Nur die Hälfte der Malware wird von Signatur-Antivirenprogrammen erkannt | 3 Top Answer Update

Die signaturbasierte Erkennung ist ein häufig verwendeter Mechanismus von Antivirenlösungen, um bekannte Versionen von Malware zu identifizieren. Antivirus vergleicht einen einzelnen Fingerabdruck oder eine Signatur mit jeder Datei, die in einen Computer oder ein Netzwerk gelangt. Identifizieren Sie die schädlichen Dateien, die mit der Signatur übereinstimmen, und markieren Sie sie als bösartig.

Leider wird die signaturbasierte Erkennung immer effektiver. Da Cyberkriminelle eine Vielzahl von Techniken verwenden, um sie zu bekämpfen, sind andere Techniken erforderlich, um bösartige Programminfektionen wie Anomalien und zu erkennen Anwendung bei der Durchführung der Selbstverteidigung.

Signature AV wird effizienter

Allein 50 % der Malware werden erkannt durch signaturbasierte Antivirensysteme. Das heißt, Malware-Anbieter verwenden zunehmend Techniken, die speziell entwickelt wurden, um zu verhindern, dass Signaturen entdeckt werden, wie z. B. Codesammlung, Verschlüsselung, Polymorphie und dateilose Malware.

Bestimmte Versionen von Malware werden verwendet Verpackung bösartigen Code oder identifizierbare Informationen zu verbergen. Der Wrapper wird verwendet, um den Inhalt der Malware zu komprimieren oder anderweitig zu verschleiern. Wenn sich die Malware auf dem Zielcomputer befindet, zu zerlegen (kleine Anzahl unverwechselbarer Codes) Führt bösartigen Code aus und entpackt ihn, damit er auf einem infizierten Computer ausgeführt werden kann.

Da viele Pakete optional sind (und bösartige Programme ihre eigenen schreiben können), können viele Tools, die versuchen, bösartigen Code statisch (ohne ihn auszuführen) auszuführen, diesen nicht entfernen. Aus diesem Grund stimmten die auf der Grundlage des Schadcodes erstellten Signaturen nicht überein, und das Muster war identifizierbar.

Ein Schritt bei der Verwendung einfacher Paketierungs- oder Verteilungstechniken ist ein Schritt in der Verschlüsselung zum Schutz vor Malware-Erkennung. In diesem Fall ist der verwendete Verschlüsselungsalgorithmus ein robuster Verschlüsselungsalgorithmus und kann ohne Angabe des geeigneten Verschlüsselungsschlüssels nicht entschlüsselt werden.

Die Verschlüsselung ist normalerweise auf Malware auf dem infizierten Computer beschränkt, da Sie auf den Verschlüsselungsschlüssel zugreifen müssen, um ihn zu entschlüsseln (was bedeutet, dass der forensische Analyst den Schlüssel auch finden und verwenden kann). Wenn das Ziel jedoch nur darin besteht, die Erkennung einer bösartigen Programminfektion zu vereiteln oder zu verzögern, ist das Verschlüsseln und Verschlüsseln des Verschlüsselungsschlüssels in der Malware eine gute Möglichkeit, dies zu erreichen.

Obwohl einige Pakete und Verschlüsselungstools so konzipiert sind, dass Signaturen nicht berücksichtigt werden, ist dies nicht die ideale Lösung. Einige Cybersicherheitslösungen führen verdächtigen Code in einer sandigen Umgebung aus, was bedeutet, dass der Entschlüsselungs- oder Entschlüsselungscode von der Malware selbst verarbeitet wird, wodurch der getarnte Code und die Daten preisgegeben werden. Herkömmliche signaturbasierte Erkennung kann hier effektiv sein.

Polymorphe Schädlinge verwenden einen anderen Ansatz, um die Erkennung von Signaturen zu verhindern. Anstatt Teile zu verbergen, die möglicherweise mit Ihrer Signatur übereinstimmen, stellen polymorphe Schädlinge sicher, dass zwei bösartige Programmbeispiele nicht mit derselben Signatur übereinstimmen.

Schädliche Anwendungen tun dies, indem sie ihren Code so ändern, dass die Funktionalität der Malware nicht beeinträchtigt wird. Viele Anweisungen auf niedriger Ebene (z. B. das Eingeben eines Nullwerts in eine bestimmte Computerregistrierung) können auf verschiedene Arten ausgeführt werden.

Während der Austausch zweier solcher Codezeilen die Malware nicht unterbricht, haben die beiden Versionen der Malware sehr unterschiedliche Dateiauszüge. Da Dateiextrakte häufig verwendet werden, um verschiedene Versionen von Malware zu identifizieren, wäre diese einfache Einrichtung für Hash-basierte Signaturerkennungsalgorithmen völlig nutzlos. Angesichts der Tatsache, dass polymorphe Schädlinge eine signaturbasierte Erkennung so effektiv verhindern, ist dies nicht überraschend. 93 % der modernen Malware ist polymorph.

Die signaturbasierte Erkennung vergleicht Dateien, die bösartigen Code enthalten, mit dem Signaturverzeichnis bekannter Versionen von Malware. Dieser Ansatz funktioniert jedoch nur, wenn eine Datei schädlichen Vergleichscode enthält.

Die dateilose Malware ist für diesen Zweck konzipiert wir leben von der erde unter Verwendung legitimer Funktionen, die in das Zielsystem integriert sind. Tools wie Windows PowerShell sind sehr effektiv, und Cyberkriminelle können dies oft aus einem infizierten Word-Dokument herausholen, indem sie ein paar PowerShell-Befehle ausführen.

Andernfalls fungiert das schädliche Dokument möglicherweise als Downloader und das andere hier beschriebene Gerät muss möglicherweise durch schädlichen Code geschützt werden.
Es ist eine effektive Malware ohne Dateien, da es keine signaturbasierte Vergleichsdatei gibt. Infolgedessen wird Malware zu einer immer beliebteren Technik unter Autoren.

Malware Schutz

Die Einfachheit und Effektivität der signaturbasierten Malware-Erkennungstechnik ist seit langem bekannt. Die besonderen Merkmale des Malware-Musters können manuell oder automatisch abgerufen werden, und diese Merkmale können verwendet werden, um eine Signatur zu erstellen, die mit einer Datei auf jedem Computer oder Netzwerk vergleichbar ist.

Es erleichtert aber auch das Auffinden der Signatur. Techniken wie Code-Sammlung, Verschlüsselung und Polymorphie ermöglichen das Abtasten von Malware, um eine signaturbasierte Erkennung zu vermeiden. Bei dateiloser Malware gibt es keine Datei, die mit der Signatur übereinstimmt.

Die geringe Effizienz der Signaturerkennung (nur 50 %) erfordert Alternativen, um den Endpunkt vor böswilligen Bedrohungen zu schützen. Abnormale Erkennungsmechanismen können bei der Erkennung bösartiger Dateien, falls vorhanden, effektiv sein.

Wenn ein bösartiges Programm bei dateiloser Malware legitime Anwendungen verwendet, um seine Ziele zu erreichen, kann eine Lösung wie Runtime Self-Defense (RASP) erforderlich sein. Es umgibt ein RASP-Programm und überwacht seine Eingaben, Ausgaben und sein Verhalten. Jede Anomalie löst eine Reaktion aus, sodass die Malware ohne die Datei erkannt werden kann.