Wykryty w maju 2012 r. wirus Flame udowodnił, że tradycyjna ochrona antywirusowa zapewnia znikomą skuteczność przeciw atakom niewielkich grup hakerskich. Tymczasem za większością ataków stoją zawodowi cyberprzestępcy, którzy zarabiają na tym ogromne pieniądze. Dysponują oni na tyle dużymi budżetami, by opracować skuteczne i trudne do wykrycia złośliwe oprogramowanie.

W przypadku wirusów tworzonych do celów militarnych, które mogą zainfekować cywilne systemy, można mieć pewność, że atak nie zostanie wykryty przez narzędzia antywirusowe ani inne metody ochrony dostępne w typowych stacjach roboczych. Flame udowodnił to w całej rozciągłości: był aktywny przez co najmniej dwa lata, zbierając dokumenty, nagrywając dźwięki, połączenia Skype'a, rejestrując wciskane klawisze oraz ruch sieciowy, a także zapisując zrzuty ekranu. W ciągu dwóch lat alarmu nie podniosła żadna z firm zajmujących się bezpieczeństwem oprogramowania, włącznie z producentami antywirusów.

Mikko Hypponen, założyciel i szef działu badawczego firmy F-Secure, mówi: "Flame był wpadką całego przemysłu narzędzi antywirusowych. Niestety, nie daliśmy rady, w naszej własnej grze byliśmy kimś z niższej ligi". Flame jest jednym z przykładów, warto również wspomnieć o wirusie Stuxnet, który miał sparaliżować instalacje nuklearne na Bliskim Wschodzie.

Nieznany kod, nieznane zagrożenie

Początkowo niemal wszystkie antywirusy bazowały na porównaniu fragmentów kodu ze znanymi sygnaturami. Pierwsze wirusy charakteryzowały się niewielką zmiennością, ale bardzo prędko ich twórcy nauczyli się omijać narzędzia antywirusowe. W tym czasie odbywała się jeszcze statyczna comiesięczna dystrybucja aktualizacji za pomocą dyskietek, a w Polsce liderem był program MkS_vir. Epoka skończyła się razem z rozwojem internetu, ale model dopasowania do wzorców, czyli sygnatur, nadal jest obecny w wielu programach antywirusowych. Ma on jedną wadę - wobec ważnych zagrożeń jest całkowicie nieskuteczny.

Podstawowy problem polega na tym, że cyberprzestępca tworzący złośliwy kod może bardzo szybko sprawdzić jego wykrywalność przez najważniejsze antywirusy. Wystarczą proste zmiany kodu przed kompilacją, aby uniknąć wykrycia. Do utworzenia próbki złośliwego kodu dostawcy narzędzi antywirusowych muszą zgromadzić od kilku do kilkunastu różnych próbek tego samego kodu, a przy takim modelu rozwoju wirusów dotrze do nich tylko jedna. Precyzyjne ataki kierowane organizowane są w taki sposób, by żaden z producentów antywirusów nie otrzymał próbki kodu.

Sztuczna inteligencja i analiza behawioralna

Aby uzupełnić niedostatek oprogramowania bazującego na statycznych sygnaturach, opracowano analizę pobieranego kodu. Zamiast koncentrować się na wzorcach binarnych, producenci oprogramowania antywirusowego przyjrzeli się aktywności złośliwego oprogramowania. Umożliwiło to sklasyfikowanie czynności wykonywanych przez wirusy, takich jak: tworzenie plików w pewnych miejscach, modyfikacja niektórych kluczy rejestru Windows umożliwiająca automatyczne uruchamianie aplikacji, otwieranie połączeń sieciowych czy poszukiwanie innych komputerów w otoczeniu sieciowym.

Tak powstała metoda wykrywania zagrożeń oparta na badaniu zachowań danego oprogramowania. Szybko zdobyła popularność, ale twórcy wirusów nauczyli się ją obchodzić, stosując stopniowe pobieranie składników "na raty" i tworzenie wynikowego kodu. Ataki drive-by są obecnie podstawową techniką zarażania stacji roboczych.

Ocena reputacji stron i plików

Jedną z najskuteczniejszych metod w zwalczaniu masowych infekcji jest korelacja zdarzeń i linków przez dostawcę oprogramowania antywirusowego. Dzięki efektowi skali, na masowe infekcje za pomocą tego samego kodu można reagować o wiele szybciej niż dotąd.

Nowością jest podejście, które zakłada kojarzenie nie tylko plików, ale także linków, skąd dane pliki pochodzą. Metoda ta umożliwia wsteczną klasyfikację nieznanego oprogramowania jako złośliwego, jeśli uda się wykryć odwołanie do serwerów, o których wiadomo, że hostują konie trojańskie lub inne złośliwe oprogramowanie.

