Was ist ein Antivirus (AV) Bypass?

by Heike Vollmers in

Ein Antivirus (AV) Bypass bezeichnet eine Methode, mit der Angreifer die Erkennung durch Antiviren-Software umgehen. Antiviren-Software ist darauf ausgelegt, schadhafte Dateien oder Aktivitäten auf einem Computer oder Netzwerk zu erkennen und zu blockieren. Allerdings finden geschickte Angreifer häufig Wege, diese Schutzmechanismen zu umgehen, sodass ihre schadhafte Software (Malware) unentdeckt bleibt.

Das Ziel eines AV-Bypasses ist es, nicht von Antiviren-Programmen erkannt zu werden, während die schadhafte Software ausgeführt, installiert oder verbreitet wird. Dies ist entscheidend, weil Antiviren-Tools normalerweise Muster, Verhaltensweisen oder Signaturen erkennen, die mit bekannter Malware verbunden sind. Wenn Angreifern der Bypass gelingt, können sie Malware erfolgreich implementieren, Spionage betreiben oder Sicherheitslücken ausnutzen, ohne dass traditionelle Sicherheitsmaßnahmen Alarm schlagen.

Häufige Techniken zum Bypass von Antiviren-Software:

Polymorphismus:

  • Polymorphe Malware ändert ihren Code jedes Mal, wenn sie ausgeführt wird, sodass sie für Antiviren-Software anders aussieht. Dies ermöglicht es der Malware, der signaturbasierten Erkennung zu entkommen, da sich die Signatur (ein einzigartiger Identifikator für ein Stück Malware) jedes Mal verändert.
  • Beispiel: Ein polymorpher Virus könnte seinen Code oder seine Struktur ändern, während die schadhafte Funktion erhalten bleibt, sodass Antiviren-Software ihn nicht anhand der ursprünglichen Signatur erkennen kann.

Metamorphismus:

  • Ähnlich wie Polymorphismus, aber noch ausgeklügelter. Metamorphe Malware schreibt ihren gesamten Code bei jeder Infektion neu, sodass sie vollkommen anders aussieht, obwohl sie dieselben schadhaften Aktionen ausführt.
  • Diese Technik kann auch der heuristischen Erkennung entgehen, bei der nicht nach spezifischen Signaturen, sondern nach dem Verhalten von Dateien gesucht wird.

Code-Obfuskation:

  • Obfuskation bedeutet, den schadhaften Code absichtlich schwer verständlich oder analysierbar zu machen. Dies kann durch das Verschleiern von Variablennamen, die Verwendung von verschlüsselten Payloads oder das Einfügen von toter Code (Code, der keine Funktion hat, aber die Antiviren-Software verwirrt) erfolgen.
  • Dies verbirgt die wahre Natur des Codes vor der Antiviren-Software und erschwert die Rückverfolgung für Sicherheitsanalysten.

Fileless Malware:

  • Fileless Malware arbeitet im Speicher und nicht durch das Erstellen von Dateien auf der Festplatte. Da sie keine Dateien erstellt, kann sie von traditionellen Antiviren-Programmen, die Dateisysteme scannen, nicht erkannt werden.
  • Sie nutzt häufig legale Systemwerkzeuge wie PowerShell, Windows Management Instrumentation (WMI) oder andere native Tools, um schadhafte Aktionen direkt im Speicher auszuführen.

Living off the Land (LotL):

  • Angreifer nutzen legale Tools, die bereits im System vorhanden sind, wie Systemadministrator-Tools oder PowerShell-Befehle. Da diese Tools vom System als vertrauenswürdig betrachtet werden und keine Alarmglocken auslösen, können sie für schadhafte Zwecke verwendet werden.
  • Diese Methode vermeidet das Auslösen von Antiviren-Alarmen, weil die verwendeten Tools selbst nicht als schädlich gelten.

Antivirus-Evasion-Tools:

  • Einige Angreifer verwenden speziell entwickelte AV-Evasion-Tools, die darauf ausgelegt sind, die Erkennung durch Antiviren-Software zu umgehen. Diese Tools erzeugen häufig obfuskierte oder polymorphe Malware, die für Antiviren-Programme schwieriger zu erkennen ist.
  • Ein Beispiel für ein solches Tool ist Veil-Evasion, ein beliebtes Framework zur Erstellung von Payloads, die die Erkennung durch die meisten Antiviren-Programme umgehen.

Kompression oder Packer:

  • Packer oder Kompressoren werden verwendet, um den schadhaften Code zu komprimieren oder zu verschlüsseln, wodurch er beim Ausführen im Speicher dekomprimiert wird. Dadurch wird es Antiviren-Programmen erschwert, den tatsächlichen Inhalt des Codes zu analysieren, bevor er ausgeführt wird.
  • Viele Malware-Programme werden mit Tools wie UPX (Ultimate Packer for Executables) oder PECompact gepackt, die beim Ausführen entpackt werden.

