programvara.

Hur fungerar antivirusskydd?

Målet med antivirusprogram är att avgöra om en fil är skadlig – och det måste göras snabbt för att undvika att påverka användarens upplevelse. Två ofta använda metoder som antiviruslösningar använder för att söka efter skadlig programvara är heuristiska och signaturbaserade skanningar:

  • Heuristisk-baserad skanning undersöker funktionen hos en fil, med hjälp av algoritmer och mönster för att fastställa om programvaran gör något misstänkt
  • Signaturbaserad skanning undersöker formen på en fil, letar efter strängar och mönster som matchar kända skadliga programvaror

Skapare av skadlig programvara kan välja att interagera på två sätt med antivirusprogram – det ena finns på disken och det andra finns i minnet. På disk skulle ett typiskt exempel vara en enkel körbar fil. Antivirusprogram har mer tid att skanna och analysera en fil på disken. Om det laddas i minnet har ett antivirusprogram mindre tid att interagera och i allmänhet är det mer sannolikt att skadlig programvara körs framgångsrikt.

Begränsningar för antivirusprogram

Även om antivirusprogram är ett rekommenderat sätt att hålla system säkra gör det i slutändan inte att enheter blir omöjliga att hacka. Ett typiskt antivirusprogram använder en databas bestående av signaturer från tidigare identifierade skadliga program. När en ny skadlig programvara upptäcks skapas en digital signatur för det och läggs till i databasen. Det betyder att det finns en sårbar period mellan att en ny skadlig programvara cirkuleras och att antivirusprogram uppdaterar sina databaser. Under den tiden har skadlig programvara potential att orsaka kaos och förödelse. Så även om antivirusprogram ger ett extra lager av säkerhet minimerar de inte hoten helt.

Dessutom ökar antalet oberoende språk för operativsystem (OS) som kan användas för att skriva skadlig programvara, vilket innebär att ett enda skadligt program har potential att påverka en större målgrupp. När cyberhoten blir mer sofistikerade måste antivirusprogram utvecklas för att hänga med. Med hackare som ständigt utvecklar sina tekniker för att kringgå antivirusprogram, och på grund av komplexiteten i dagens säkerhetsmiljö, är detta en utmaning.

Tekniker för att kringgå antivirusprogram

För att uppnå sina mål har cyberbrottslingar utvecklat en rad tekniker för att kringgå antivirusprogram. Dessa omfattar:

Paketering och kryptering av kod

Majoriteten av maskar och trojaner paketeras och krypteras. Hackare utformar även särskilda verktyg för paketering och kryptering. Alla internetfiler som har bearbetats med hjälp av CryptExe, Exeref, PolyCrypt och vissa andra verktyg har visat sig vara skadliga. För att upptäcka paketerade och krypterade maskar och trojaner måste antivirusprogrammen antingen lägga till nya uppacknings- och avkodningsmetoder, eller lägga till nya signaturer för varje instans av ett skadligt program.

Kodmutation

Genom att blanda koden till ett trojanskt virus med "skräppostinstruktioner" – så att koden får ett annat utseende, trots att trojanen har kvar sin ursprungliga funktion – försöker cyberbrottslingar dölja sin skadliga programvara. Ibland sker kodmutation i realtid i alla eller nästan alla fall som trojanen hämtas från en smittad webbplats. E-postmasken Warezov använde den här tekniken och orsakade flera allvarliga problem för användare.

Osynlighetstekniker

Rootkit-teknik, som allmänt används av trojanska virus, kan fånga upp och ersätta systemfunktioner för att göra den infekterade filen osynlig för operativsystemet och antivirusprogrammen. Ibland döljs även registergrenar – där trojanen registrerats – och andra systemfiler döljs också.

Blockering av antivirusprogram och uppdateringar av antivirusdatabaser

Många trojaner och nätverksmaskar söker aktivt efter antivirusprogram i listan över aktiva applikationer på den drabbade datorn. Den skadliga programvaran försöker därefter att:

  • Blockera antivirusprogrammet
  • Skada antivirusdatabasen
  • Hindra antivirusprogrammets uppdateringsprocesser från att fungera korrekt

För att övervinna den skadliga programvaran måste antivirusprogrammet skydda sig självt genom att kontrollera integriteten hos sina databaser och dölja sina processer från trojanerna.

Maskering av koden på en webbplats

Antivirusföretag lär sig snabbt adresserna på webbplatser som innehåller filer med trojanska virus – och deras virusanalytiker kan sedan granska innehållet på dessa sidor och lägga till ny skadlig programvara i sina databaser. Men i ett försök att bekämpa antivirusskanningen kan en webbplats modifieras, så när en begäran skickas av ett antivirusföretag hämtas en icke-trojansk fil istället för en trojan.

Kvantitetsattacker

I en kvantitetsattack distribueras en stor mängd nya versioner av trojaner på internet inom en kort tidsperiod. Som ett resultat av detta får antivirusföretagen ett stort antal nya prov att analysera. Cyberbrottslingen hoppas att den tid det tar att analysera varje prov ska ge deras skadliga kod en chans att komma in i användares datorer.

Dag noll-hot (Zero-day-kryphål)

Ditt antivirusprogram uppdateras regelbundet. Detta är vanligtvis ett svar på ett dag noll-hot. Detta är en teknik som används av skadlig programvara där en cyberbrottsling utnyttjar en sårbarhet i mjukvara eller hårdvara och sedan släpper skadlig programvara innan ett antivirusprogram kan patcha den.

