Virustorjunnan ja haittaohjelmien väistötekniikat

Nykypäivän maailmassa virustorjuntaohjelmisto on tietoturvan oleellinen osa pätepisteille, kuten tietokoneille ja palvelimille, niin yksittäsisille käyttäjille kuin suurille organisaatioillekin. Virustorjuntaohjelmisto on tärkeä puolustauduttaessa kyberuhkia vastaan, mutta se ei ole erehtymätön. Kyberrikollisilla on useita tekniikoita virustorjunnan ohittamiseen ja haittaohjelmien väistämiseen.

Kuinka virustorjuntaohjelmistot toimivat?

Virustorjuntaohjelmiston tarkoitus on päättää, onko tiedosto haittaohjelma. Sen on tehtävä päätös nopeasti, ettei käyttökokemus kärsi. Virustorjuntaratkaisut käyttävät yleisesti kahta menetelmää haittaohjelmien etsimiseen: heuristiikkaan ja varmenteeseen perustuvia tarkistuksia:

• Heuristiikkaan perustuva tarkistaminen tutkii tiedoston toimintaa ja käyttää algoritmejä ja kuvioita sen määrittämiseen, tekeekö ohjelmisto jotain epäilyttävää
• Varmenteeseen perustuva tarkistaminen tutkii tiedoston muotoa, etsii merkkijonoja ja kuvioita, jotka vastaavat tunnettuja haittaohjelmanäytteitä

Haittaohjelmien luojat voivat valita vuorovaikutukseen virustorjunnan kanssa kaksi tapaa, joko levyllä tai muistissa. Levyllä tyypillinen esimerkki on yksikertainen suoritustiedosto. Virustorjunnalla on enemmän aikaa tarkistaa ja analysoida levyllä olevaa tiedostoa. Jos se on ladattu muistiin, virustorjunnalla on vähemmän aikaa olla vuorovaikutuksessa, ja yleensä haittaohjelman suorittamisella on suurempi mahdollisuus onnistua.

Virustorjunnan rajoitteet

Vaikka virustorjuntaohjelmistoja suositellaan järjestelmien turvaamiseen, ne eivät kuitenkaan täysin suojaa laitteita hakkeroinnilta. Tyypillinen virustorjuntaohjelmisto käyttää haittaohjelmien varmennetietokantaa, joka koostuu aiemmin tunnistetuista haittaohjelmista. Kun uusi haittaohjelmanäyte havaitaan, sille luodaan digitaalinen varmenne ja se lisätään tietokantaan. Tämä tarkoittaa sita, että uuden haittaohjelman jakelun ja virustorjuntaohjelmien tietokantojen päivittämisen välillä on haavoittuvainen aika. Tänä aikana haittaohjelma voi tehdä tuhojaan. Vaikka virustorjuntaohjelmistot lisäävätkin tietoturvaa, ne eivät saa uhkia täysin hallintaan.

Lisäksi haittaohjelmien kirjoittamiseen käytettyjen käyttöjärjestelmistä riippumattomien ohjelmointikielten määrä kasvaa, minkä johdosta yksittäinen haittaohjelma voi vaikuttaa laajempaan yleisöön. Kun kyberuhat kehittyvät, virustorjuntaohjelmistojenkin on kehityttävä pysyäkseen vauhdissa mukana. Tämä on haastavaa, sillä hakkerit kehittävät virustorjuntaohjelmistojen ohittamisen tekniikoitaan jatkuvasti, ja koska nykypäivän tietoturvaympäristö on monimutkainen.

Virustorjunnan väistötekniikat

Kyberrikolliset ovat kehittäneet lukuisia väistötekniikoita tavoitteidensa saavuttamiseksi. Niitä ovat esimerkiksi seuraavat:

Koodin pakkaaminen ja salaus
Suurin osa madoista ja troijalaisista on pakattuja ja salattuja. Lisäksi hakkerit suunnitelevat erityisiä apuohjelmia pakkaamiseen ja salaamiseen. Jokainen netistä löytynyt CryptExellä, Exerefillä, PolyCryptillä ja muutamalla muulla apuohjelmalla käsitelty tiedosto on osoittautunut haitalliseksi. Jotta virustorjuntaohjelmisto voi havaita pakattuja ja salattuja matoja ja troijalaisia, siihen on lisättävä joko uusia pakkauksen ja salauksen purkumenetelmiä tai uusia varmenteita jokaiselle haitallisen ohjelman näytteelle.

Koodin muunto
Kyberrikolliset yrittävät naamioida haitallisen ohjelmistonsa sekoittamalla troijalaisen viruskoodiin roskapostiohjeita, jolloin koodi saadaan näyttämään erilaiselta, vaikka troijalainen säilyttääkin alkuperäisen toiminnallisuutensa. Joskus koodin muunto tapahtuu reaaliaikaisesti – aina tai lähes aina, kun troijalainen ladataan tartunnan saaneelta verkkosivustolta. Warezow-sähköpostimato käytti tätä tekniikkaa ja aiheutti käyttäjille vakavia ongelmia.