Zeitbasierte Angriffe:

  • Manche Malware wurde so entwickelt, dass sie nur zu bestimmten Zeiten ausgeführt wird, was es schwierig macht, sie bei regulären Scans durch Antiviren-Software zu entdecken. Sie könnte beispielsweise erst nach einer bestimmten Zeit oder nachdem bestimmte Bedingungen erfüllt sind, ausgeführt werden.
  • Diese Methode kann auch beinhalten, dass die Malware für eine bestimmte Zeit „schläft“, bevor sie aktiviert wird, oder nur nach einem Neustart des Systems ausgeführt wird.

Rootkits:

  • Ein Rootkit ist eine Art von Malware, die sich vor der Antiviren-Software versteckt, indem sie das Betriebssystem auf einer sehr niedrigen Ebene (z. B. im Kernel) verändert. Dadurch wird es für Antiviren-Programme schwierig, sie zu erkennen, da das Rootkit seine Prozesse, Dateien und Registrierungseinträge maskieren kann.
  • Rootkits ermöglichen es Angreifern, die Kontrolle über ein System zu behalten, selbst nachdem andere Malware entfernt wurde.

Social Engineering:

  • Manchmal geht es beim Umgehen von Antiviren-Software nicht nur um technische Ausweichmethoden, sondern auch um menschliche Fehler. Angreifer können Social Engineering verwenden, um Benutzer dazu zu bringen, ihre Antiviren-Software zu deaktivieren, schadhafte Anhänge auszuführen oder Software herunterzuladen, die Malware enthält.
  • Dies kann Phishing-E-Mails, gefälschte Software-Updates oder das Vortäuschen von legitimer Software beinhalten, um den Benutzer zu täuschen und Malware auszuführen.

Warum ist der Antivirus Bypass für Angreifer wichtig?

  1. Erhöhte Tarnung: Ein erfolgreicher AV-Bypass ermöglicht es dem Angreifer, unauffällig zu bleiben, sodass die Wahrscheinlichkeit, dass der Angriff von Sicherheitsanalysten oder automatisierten Systemen erkannt wird, verringert wird.
  2. Persistenz: Indem die Erkennung umgangen wird, kann die Malware für längere Zeit auf dem Zielsystem bleiben und langfristige Ausbeutung oder Datenexfiltration ermöglichen, ohne Alarm zu schlagen.
  3. Gezielte Angriffe: Einige Angreifer nutzen AV-Bypass-Techniken in gezielten Angriffen oder Advanced Persistent Threats (APT), bei denen das Ziel darin besteht, heimlich sensible Daten zu sammeln oder das Opfer auszuspionieren, ohne den Angriff bemerkbar zu machen.
  4. Vermeidung von Remediation: Wenn Antiviren-Software versagt, Malware zu erkennen, kann der Angreifer das System länger ausnutzen, bevor Gegenmaßnahmen wie eine Systembereinigung oder eine manuelle Entfernung erfolgen.

Wie kann man den Antivirus Bypass verhindern?

  1. Verhaltensbasierte Erkennung: Moderne Antiviren-Software verwendet oft Verhaltensanalysen, um schadhafte Aktivitäten basierend auf dem Verhalten von Dateien zu erkennen, anstatt sich nur auf bekannte Signaturen zu stützen. Dies hilft, Malware zu erkennen, die obfuskiert wurde oder Umgehungstechniken anwendet.
  2. Endpoint Detection and Response (EDR): Fortgeschrittene EDR-Lösungen bieten eine kontinuierliche Überwachung der Endpunktaktivitäten und können verdächtiges Verhalten erkennen, selbst wenn traditionelle Antiviren-Software versagt.
  3. Maschinelles Lernen und KI: Einige moderne Antiviren-Programme nutzen Künstliche Intelligenz (KI) und maschinelles Lernen, um bisher unbekannte Bedrohungen zu erkennen, indem sie Muster in Daten und Verhalten analysieren, was besseren Schutz vor neuen oder sich entwickelnden Bedrohungen bietet.
  4. Mehrschichtige Sicherheitsansätze: Der Einsatz eines mehrschichtigen Sicherheitsansatzes (kombiniert mit Firewalls, Intrusion Detection Systemen, verhaltensbasierten Tools und anderen Sicherheitsmechanismen) verringert die Wahrscheinlichkeit, dass ein Angreifer alle Schutzmaßnahmen erfolgreich umgehen kann.
  5. Regelmäßige Updates: Sicherstellen, dass die Antiviren-Software sowie das Betriebssystem und andere Software regelmäßig aktualisiert werden, kann dazu beitragen, Exploits und Schwachstellen zu beheben, die Angreifer für den Bypass von Sicherheitsmaßnahmen nutzen könnten.

Fazit:

Ein Antivirus Bypass ist eine ausgeklügelte Technik, mit der Angreifer die Erkennung durch Antiviren-Software umgehen. Es stellt eine erhebliche Herausforderung für Cybersicherheits-Profis dar, da viele dieser Methoden Schwächen der traditionellen signaturbasierten Erkennungssysteme ausnutzen. Da Angreifer ständig neue Wege entwickeln, um Erkennungstechnologien zu umgehen, ist es entscheidend, dass Antiviren- und Sicherheitslösungen sich weiterentwickeln und auf verhaltensbasierte Erkennung, Maschinelles Lernen und andere fortschrittliche Methoden setzen, um besser gegen diese ausgeklügelten Umgehungstechniken geschützt zu sein.