Oznacza to, że jeśli cyberprzestępca skorzysta ze znanych serwerów, to każdy wirusa uda się w ten sposób prawidłowo oznaczyć. Przy profilowanych atakach spoza głównego strumienia zagrożeń metoda ta zawiedzie - intruz skorzysta z serwera o dobrej reputacji, umieści tam nieznany kod, a atak drive-by zostanie przeprowadzony tak, by nie powodować alarmu.

Luki bezpieczeństwa w aplikacjach

Poszukiwanie podatności w systemach operacyjnych i aplikacjach było od dawna ulubionym zajęciem specjalistów do spraw bezpieczeństwa. Podatności w systemach operacyjnych i aplikacjach statystycznie muszą występować, gdyż dzisiejsze oprogramowanie jest bardzo skomplikowane.

Włamywacz może przełamać wiele zabezpieczeń. Kodu eksploita nie znają nie tylko producenci antywirusów, ale także dostawcy systemu operacyjnego, a zatem nie można mówić o przygotowaniu pod jego kątem odpowiednich sygnatur. Ochronę w przypadku połączeń sieciowych może dostarczyć urządzenie IPS analizujące ruch sieciowy.

Obce sterowniki

Gdy w antywirusach wprowadzono narzędzia sprawdzające spójność instalacji Windows, włamywacze opracowali kolejną technologię ukrywania wirusów - wprowadzali je jako sterowniki urządzeń. Aby załadować sterownik w Windows XP, wystarczyło wprowadzić drobne zmiany w konfiguracji systemu, ale od wystąpienia 64-bitowego systemu Windows Vista zadanie stało się o wiele trudniejsze.

Wtedy hakerzy opracowali narzędzia, które umożliwiły ładowanie obcych obiektów do jądra systemu, dzięki czemu antywirus nie miał przewagi nad wirusem, wynikającej z pracy na wyższym poziomie uprawnień. Niekiedy do załadowania obcego kodu wykorzystywano błędy w istniejących sterownikach, a nawet w samym oprogramowaniu antywirusowym.

Wirus obecny w jądrze systemu jest o wiele trudniejszy do usunięcia i przy takim ataku antywirus jest najczęściej bezradny. Niemniej najnowsze zabezpieczenia Windows 8 i sprzętu być może zmniejszą ryzyko ataków.

System pod pełną kontrolą

Wprowadzenie obowiązku cyfrowego podpisywania sterowników początkowo utrudniło infekcję na poziomie jądra systemu, ale bardzo prędko włamywacze poradzili sobie także z tym zabezpieczeniem. Opracowany przez nich program nazywany bootkitem przejmuje kontrolę nad systemem Windows na wczesnym etapie startu systemu, uruchamiając go w kontrolowanym środowisku. Mając kontrolę nad startem systemu, może wprowadzić w nim dowolne zmiany, z wyłączaniem obowiązku podpisywania sterowników.

Jeśli system zostanie uruchomiony pod kontrolą bootkita, antywirus jest bezradny, może zostać ominięty lub wyłączony. Zagrożenie dla bezpieczeństwa Windows było na tyle poważne, że Microsoft zdecydował się na rozwój technologii zaufanego startu systemu, podczas którego jeszcze przed uruchomieniem systemu operacyjnego sprawdzane są podpisy cyfrowe najważniejszych składników odpowiedzialnych za najwcześniejsze etapy startu. Mimo wszystko narzędzia antywirusowe są bezradne, jeśli tylko wirus zostanie uruchomiony przed startem Windows i przejmie kontrolę nad procesem jego uruchamiania.

Integracja z systemem Windows

Początkowo wirusy w niewielkim stopniu ingerowały w system Windows, ale z czasem złośliwe oprogramowanie stawało się coraz bardziej związane z mechanizmami systemu. Obecnie wirusy coraz rzadziej korzystają z prostych kluczy rejestru do automatycznego uruchamiania (HKLM [..] Run), integrują się jako jedna z usług systemowych lub rejestrują jako składnik powłoki systemu.

Metoda ta jest skuteczna, w ten sposób działają wirusy ransomware, żądające opłaty za odblokowanie systemu. Gdy twórca wirusa podszedł profesjonalnie do jego konstrukcji, usunięcie wszystkich zmian przez narzędzia antywirusowe będzie niemożliwe - nawet twórcy oprogramowania antywirusowego zalecają reinstalację systemu operacyjnego. Windows 8 może zaoferować w takim przypadku opcję automatyzowanej reinstalacji, czyli odświeżenia systemu.