Stealth-tekniikat
Rootkit-tekniikat, joita troijalaiset yleensä käyttävät, voivat kaapata ja korvata järjestelmän toimintoja pilottaakseen tartunnan saaneen tiedoston käyttöjärjestelmältä ja virustorjuntaohjelmistoilta. Joskus myös rekisterin haarat, joihin troijalainen rekisteröidään, ja muut järjestelmätiedostot piilotetaan.

Virustorjuntaohjelmistojen ja virustorjuntatietokantojen päivitysten estäminen
Monet troijalaiset ja verkkomadot etsivät aktiivisesti virustorjuntaohjelmistoja uhritietokoneen aktiivisten sovellusten luettelosta. Seuraavaksi haittaohjelma yrittää:

• estää virustorjuntaohjelmiston toimimisen
• vahingoittaa virustorjuntaohjelman tietokantoja
• estää virustojuntaohjelmiston päivitysprosessien toimimisen oikein

Haittaohjelman voittamiseksi virustorjuntaohjelmiston on puolustauduttava hallitsemalla tietokantojensa eheyttä piilottamalla prosessinsa troijalaisilta.

Koodin peittäminen verkkosivustolla
Virustorjuntaohjelmistojen tarjoajat oppivat nopeasti niiden verkkosivustojen osoitteet, joilla on troijalaistiedostoja. Heidän virusanalyytikkonsa tutkivat sitten näiden sivustojen sisältöjä ja lisäävät uudet haittaohjelmat tietokantoihinsa. Verkkosivua voidaan kuitenkin muokata ja yrittää siten taistella virustarkistuksia vastaan, niin että kun virustorjuntayhtiö lähettää pyyntöjä, troijalaisen sisältävän tiedoston sijaan ladataankin tiedosto, jossa ei ole troijalaista.

Määrähyökkäykset
Määrähyökkäyksissä jaetaan suuri määrä troijalaisten versioita ympäri internetiä lyhyen ajan sisällä. Tämän seurauksena virustorjuntayhtiöt saavat analysoitavaksi valtavan määrän näytteitä. Kyberrikollinen toivoo, että kunkin näytteen analysoinnin viemä aika antaa haittaohjelmakoodille mahdollisuuden tunkeutua käyttäjien tietokoneille.

Nollapäiväuhat

Virustorjuntaohjelmistosi päivitetään säännöllisesti. Tämä on yleensä reaktio nollapäiväuhkaan. Tämä on haittaohjelman väistötekniikka, jossa kyberrikollinen käyttää hyödykseen ohjelmiston tai laitteiston haavoittuvuutta ja julkaisee haittaohjelman ennen kuin virustorjuntaohjelmisto voi korjata sen.

Tiedostottomat haittaohjelmat

Tämä on uudempi tapa suorittaa haittaohjelmia koneella. Se ei edellytä minkään tallentamista kohdekoneelle. Tiedostoton haittaohjelma toimii täysin koneen muistissa, minkä ansiosta se pystyy ohittamaan virustarkistukset. Tartunnan saaneella verkkosivulla käyminen ei tartuta haittaohjelmaa suoraan. Sen sijaan käytetään aiemmin tunnettua haavoittuvuutta ohjelmassa ja ohjataan kone lataamaan haittaohjelman muistialueelle, missä se suoritetaan. Tiedostomattomat haittaohjelmat tekee vaaralliseksi se, että kun haittaohjelma on tehnyt tehtävänsä tai kone on nollattu, muisti pyyhitään eikä rikollisen haittaohjelman asentamisesta jää todisteita.

TietojenkalasteluTietojenkalastelu on yksi yleisimmistä kyberrikollisten tekniikoista varastaa tietoja. Tietojenkalasteluhyökkäyksessä hyökkääjä hämää uhreja esiintymällä luotettavana tai tunnettuna tahona. Jos käyttäjä napsauttaa haitallista linkkiä tai lataa tartunnan saaneen tiedoston, hyökkääjä voi saada pääsyn käyttäjän verkkoon ja varastaa hänen arkaluotoisia tietojaan. Virustorjuntaohjelmisto voi havaita vain tunnettuja uhkia, eikä ole luoettavasti tehokas uusia variantteja vastaan. 

Selainpohjaiset hyökkäykset Virustorjuntaohjelmistolla ei ole pääsyä käyttöjärjestelmiin, jotka sallivat selainpohjaisten hyökkäysten ohittaa ne. Nämä hyökkäykset tartuttavat laitteesi käyttämällä haitallisia komentosarjoja ja koodeja. Näiden hyökkäysten estämiseksi joissain selaimissa on sisäänrakennettuja torjuntatyökaluja, mutta niitä on käytettävä johdonmukaisesti ja oikein, jotta ne tehoavat.

