Virenscanner sind selbst Software – und Software lässt sich ausschalten. Professionelle Angreifer deaktivieren Deine Sicherheitslösung als allerersten Schritt, bevor sie ihren eigentlichen Angriff ausrollen. Was nützt das beste Schloss, wenn der Einbrecher es einfach abschraubt?
Warum ist das so?
Virenscanner laufen als Programm auf Deinem Computer – mit denselben Rechten und Einschränkungen wie jede andere Software. Wenn ein Angreifer Administrator-Rechte auf Deinem System erlangt, hat er die volle Kontrolle. Er kann den Virenscanner stoppen, deinstallieren oder so manipulieren, dass er bestimmte Bereiche nicht mehr überwacht.
Es gibt verschiedene Methoden, mit denen Angreifer Sicherheitssoftware ausschalten:
Direkte Deaktivierung mit Admin-Rechten: Hat der Angreifer Administratorzugang, kann er den Dienst des Virenscanners einfach beenden. Viele Virenscanner haben zwar einen Selbstschutz, aber dieser lässt sich mit genügend Rechten umgehen – zum Beispiel über die Windows-Registrierung oder über Gruppenrichtlinien.
BYOVD – Bring Your Own Vulnerable Driver: Diese besonders perfide Technik nutzt legitime, aber verwundbare Treiber aus. Treiber laufen im Windows-Kernel – also auf der tiefsten und mächtigsten Ebene des Betriebssystems. Ein verwundbarer Treiber, der von Microsoft signiert ist, wird vom System als vertrauenswürdig akzeptiert. Über die Schwachstelle im Treiber kann der Angreifer dann den Virenscanner von der Kernel-Ebene aus abschießen. Der Scanner hat keine Chance, sich dagegen zu wehren, weil der Angriff von einer höheren Berechtigungsebene kommt.
Manipulation der Ausnahmelisten: Jeder Virenscanner hat eine Liste von Dateien und Ordnern, die er nicht überprüft (Ausnahmen/Exclusions). Angreifer fügen einfach ihre Malware-Ordner zu dieser Liste hinzu. Der Scanner ignoriert den Schadcode dann freiwillig.
Safe Mode Boot: Windows lässt sich im abgesicherten Modus starten, in dem die meisten Sicherheitsprogramme nicht geladen werden. Einige Ransomware-Varianten erzwingen einen Neustart im abgesicherten Modus, verschlüsseln dann ungestört die Systempartition und starten das System danach normal – der Virenscanner bemerkt nichts.
Prozess-Injection: Der Schadcode injiziert sich in einen vertrauenswürdigen Prozess, den der Virenscanner nicht als verdächtig einstuft. Von dort aus kann er die Sicherheitssoftware manipulieren, ohne selbst erkannt zu werden.
Das alles bedeutet: Dein Virenscanner ist nur so stark, wie der Angreifer es zulässt. Sobald ein Angreifer genügend Rechte hat, wird der Virenscanner zum ersten Opfer – nicht zum Verteidiger.
Beispiele aus der Praxis
GhostEngine ist das Paradebeispiel für BYOVD-Angriffe. Die Malware brachte zwei verwundbare, aber von Microsoft signierte Treiber mit: einen Avast-Treiber und einen IObit-Treiber. Über diese Treiber schaltete GhostEngine sämtliche Endpoint-Detection-and-Response-Lösungen (EDR) auf dem Zielsystem ab. Danach installierte sie ungestört einen Kryptominer, der die Rechenleistung der betroffenen PCs missbrauchte. Kein Virenscanner schlug Alarm – alle waren bereits ausgeschaltet.
Conti, die Ransomware-Gruppe hinter dem verheerenden Angriff auf das irische Gesundheitssystem HSE, deaktivierte systematisch Sicherheitssoftware auf jedem kompromittierten System. Ihre Anleitung – die durch Leaks öffentlich wurde – enthielt detaillierte Schritt-für-Schritt-Anweisungen zum Abschalten gängiger Virenscanner. Für Conti war das Deaktivieren der Sicherheitslösung Routine, wie das Aufschließen einer Tür.
Ryuk nutzte eine Kombination aus Emotet (für den Erstzugang), TrickBot (für die Ausbreitung) und eigenen Tools, um Sicherheitssoftware zu deaktivieren. Erst wenn alle Virenscanner auf allen erreichbaren Systemen im Netzwerk ausgeschaltet waren, startete Ryuk die Verschlüsselung. Das Ergebnis: Krankenhäuser und Kommunen standen vor verschlüsselten Systemen, deren Virenscanner längst abgeschaltet waren.
Wie schützt Deep Freeze davor?
Deep Freeze arbeitet auf einer Ebene, die sich nicht einfach deaktivieren lässt. Es greift tief in den Bootprozess ein und schützt sich selbst gegen Manipulation. Aber selbst wenn es einem Angreifer theoretisch gelänge, Deep Freeze zu umgehen: Beim nächsten Neustart wird der gesamte Systemzustand zurückgesetzt – einschließlich aller Änderungen, die der Angreifer vorgenommen hat. Der Virenscanner ist danach wieder aktiv, die Malware ist weg, und die Manipulation ist rückgängig gemacht. Deep Freeze ist keine Software, die man einfach beenden kann – es ist ein Zustandsschutz, der beim Neustart greift.
Virenscanner sind Software, und Software lässt sich abschalten. Deep Freeze lässt sich nicht einfach deaktivieren – und selbst wenn es einem Angreifer gelänge, stellt der nächste Neustart den sauberen Zustand wieder her. Das ist ein Schutz, den kein Angreifer einfach abschrauben kann.