profile

Michael Mayer

Anti-Virus ist kaputt “by Design”

Published 2 months ago • 2 min read

Hast du dir schon mal überlegt, was ein Anti-Virus den ganzen Tag eigentlich macht? Meistens hört und sieht man von ihm nichts und die konkreten Aufgaben sind oft nur vage definiert. Das ist fast wie ein Auftakt zu einer Diskussion über Home-Office und böses Micro-Management …

Klassische AVs sind einfach nur Blacklists

Wenn man sich das mal überlegt, ist es eigentlich keine Kunst, sie zu umgehen. Wenn du einen Weg findest, um Code auszuführen, den der AV als plausibel ansieht, wird er das einfach zulassen.

Früher haben die AV-Hersteller einfach nur Prüfsummen (Hashes) von bekannten Malware-Programmen berechnet und die Software hat sie blockiert. Die Updates kamen einmal im Jahr per CD oder Diskette.

Später kamen dann auch regelbasierte Erkennungsmethoden hinzu, die sogenannten Heuristiken. Da wurde der Code analysiert, auf bekannte Strings, auffällige Befehlssequenzen oder API-Aufrufe.

Warum die Geschichtsstunde?

Nun ja – auch ich komm langsam in ein Alter, wo ich über die "gute alte Zeit" von damals schwelge. Vom Prinzip der AVs hat sich seit damals aber nichts geändert.

Auch heute noch werden Heuristiken, Hashes und Verhaltensmuster verwendet, um Schadsoftware zu blockieren. Die Methoden werden immer ausgeklügelter und raffinierter, genauso wie die Malware, gegen die sie vorgehen.

Heutzutage gibt es Dateilose Malware, die komplett im Arbeitsspeicher läuft und Schnittstellen des Betriebssystems oder VBScript, PowerShell und WMI verwendet. Oder "polymorphic Malware", also eine sich ständig verändernde Malware, um so unerkannt wie möglich zu bleiben.

Aber ich verwende keinen AV, sondern EDR / XDR / NextGen-AV

Das Marketing der Cyber Security Firmen ist echt grandios und sie schaffen es immer wieder, alte Produkte in neue Verpackungen zu hüllen. Die oben genannten Systeme haben zu den klassischen AVs, aber trotzdem einen massiven Vorteil.

Sie schützen nicht nur einzelne Hosts, sondern das gesamte Netzwerk im Kollektiv.

Das heißt, dass alle AV-Clients auf Servern und Clients, ihre Erkenntnisse in eine zentrale Konsole melden und dort im Gesamten nochmals analysiert werden. So können ganze Angriffswellen gestoppt werden, wie zum Beispiel eine sich schnell ausbreitende Ransomware. Es können auch ungewöhnliche Querverbindungen zwischen den Hosts erkannt werden, wo ein Angreifer über einen kompromittierten Server, seine Malware im Netzwerk zentral steuert. Das ist echt hilfreich, wenn die Malware auf dem einzelnen Host nicht erkannt wird, aber in Summe schon.

Die Nachteile an den Systemen sind neben dem Preis, aber auch die Verpflichtungen, die man eingeht. Man braucht ein starkes Security-Team im Hintergrund, das mit den Meldungen umgeht und auch den vielen false-positives nachgeht. Diese NG-AVs sind leider sehr sensibel, was prinzipiell nicht schlecht ist, aber natürlich auch viel Arbeit macht.

Was ist jetzt mit Endpoint Protection mit AI? Wird uns das retten?

"Uns" ja, aber nur wenn du die Angreifer dazu zählst. 😈 Ja, auch Angreifer nutzen die Vorteile von AI, nicht nur bei der Recherche, sondern auch bei der Erstellung von Malware.

  • Polymorphic Malware: Sie kann per AI deutlich besser verschleiert werden als von Hand.
  • Sandbox Detection: Erkennung, ob die Malware gerade analysiert wird und den schadhaften Code nicht aktiviert.
  • AI vs AI: Täuschung der dynamischen AI-Malware-Erkennung durch Einfügen von Pseudo-Code, der als nicht bösartig klassifiziert wird.
  • Covert Channels: Die zentrale Steuerung der Malware wird dynamisch in legitimem Traffic versteckt.

Fazit

In der Security geht es viel um Prävention und Risikominimierung. Nur weil du in deinem Auto Gurte und Airbags hast, solltest du auf der Autobahn trotzdem nicht wie bei einem Demolition Derby unterwegs sein.

Und im Alltag mit dem Computer ist es dasselbe: Egal, ob du einen Next-Gen-AI-WTF-Anti-Virus hast, oder einen klassischen. Hands-on Trainings, Hausverstand, Benutzerkontensteuerung (UAC), Software Whitelisting und Endpoint Hardening sollten das "Heavy Lifting" machen.

Die restlichen 10% fängt dann der Anti-Virus, also hoffentlich…

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Hacker, Erklärbär, Unternehmer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Wenn Hacker wie die “Feuchten Banditen” in Kevin allein zu Haus unbemerkt durch dein Netzwerk schleichen, möchtest du das sicher wissen. Der Film ist ein Paradebeispiel für Honeypots! Kevin lockt sie von einer Falle in die nächste und die Diebe tappen einfach hinein. Marv geht nicht durch die vereiste Haustür, sondern findet eine offene Kellertür, und sein Kopf wird von einem Bunsenbrenner gegrillt. Herrlich! Da bekommt man schon zu Ostern wieder Lust auf den Film. 😂 Was sind Honeypots genau?...

about 9 hours ago • 3 min read

Letzte Woche ging es um Passwort-Manager für Anwender, heute um Passwort-Manager für Computer. Zumindest indirekt. 😉 In deinem Netzwerk hast du bestimmt hunderte Windows Clients und Windows Server, die über sogenannte Golden-Master-Images aufgesetzt werden. Das spart viel Arbeit und Zeit und schafft eine Basis, auf die du dich verlassen kannst. Das Problem ist nur, dass du damit auch überall dasselbe Passwort für deinen lokalen Administrator gesetzt hast. Selbst wenn die Clients und Server...

7 days ago • 4 min read

Ich weiß echt nicht, was mich gerade mehr traurig macht. Dass wir 2025 immer noch Passwörter haben, oder dass wir darüber diskutieren, wie man sie richtig verwendet. Wer kennt es nicht, dass man bei der Verwandtschaft sitzt, beim Laptop den E-Mail-Client neu verbindet und der Onkel einen Schweißausbruch bekommt, wenn man ihm nach dem Passwort fragt. – "Passwort? Ich hab kein Passwort. Das hast du doch." Meist ist dann doch eines der drei Lieblingskennwörter, die vom Online-Banking bis hin zum...

14 days ago • 3 min read