Sisällön koodaaminenSisällön koodaaminen on yksi tekniikoista, joiden avulla haittaohjelmat ohittavat virustarkistuksia. Kyberrikolliset käyttävät usein työkaluja tämän tekemiseen manuaalisesti, ja kun haittaohjelma toimitetaan ja aktivoidaan, sen koodaus puretaan, ja se tekee tuhojaan. Tässä käytetään yleensä pientä koodatun viruksen eteen lisättyä otsikko-ohjelmaa. Virustarkistusohjelmat eivät havaitse tämän ohjelman olevan uhka ja näkevät koodatun viruksen pelkkänä datana. Kun otsikko sitten käynnistetään (esimerkiksi olemassa olevaan suoritettavaan tiedostoon sisällytettynä), se purkaa haittaohjelmakoodin muistialueelle, siirtää sitten ohjelmalaskurin sille alueelle ja suorittaa haittaohjelman.

Haittaohjelmilta suojautuminen

Virustorjuntaohjelmiston käyttämisen pitäisi olla keskeinen osa kyberturvallisuusstrategiaasi. Kuten tämä artikkeli osoittaa, yritysten ei kuitenkaan pitäisi luottaa pelkästään siihen. Parhaan mahdollisen tietoturvan varmistamiseksi kannattaa sijoittaa monitasoiseen kyberturvallisuuteen. Kyberrikollisten pitämiseen poissa verkostasi voi käyttää mm. seuraavia työkaluja:

Laitteen salausLaitteiden salaaminen varmistaa, ettei kukaan pääse käsiksi niiden sisältämiin tietoihin ilman oikeaa salasanaa tai avainta. Vaikka laite varastettaisiin tai se saisi haittaohjelmatartunnan, kunnollinen salaus voi estää luvattoman käytön. 

Monivaiheinen tunnistautuminenMonivaiheinen tunnistautuminen edellyttää käyttäjiltä useamman tiedon, esimerkiksi aikarajatun koodin, syöttämistä ennen kuin he voivat käyttää tilejä. Tämä on turvallisempaa kuin pelkkään salasanaan luottaminen. Tämä on erityisen tärkeää, jos laitteilla tai tileillä on arkaluonteisia tai henkilökohtaisia tietoja.

Salasanojen hallintaSalasanat ovat tärkeitä tilien ja verkkojen suojaamisessa, mutta on erittäin tärkeää käyttää vahvoja salasanoja, joita ei käytetä muilla tileillä. Vahva salasana on vähintään 15 merkin pituinen, tai mielellään jopa pidempi. Se sisältää sekaisin isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Salasanojen hallintatohjelmistot voivat auttaa. Ne ovat suojattuja säilöjä yksilöllisille salasanoille ja suojaavat niitä hakkereilta. 

KyberturvatietoisuuskoulutusKyberrikollisuuden kasvaessa yritysten tulisi kouluttaa henkilöstöään kyberhyökkäyksiin liittyvistä riskeistä ja niiden kanssa toimimisesta. Kun käyttäjille kerrotaan kyberuhkaympäristön vaaroista, he oppivat tunnistamaan epäilyttävän toiminnan, kuten esimerkiksi tietojenkalasteluviestit.

Päätepisteiden tunnistus ja reagointiPäätepisteiden tunnistus- ja reagointiratkaisu valvoo verkon ja päätepisteiden käyttäytymistä ja tallentaa lokit. Päätepisteiden tunnistus- ja reagointitekniikat voivat tuottaa tietoturvahenkilöstölle dataa, jota he tarvitsevat kyberhyökkäyksen luonteen ymmärtämiseen. Ne myös lähettävät automatisoituja hälytyksiä ja auttavat päätepisteiden korjaamisessa. 

Kyberrikolliset eivät yleensä käytä pelkästään yhtä tapaa virustorjunnan väistämiseen. Päin vastoin: haittaohjelmat suunnitellaan kohtaamaan erilaisia tilanteita, jotta niillä on mahdollisimman suuri todennäköisyys onnistua. Onneksi tietoturvayhteisö on kuitenkin valppaana, oppii jatkuvasti uusista virustorjunnan ja haittaohjelmien väistötekniikoista ja kehittää uusia estotapoja.

Aiheeseen liittyvät artikkelit:

• Mitä on päätepisteiden suojaus ja miten se toimii?
• Näin haittaohjelmat tunkeutuvat järjestelmiin
• Käyttäjien manipulointi
• Haittaohjelmaluokitukset
• Virustorjuntaratkaisun valitseminen

Aiheeseen liittyvät tuotteet:

• Kaspersky Endpoint Security