Как вредоносные программы уклоняются от антивирусной защиты

В современном мире антивирусное ПО – это важнейший элемент защиты конечных точек, в том числе компьютеров и серверов, используемых как частными лицами, так и крупными организациями. Антивирусное ПО – ключевой элемент защиты от киберугроз, но это не значит, что его нельзя обойти. Киберпреступники используют различные техники обхода антивирусной защиты.

Как работают антивирусные программы?

Задача антивирусного ПО – определить, является ли файл вредоносным, и сделать это максимально быстро, пока тот не вмешался в работу пользователя. Два наиболее распространенных метода обнаружения вредоносного ПО – это эвристический и сигнатурный анализ.

Эвристический анализ оценивает функционал файла, используя специальные алгоритмы и шаблоны для отслеживания возможной подозрительной активности.
Сигнатурный анализ оценивает форму файла, занимаясь поиском строк и шаблонов, совпадающих с уже известными образцами вредоносного ПО.

У создателей вредоносных программ есть два пути сражения с антивирусом: на диске устройства или в оперативной памяти. Типичным примером вредоносной программы, сохраняемой на диске, является простой исполняемый файл. У антивируса есть больше времени на сканирование и анализ файла, сохраненного на диске. Если вредоносное ПО загружается в оперативную память, у антивируса меньше времени на реагирование и в целом вероятность успешной атаки зловредов будет выше.

Ограничения антивирусного ПО

Хотя использование антивирусного ПО рекомендуется для защиты компьютера, оно не делает устройство полностью неуязвимым для взлома. Типичная программа-антивирус использует базу данных вредоносных сигнатур на основе ранее идентифицированных зловредов. Как только обнаружен новый образец вредоносного ПО, для него создают цифровую сигнатуру и добавляют в базу данных. Это значит, что существует период уязвимости между появлением нового зловреда и обновлением баз данных антивирусных программ. В этот период зловред потенциально способен посеять хаос. Таким образом, хотя антивирусные программы обеспечивают дополнительный уровень защиты, они не могут полностью устранить все угрозы.

Вдобавок растет число независимых языков операционных систем, которые могут быть использованы для написания вредоносного кода. А это значит, что одна-единственная вредоносная программа потенциально способна поразить большее количество пользовательских устройств. По мере того как киберугрозы становятся все более изощренными, антивирусные программы должны совершенствоваться, чтобы не отстать от них. Поскольку хакеры постоянно оттачивают технику обхода антивирусной защиты, а ландшафт угроз все более усложняется, это оказывается непростой задачей.

Техники уклонения от антивирусной защиты

Для достижения своих целей киберпреступники разработали целый ряд техник уклонения от защиты, в том числе следующие.

Упаковка и шифрование кода
Большинство червей и троянских программ упаковываются и подвергаются шифрованию. Для упаковки и шифрования хакеры разрабатывают специальные утилиты. Каждый файл, упакованный с помощью CryptExe, Exeref, PolyCrypt и некоторых других утилит, был признан вредоносным. Чтобы обнаруживать упакованные и зашифрованные черви и троянские программы, антивирусная программа должна иметь в своем арсенале либо новейшие технологии распаковки и дешифрования, либо актуальные сигнатуры для каждого образца вредоносной программы.

Мутация кода
Киберпреступники стараются маскировать свои вредоносные программы, подвергая их замусориванию, чтобы код принимал другой вид, но при этом сохранялся весь исходный функционал троянца. Иногда мутация кода происходит в реальном времени во всех или почти всех случаях загрузки троянской программы с зараженного веб-сайта. Эта технология была использована в почтовом черве Warezov, что стало причиной серьезных проблем для пользователей.

Методы сокрытия присутствия вредоносных программ
Руткит-технологии, которые обычно используются в троянцах, позволяют перехватывать и подменять системные функции, чтобы сделать зараженный файл невидимым для операционной системы и антивирусных программ. Иногда вредоносной программе удается скрыть даже разделы реестра, в которых зарегистрирована троянская программа, и другие системные файлы.

Блокирование антивирусных программ и обновление антивирусных баз
Многие троянцы и сетевые черви активно ищут антивирусные программы в списке активных приложений на компьютере жертвы. Затем вредоносные программы пытаются сделать следующее:

блокировать антивирус;
повредить антивирусные базы;
нарушить процесс обновления антивирусного программного обеспечения.

Чтобы победить вредоносные программы, антивирус должен защитить себя, контролируя целостность своих баз данных и скрывая свою работу от троянских программ.

Маскировка кода на веб-сайте
Разработчики антивирусов быстро узнают адреса веб-сайтов, содержащих файлы троянских программ. Затем вирусные аналитики изучают содержимое этих сайтов и добавляют в свои базы новые вредоносные программы. Однако чтобы веб-страница не была обнаружена антивирусом, киберпреступники могут изменить ее таким образом, что в ответ на запрос разработчиков антивирусных решений вместо троянца будет загружаться обычный файл.

Атаки количеством
При атаке количеством в интернете за короткое время распространяется большое число новых версий троянской программы. В результате разработчики антивирусов вынуждены анализировать сразу огромное количество новых образцов вредоносного ПО. Киберпреступники надеются, что время, которое будет затрачено на анализ всех образцов, даст их вредоносному коду шанс проникнуть на компьютеры пользователей.

