Técnicas de evasão de antivírus e de malware

No mundo de hoje, o software antivírus é um aspecto crucial da segurança de endpoints, incluindo computadores e servidores, desde usuários individuais até grandes organizações. O software antivírus fornece uma defesa importante contra ameaças virtuais, mas não é infalível. Existem várias técnicas que os criminosos virtuais usam para burlar o antivírus e ocultar o malware.

Como é que os antivírus funcionam?

O objetivo do software antivírus é determinar se um arquivo é malicioso, e ele precisa fazer isso rapidamente para evitar afetar a experiência do usuário. Dois métodos amplamente usados pelas soluções antivírus para procurar software malicioso são verificações heurísticas e baseadas em assinatura:

A varredura baseada em heurística examina a função de um arquivo, usando algoritmos e padrões para determinar se o software está fazendo algo suspeito
A varredura baseada em assinatura examina a forma de um arquivo, procurando strings e padrões que correspondam a amostras de malware conhecidas

Os criadores de malware podem optar por interagir de duas maneiras com o antivírus: uma no disco e a outra na memória. No disco, um exemplo típico seria um arquivo executável simples. O antivírus tem mais tempo para verificar e analisar um arquivo no disco. Se carregado na memória, um antivírus tem menos tempo para interagir e geralmente é mais provável que o malware seja executado com sucesso.

Limitações dos antivírus

Embora o software antivírus seja uma maneira recomendada de manter os sistemas seguros, em última análise, ele não torna os dispositivos invioláveis. Um programa antivírus típico usa um banco de dados de assinaturas de malware composto por malware previamente identificado. Sempre que uma nova amostra de malware é descoberta, uma assinatura digital para ela é criada e adicionada ao banco de dados. Isso significa que há um período vulnerável entre a circulação de um novo malware e a atualização de seus bancos de dados pelos programas antivírus. Durante esse período, o malware tem o potencial de causar estragos. Portanto, embora o software antivírus forneça uma camada adicional de segurança, eles não atenuam totalmente as ameaças.

Além disso, o número de linguagens independentes do sistema operacional (SO) que podem ser usados para escrever malware está aumentando, o que significa que um único programa de malware tem o potencial de impactar um público mais amplo. À medida que as ameaças virtuais se tornam mais sofisticadas, os programas antivírus devem evoluir para acompanhar. Com os hackers evoluindo continuamente suas técnicas para contornar os programas antivírus e devido à complexidade do cenário de segurança atual, isso é um desafio.

Técnicas de evasão de antivírus

Para atingir seus objetivos, os criminosos virtuais desenvolveram uma série de técnicas de evasão. Entre elas:

Compactação e criptografia de código

A maioria dos worms e cavalos de Troia são compactados e criptografados. Os hackers também criam utilitários especiais de compactação e criptografia. Cada arquivo da Internet que foi processado usando CryptExe, Exeref, PolyCrypt e alguns outros utilitários foi considerado malicioso. Para detectar worms e cavalos de Troia compactados e criptografados, o programa antivírus deve adicionar novos métodos de descompactação e decodificação ou adicionar novas assinaturas para cada amostra de um programa malicioso.

Mutação de código

Ao misturar o código de um vírus Trojan com instruções de spam, para que o código assuma uma aparência diferente, apesar de o Trojan manter sua funcionalidade original, os criminosos virtuais tentam disfarçar seu software malicioso. Às vezes, a mutação do código acontece em tempo real; sempre ou quase sempre que o cavalo de Troia é baixado de um site infectado. O worm de email Warezov usou essa técnica e causou sérios problemas aos usuários.

Técnicas furtivas

As tecnologias de rootkit (geralmente empregadas por cavalos de Troia) podem interceptar e substituir as funções do sistema para tornar o arquivo infectado invisível para o sistema operacional e programas antivírus. Às vezes, até as ramificações do registro que incluem o cavalo de Troia e outros arquivos do sistema ficam ocultos.

Bloqueio de programas antivírus e atualizações do banco de dados de antivírus

Muitos cavalos de Troia e worms de rede procuram ativamente por programas antivírus na lista de aplicativos ativos no computador da vítima. O malware então tenta:

Bloquear o software antivírus
Danificar os bancos de dados de antivírus
Impedir a operação correta dos processos de atualização do software antivírus

Para derrotar o malware, o programa antivírus precisa se defender controlando a integridade de seus bancos de dados e ocultando seus processos dos cavalos de Troia.

Mascaramento de código em um site

Os provedores de antivírus aprendem rapidamente os endereços dos sites que contêm arquivos de vírus Trojan, e seus analistas de vírus estudam o conteúdo desses sites e adicionam o novo malware aos seus bancos de dados. Entretanto, para tentar burlar a verificação antivírus, a página da Web pode ser modificada. Assim, quando uma empresa de antivírus envia solicitações, é baixado um arquivo sem cavalo de Troia no lugar do cavalo de Troia.

Ataques de quantidade

Em um ataque de quantidade, grandes quantidades de novas versões de cavalos de Troia são distribuídas pela Internet em um curto período de tempo. Com isso, as empresas de antivírus recebem quantidades enormes de novas amostras para análise. O criminoso virtual espera que o tempo que se leva para analisar cada amostra seja suficiente para que o código malicioso invada os computadores dos usuários.

