бэкдор что это такое
С чёрного входа: смысл термина Backdoor
В английском языке бэкдор (Backdoor — чёрный вход, задняя дверь) термин очень, так сказать, выразительный, неплохо описывающий возможные последствия эксплуатации данного типа угроз. Он, однако, не даёт сколько-нибудь очевидного объяснения,
В английском языке бэкдор (Backdoor — чёрный вход, задняя дверь) термин очень, так сказать, выразительный, неплохо описывающий возможные последствия эксплуатации данного типа угроз. Он, однако, не даёт сколько-нибудь очевидного объяснения, что такое бэкдор с технической точки зрения. Что ж, мы попытаемся разъяснить. Во-первых, бэкдор — это прежде всего метод, а не конкретная вредоносная программа. Из бюллетеней по безопасности складывается впечатление, что это просто один из типов зловредов: «Этот троянец устанавливает бэкдор…». Но по существу — это именно метод обхода надлежащей авторизации, который позволяет получать скрытый удалённый доступ к компьютеру. «Скрыты» не означает «необнаружимый», хотя, конечно, преступники предпочли бы, чтобы это было именно так.
Бэкдоры нужны для незаметного проникновения.
История бэкдоров начинается где-то в конце 1960-х, когда, согласно Wikipedia, широко распространились многопользовательские системы, связанные в сети. В исследовательской работе, опубликованной в протоколах конференции AIPS в 1967 году, упоминается угроза, получившая название «люк» (trapdoor), описывающая «точки проникновения» в ПО, которые позволяли обходить надлежащую авторизацию; сегодня для описания этой угрозы используется термин «бэкдор».
Примеры бэкдоров встречаются и в популярной культуре. Например, в фильме 1983 года WarGames («Военные игры«) разработчик военного суперкомпьютера WORP вписал в код пароль (имя своего умершего сына), который обеспечивал пользователю доступ к системе и её незадокументированным функциям (в частности, симуляции, похожей на видеоигру, и прямой доступ к искусственному интеллекту).
Ранее мы уже упоминали о телесериале «В поле зрения», где речь идёт об искусственном интеллекте — «Машине», чьи создатели обеспечили себе доступ через «бэкдор», чтоб получать информацию о людях, которым угрожает опасность — и это отправная точка всего сюжета.
«Установить бэкдор» означает, как правило, не установку собственно вредоносного ПО, но, скорее, внесение изменений в легитимный программный пакет с целью как минимум частичного обхода средств защиты и обеспечения скрытого доступа к интересующим злоумышленников данным. Возможно, это прозвучит странно, но «дефолтные» пароли к программам и устройствам сами по себе могут представлять бэкдоры. Особенно, если их не сменить. Как бы там ни было, существуют и зловреды, именуемые бэкдорами и троянцами-бэкдорами: это програмные модули, обеспечивающие их операторам несанкционированный доступ в заражённую систему с вероятной целью вывода информации на регулярной основе либо же превращения этой системы в часть ботнета, который будет распространять спам в огромных количествах или использоваться для DDoS-атак.
Бэкдоры также позволяют творить всё что угодно на инфицированных компьютерах: отправлять и принимать файлы, запускать их или удалять, выводить сообщения, стирать данные, перезагружать систему, и т.д.
Многие компьютерные черви прошлого (Sobig, Mydoom и другие) устанавливали бэкдоры на заражённые ими компьютеры. Аналогично, многие сегодняшние троянцы обладают такими же функциями. Бэкдор-троянцы, на самом деле, вообще самый распространённый тип троянцев. И
менно бэкдоры, позволяющие выводить данные из заражённых машин, являются ключевой функциональностью крупномасштабных APT, таких как Flame и Miniduke, обнаруженных «Лабораторией Касперского».
Бэкдоры устанавливаются там, где защита «легко рвётся».
Бэкдоры (троянцы), как правило, устанавливают на скомпрометированных системах те или иные серверные компоненты. Те открывают определённые порты или сервисы, обеспечивая атакующим возможность входа при посредстве клиентского ПО бэкдора. Таким образом, компьютер — или программный пакет — оказывается под контролем злоумышленника без ведома пользователя.
Данная проблема затрагивает не только персональные компьютеры и локальный софт. Простой PHP-скрипт позволяет создавать в системе управления контентом WordPress администраторские аккаунты; троянцам-бэкдорам под мобильную ОС Android так и вообще нет счёту. Как с ними бороться? — С помощью ПО для защиты информации и базовой информационной гигиены. Большая часть вредоносного ПО требует как минимум некоторой степени кооперации со стороны пользователя. Другими словами, злоумышленникам требуется обманом заставить юзеров установить троянцы самостоятельно — и для этого используется социальная инженерия и прочие способы усыпления бдительности.
Что такое бэкдор и как предотвратить вирусные атаки
Бэкдор — это любой метод, который позволяет кому-либо — хакерам, правительствам, ИТ-специалистам и т. д. — получить удаленный доступ к вашему устройству без вашего разрешения или ведома.