Угрозы нулевого дня

Ваша антивирусная программа регулярно обновляется. Обычно это происходит в ответ на угрозу нулевого дня. Угроза нулевого дня – это техника уклонения, использующая уязвимость программного или аппаратного обеспечения для внедрения вредоносного кода до того, как антивирусная программа успеет эту уязвимость исправить.

Бесфайловые вредоносные программы

Это более новый способ запуска вредоносного ПО на устройстве, не требующий его сохранения на диске. Бесфайловые вредоносные программы выполняются только в памяти устройства, что позволяет им обходить антивирусное сканирование. Посещение зараженной веб-страницы не приводит к прямой загрузке вредоносного ПО. Вместо этого используется ранее выявленная уязвимость в соответствующей программе. С ее помощью устройство заставляют загрузить вредоносный скрипт в память, откуда он и начнет выполняться. Бесфайловые вредоносные программы особенно опасны тем, что после окончания их работы или перезагрузки устройства память очищается, и в ней не сохраняются следы несанкционированной установки вредоносного ПО.

Фишинг
Фишинг – одна из самых распространенных техник, которую киберпреступники используют для кражи информации. Во время фишинговой атаки злоумышленник вводит жертву в заблуждение, выдавая себя за надежный или хорошо знакомый источник. Если пользователь перейдет по вредоносной ссылке или загрузит зараженный файл, злоумышленник может получить доступ к его сети и похитить конфиденциальную информацию. Антивирусное ПО может обнаруживать только уже известные угрозы и недостаточно эффективно против вновь появившихся.

Браузерные атаки
Антивирусные программы не имеют доступа к операционным системам, что позволяет браузерным атакам обходить их защиту. Эти атаки заражают устройства при помощи вредоносных скриптов и вредоносного кода. Для предотвращения подобных атак в некоторые браузеры встроены средства защиты, но чтобы они были эффективными, их необходимо использовать правильно и на постоянной основе.

Кодирование вредоносного ПО
Еще одна технология обхода антивирусного сканирования – кодирование вредоносного ПО. Киберпреступники часто делают это вручную с помощью некоторых инструментов. Когда программа доставлена по назначению и активирована, она декодируется и начинает свою вредоносную работу. Обычно это делается с помощью небольшого заголовочного файла, прикрепленного к фронтальной части закодированного вируса. Антивирусное ПО воспринимает закодированный вирус не как угрозу, а как безобидную цепочку данных. Таким образом, когда заголовочный файл активируется (например, встраиваясь в уже имеющийся исполняемый файл), он декодирует вредоносную программу в определенную область памяти, запускает там счетчик команд и выполняет вредоносный скрипт.

Как бороться с уклонением вредоносных программ от антивирусной защиты

Использование антивирусного ПО должно быть основой общей стратегии кибербезопасности. Однако, как показано в этой статье, предприятиям не стоит полагаться исключительно на него в вопросах своей киберзащиты. Для обеспечения оптимальной защиты следует инвестировать в многоуровневый подход к кибербезопасности. Дополнительными инструментами защиты от проникновения киберпреступников в вашу компьютерную сеть являются следующие.

Шифрование устройств
Шифрование устройств гарантирует, что никто не получит доступ к хранящимся на них данным без соответствующего пароля или ключа. Даже если устройство похищено или заражено вредоносной программой, качественное шифрование может предотвратить несанкционированный доступ к данным.

Многофакторная аутентификация (MFA)
MFA предусматривает предоставление пользователем дополнительной информации для получения доступа к устройству (например, цифрового кода с ограниченным сроком действия). Это обеспечивает более надежную защиту, чем простое использование пароля. Это особенно важно, если на устройствах или в учетных записях хранится конфиденциальная или личная информация.

Менеджеры паролей
Использовать пароли необходимо для защиты учетных записей и сетей, при этом крайне важно, чтобы они были надежными и уникальными для каждой учетной записи. Надежный пароль состоит минимум из 15 символов (в идеале больше) и представляет собой комбинацию заглавных и строчных букв, цифр и специальных символов. Менеджеры паролей – ваши верные помощники. Они надежно сохраняют ваши уникальные пароли и защищают их от хакеров.

Тренинги по кибербезопасности
В условиях роста киберпреступности компаниям следует информировать сотрудников о рисках, связанных с киберугрозами, и порядке действий в случае возникновения угроз. Информируя сотрудников о ландшафте киберугроз, вы поможете им научиться идентифицировать подозрительную активность, например фишинговые письма и т. д.

Endpoint detection and response (EDR)
EDR-решение мониторит ситуацию в сети и в конечных точках и сохраняет данные в журнале событий. EDR-системы предоставляют сотрудникам службы ИБ всю необходимую информацию для понимания характера кибератак, передают автоматические предупреждения и помогают ликвидировать последствия в конечных точках.

Киберпреступники редко используют только одну технику обхода антивирусной защиты. Наоборот, вредоносное ПО рассчитано на самые разнообразные сценарии, что повышает его шансы на успех. Но сообщество ИБ-специалистов не теряет бдительности, постоянно изучает новейшие технологии обхода антивирусной защиты и разрабатывает новые способы борьбы с ними.

Статьи по теме:

Рекомендуемые продукты:

Kaspersky Endpoint Security

Как киберпреступники пытаются обойти антивирусную защиту

Kaspersky

Антивирус – это важнейший элемент киберзащиты, но иногда его получается обойти. Узнайте больше о техниках обхода антивирусной защиты, используемых вредоносными программами.