Ameaças de "dia zero"

Seu programa antivírus é atualizado regularmente. Isso geralmente ocorre em resposta a uma ameaça de "dia zero". Essa é uma técnica de evasão de malware em que um criminoso virtual explora uma vulnerabilidade de software ou hardware e, em seguida, libera malware antes que um programa antivírus possa corrigi-lo.

Malwares sem arquivos

Este é um método mais recente de execução de malware em uma máquina que não requer que nada seja armazenado na máquina de destino. O malware sem arquivo opera inteiramente na memória da máquina, permitindo que ele burle os verificadores antivírus. Visitar uma página da Web infectada não entrega o malware diretamente. Em vez disso, ele usa uma vulnerabilidade já conhecida em um programa relacionado para direcionar a máquina a baixar o malware para uma região da memória, e, a partir daí, ele é executado. O que torna o malware sem arquivo tão perigoso é que, depois que o malware faz seu trabalho ou a máquina é redefinida, a memória é apagada e não há evidências de que um malware tenha sido instalado por um criminoso.

Phishing

O phishing é uma das técnicas mais comuns que os criminosos virtuais usam para roubar informações. Em um ataque de phishing, o invasor engana as vítimas fingindo ser uma fonte confiável ou conhecida. Se os usuários clicarem em um link malicioso ou baixarem um arquivo infectado, os invasores podem obter acesso à rede e roubar informações confidenciais. O software antivírus só pode detectar ameaças conhecidas e não é eficaz de forma confiável contra novas variantes.

Ataques baseados em navegador

O software antivírus não tem acesso a sistemas operacionais que permitem que ataques baseados em navegador os ignorem. Esses ataques infectam seu dispositivo usando scripts e códigos maliciosos. Para evitar esses ataques, alguns navegadores incluem ferramentas defensivas integradas, mas devem ser usadas de forma consistente e correta para serem eficazes.

Codificação de carga útil

Outra técnica pela qual o malware contorna os verificadores antivírus é codificando a carga útil. Os criminosos virtuais costumam usar ferramentas para fazer isso manualmente e, quando o malware é entregue e ativado, ele é decodificado e causa danos. Isso geralmente é feito por meio de um pequeno programa de cabeçalho inserido na frente do vírus codificado. Os verificadores antivírus não percebem este programa como uma ameaça e o vírus codificado é simplesmente visto como dados. Portanto, quando o cabeçalho é acionado (por exemplo, ao ser incorporado a um executável existente), ele decodifica o malware em uma região da memória e, em seguida, direciona o contador do programa para essa região e executa o malware.

Como se proteger contra técnicas de evasão de malware

O uso de software antivírus deve ser uma parte essencial de sua estratégia geral de segurança virtual. Mas, como mostra este artigo, as empresas não devem confiar apenas nele para proteção virtual. Para garantir a segurança ideal, é melhor investir em uma abordagem de várias camadas para a segurança virtual. As ferramentas adicionais que você pode usar para manter os criminosos virtuais fora de sua rede incluem:

Criptografia de dispositivo

A criptografia de dispositivos garante que ninguém possa acessar os dados que eles contêm sem a senha ou chave correta. Mesmo que um dispositivo seja roubado ou infectado com malware, a criptografia adequada pode impedir o acesso não autorizado.

Autenticação multifator

A MFA exige que os usuários insiram mais de uma informação para acessar contas, como um código sensível ao tempo. Isso fornece maior segurança do que simplesmente confiar na senha. Isso é particularmente importante se você tiver informações confidenciais ou pessoais em dispositivos ou contas.

Gerenciadores de senhas

As senhas são importantes para manter contas e redes seguras, mas é fundamental usar senhas fortes que sejam exclusivas para cada conta. Uma senha forte tem pelo menos 15 caracteres (idealmente mais) e é composta de uma mistura de letras maiúsculas e minúsculas, números e símbolos. Os gerenciadores de senhas podem ajudá-lo a controlar isso. Eles são um cofre seguro para senhas exclusivas e as mantêm protegidas contra hackers.

Treinamento de conscientização sobre segurança virtual

Com o aumento do crime virtual, as empresas devem ensinar seus funcionários sobre os riscos associados a ataques virtuais, bem como lidar com eles caso ocorram. Ao educar os usuários sobre o cenário de ameaças virtuais, você pode ajudá-los a reconhecer atividades suspeitas, como emails de phishing e assim por diante.

Detecção e resposta de endpoint

Uma solução de EDR monitora o comportamento da rede e dos endpoints e armazena esses logs. As tecnologias de EDR podem fornecer à equipe de segurança os dados necessários para entender a natureza de um ataque virtual, fornecendo alertas automatizados e correção de endpoints.

Os criminosos virtuais geralmente não usam apenas uma técnica de evasão de antivírus. Pelo contrário: o malware é projetado para lidar com diferentes situações para maximizar suas chances de sucesso. A boa notícia é que a comunidade de segurança está atenta, sempre aprendendo sobre novas técnicas de antivírus e evasão de malware e desenvolvendo novas formas de prevenção.

Artigos relacionados:

Produtos relacionados:

Kaspersky Endpoint Security

Como os criminosos virtuais tentam burlar as proteções antivírus

Kaspersky

O antivírus é uma parte crucial da segurança virtual, mas às vezes pode ser ignorado. Aprenda sobre técnicas de evasão de antivírus e técnicas de evasão de malware.