Fillös skadlig programvara

Detta är en nyare metod för att köra skadlig programvara på en dator som inte kräver att något lagras på den drabbade datorn. Fillös skadlig programvara fungerar helt i datorns minne, vilket gör att den kan kringgå antivirusskanningsprogram. Att besöka en infekterad webbsida levererar inte skadlig programvara direkt. Istället använder den en tidigare känd sårbarhet i ett relaterat program för att styra datorn till att ladda ner den skadliga programvaran till ett minnesutrymme – och därifrån körs den. Det som gör fillös skadlig programvara så farlig är att när den skadliga programvaran har gjort sitt jobb, eller datorn har återställts, så raderas minnet och det finns inga bevis för att en brottsling har installerat skadlig programvara.

Nätfiske 

Nätfiske är en av de vanligaste teknikerna som cyberkriminella använder för att stjäla information. I en nätfiskeattack lurar angriparen offren genom att låtsas vara en pålitlig eller känd källa. Om användare klickar på en skadlig länk eller laddar ner en infekterad fil kan angripare få tillgång till deras nätverk och sedan stjäla känslig information. Antivirusprogram kan endast upptäcka kända hot och är inte tillförlitligt effektiva mot nya varianter. 

Webbläsarbaserade attacker 

Antivirusprogram har inte tillgång till operativsystem som tillåter webbläsarbaserade attacker att kringgå dem. Dessa attacker smittar din enhet genom att använda skadliga skript och kod. För att förhindra dessa attacker har vissa webbläsare inbyggda skyddsverktyg men de måste användas konsekvent och korrekt för att vara effektiva.

Kodning av utlösaren

En annan teknik genom vilken skadlig programvara kringgår antivirusskanningsprogram är genom att koda utlösaren. Cyberbrottslingar använder ofta verktyg för att göra detta manuellt och när skadlig programvara levereras och aktiveras, då avkodas den sedan och gör sin skada. Detta görs vanligtvis via ett litet huvudprogram som läggs till fram på det kodade viruset. Antivirusskanningsprogram uppfattar inte detta program som ett hot och det kodade viruset ses helt enkelt som data. Så när huvudfilen utlöses (till exempel genom att vara inbäddad i en befintlig körbar fil), då kommer den att avkoda skadlig programvara till ett minnesutrymme och sedan hoppa över programräknaren till det utrymmet och köra skadlig programvara.

A man sitting a computer

Så här skyddar du dig mot undvikande teknik hos skadlig programvara

Att använda antivirusprogram bör vara en central del av din övergripande strategi för cybersäkerhet, men som den här artikeln visar, företag bör inte bara lita på det för cyberskydd. För att säkerställa optimal säkerhet är det bäst att investera i en strategi i flera nivåer för cybersäkerhet. Ytterligare verktyg du kan använda för att hålla cyberbrottslingar borta från ditt nätverk omfattar:

Enhetskryptering

Kryptering av enheter säkerställer att ingen kan komma åt data de innehåller utan rätt lösenord eller nyckel. Även om en enhet blir stulen eller infekterad med skadlig programvara kan korrekt kryptering förhindra obehörig åtkomst. 

Multifaktorautentisering

MFA kräver att användare anger mer än en typ av information för att komma åt konton, till exempel en tidskänslig kod. Detta ger större säkerhet än att endast förlita sig på lösenord. Detta är särskilt viktigt om det finns känslig eller personlig information på enheter eller konton.

Lösenordshanterare

Lösenord är viktiga för att hålla konton och nätverk säkra men det är viktigt att använda starka lösenord som är unika för varje konto. Ett starkt lösenord är minst 15 tecken långt (helst längre) och innehåller en blandning av gemener och versaler, siffror och symboler. Lösenordshanterare kan hjälpa dig att hålla ordning – de är ett säkert valv för unika lösenord och skyddar dem från hackare. 

Utbildning inom cybersäkerhet

Med ökande cyberbrottslighet bör företag lära sina anställda om riskerna som är förknippade med cyberattacker, samt hur man hanterar dem om de inträffar. Genom att utbilda användare om cyberhotbilden kan man hjälpa dem att känna igen misstänkt aktivitet som e-postmeddelanden med nätfiske och så vidare.

Slutpunktsidentifiering och åtgärd

En EDR-lösning övervakar beteendet hos nätverket och slutpunkterna och lagrar dessa loggar. EDR-tekniker kan ge säkerhetspersonal den data de behöver för att förstå typen av cyberattack, vilket ger automatiska varningar och slutpunktsåtgärder. 

Cyberbrottslingar använder vanligtvis inte endast en teknik för att undvika antivirusprogram. Tvärtom: skadlig programvara är utformad för att hantera olika situationer för att maximera sina chanser att lyckas. Den goda nyheterna är att säkerhetsgemenskapen är vaksam och ständigt lär sig om nya tekniker för att kringgå antivirusprogram och utvecklar nya sätt för att förebygga detta.

Relaterade artiklar:

Relaterade produkter:

Så här försöker cyberbrottslingar kringgå antivirusskydd

Antivirusprogram är en avgörande del av cybersäkerhet men kan ibland kringgås. Lär dig mer om tekniker för att kringgå antivirusprogram och undvika skadlig programvara.
Kaspersky logo

Related articles