Kaspersky Lab veröffentlicht eine Analyse zumr Entwicklung der Selbstschutztechnologien von Schadprogrammen von Alisa Schewtschenko, einer führenden Analytikerin des Unternehmens.
In den letzten Jahren wurde – jeweils unter einem ehrenhaften Vorwand – immer wieder Konzeptcode entwickelt, der die aktuellen Schutzlösungen umgeht. Aus der Konkurrenz zwischen Cyberkriminellen und der Antivirus-Industrie hat sich so mittlerweile ein ganz eigenes „Wettrüsten“ entwickelt, dessen Ende nicht abzusehen ist. Eine neue Entwicklung der einen Seite provoziert unweigerlich eine Aktivität der Gegenseite.
Je weiter sich die Systeme zum Schutz vor Schadsoftware entwickeln, desto dringlicher suchen die Virenautoren nach Mitteln und Wegen, ihre Machwerke vor Antivirusprogrammen zu schützen. Die wichtigste Aufgabe, die der Selbstschutz schädlicher Programme zu leisten hat, besteht darin, die Entdeckung von Schadprogrammen durch Antiviruslösungen, die Analyse des Schadcodes durch die Virenanalytiker, die Entdeckung schädlicher Programme im System sowie die Funktion der Schutz-Software (Antivirus-Programme, Firewalls) insgesamt zu erschweren. Jeweils eine oder mehrere dieser Aufgaben werden von den verschiedenen Arten des Selbstschutzes erfüllt.
Unter dem Druck der immer härteren Bedingungen im Kampf gegen die Antivirusprogramme entwickelten sich Selbstschutztechnologien rasant weiter. Von Codemodifikationstechniken wie Polymorphismus und Metamorphismus über Methoden zur Erschwerung der Codeanalyse wie Verschlüsselung und Obfuskation bis hin zu Angriffen auf Anti-Virus-Programme und moderne Rootkit-Technologien gibt es heute vielfältige Technologien, mit denen Virusautoren versuchen, ihre Produkte zu schützen.
Für die Zukunft ist zu erwarten, dass sich einige Techniken des Selbstschutzes weiterhin intensiv entwickeln werden:
- Rootkits. Die Unsichtbarkeit im System ist ein wesentlicher Vorteil, selbst wenn dadurch kein Schutz vor Entdeckung mehr gewährleistet ist. Die wahrscheinlichsten Neuerungen auf diesem Gebiet sind neue Typen körperloser Dateien sowie – etwas später – der Einsatz von Virtualisierungstechnologien.
- Obfuskation und Verschlüsselung. Das Erschweren der Codeanalyse bleibt aktuell.
- Widerstand gegen Schutzlösungen, die auf der Grundlage der Verhaltensanalyse funktionieren. In diesem Bereich ist mit dem Erscheinen neuer Technologien zu rechnen, da die derzeit angewendeten (zielgerichtete Angriffe auf Antivirusprogramme) nicht effektiv sind. Möglicherweise wird es sich hierbei um Methoden zum Erkennen virtueller Umgebungen oder das Verschlüsseln von Verhaltensmustern handeln.
Der komplette Text des Aufsatzes kann unter Viruslist.com heruntergeladen werden.