Хакеры могут установить бэкдор на ваше устройство, используя вредоносное ПО, используя уязвимости вашего программного обеспечения или даже напрямую устанавливая бэкдор в аппаратное обеспечение / прошивку вашего устройства.
Как только хакеры входят в вашу машину без вашего ведома, они могут использовать бэкдоры по разным причинам, например:
Никто не застрахован от взлома бэкдором, и хакеры постоянно изобретают новые методы и файлы вредоносных программ, чтобы получить доступ к пользовательским устройствам.
Если вы думаете, что стали жертвой бэкдор-атаки, вы можете многое сделать, чтобы закрыть бэкдоры в своей системе, оценить нанесенный ущерб и предотвратить еще один взлом бэкдора в будущем.
Что такое бэкдор и как он работает?
В кибербезопасности бэкдор — это все, что может позволить стороннему пользователю проникнуть на ваше устройство без вашего ведома или разрешения.
Бэкдоры могут быть установлены в двух разных частях вашей системы:
Бэкдор может быть установлен разработчиками программного обеспечения и оборудования для целей удаленной технической поддержки, но в большинстве случаев бэкдоры устанавливаются либо киберпреступниками, либо назойливыми правительствами, чтобы помочь им получить доступ к устройству, сети или программному приложению.
Любое вредоносное ПО, которое предоставляет хакерам доступ к вашему устройству, может рассматриваться как бэкдор — в том числе руткиты, трояны, шпионское ПО, криптоджекеры, клавиатурные шпионы, черви и даже программы-вымогатели.
Как работают бэкдор-атаки?
Чтобы киберпреступники смогли успешно установить бэкдор на ваше устройство, им сначала необходимо получить доступ к вашему устройству посредством физического доступа, атаки вредоносного ПО или эксплуатации уязвимости системы — вот некоторые из наиболее распространенных уязвимостей, на которые нацелены хакеры:
Эксплойты — это целевые атаки, которые используют уязвимости программного обеспечения (обычно в веб-программном обеспечении, таком как браузеры, Adobe Flash, Java и т. д.), чтобы предоставить хакерам доступ к вашей системе.
Для целей этой статьи все, что вам нужно знать, это то, что существуют вредоносные веб-сайты и рекламные объявления, которые сканируют ваш компьютер на предмет уязвимостей программного обеспечения и используют эксплойты для таких действий, как кража ваших данных, сбой вашей сети или установка бэкдора на ваше устройство.
Итак, как только вредоносный файл заражает ваше устройство, или если ваше устройство физически скомпрометировано (украдено или взломано), или вы стали целью атаки с использованием эксплойтов, хакеры могут установить бэкдор в вашей системе.
Вот несколько примеров различных часто используемых бэкдоров:
Примеры атак через бэкдор
Уязвимы ли вы к атакам через бэкдор?
К сожалению, да — у большинства пользователей есть множество слабых мест в своих онлайн-аккаунтах, сетях, устройствах и даже устройствах, подключенных к интернету (IoT).
Вот некоторые из методов, которые хакеры используют для установки бэкдоров на пользовательские устройства:
Лучшие способы предотвращения атак через бэкдор
Бэкдоры сложно обнаружить. Обычные пользователи не могут обнаружить бэкдор, просто открыв диспетчер задач.
Но есть несколько простых шагов, которые вы можете предпринять, чтобы обезопасить свое устройство от вирусных атак через бэкдоры, например:
Используйте антивирус
Всегда используйте передовое антивирусное программное обеспечение, которое может обнаруживать и предотвращать широкий спектр вредоносных программ, включая трояны, криптоджекинг, шпионское ПО и руткиты.
Антивирус обнаружит бэкдор-вирусы и устранит их, прежде чем они смогут заразить ваш компьютер.
Хорошее антивирусное программное обеспечение, такое как «Norton 360», также включает в себя такие инструменты, как мониторинг Wi-Fi, расширенный брандмауэр, веб-защиту, а также мониторинг конфиденциальности с помощью микрофона и веб-камеры, чтобы обеспечить максимальную безопасность в интернете.
Скачивайте с осторожностью
Бэкдоры часто связаны с, казалось бы, законными бесплатными программами, файлами и приложениями.
При загрузке любого файла из интернета проверьте, получаете ли вы только тот файл, который хотели, или есть какие-то неприятные попутчики.
Даже файл, который ведет себя как файл, который вы ищете, может быть трояном.
Всегда загружайте файлы с официальных сайтов, избегайте пиратских сайтов и устанавливайте антивирус с защитой в реальном времени, который может помечать вредоносные файлы, прежде чем вы даже загрузите их в свою систему.
Используйте брандмауэр
Брандмауэры необходимы для защиты от бэкдора — они контролируют весь входящий и исходящий трафик на вашем устройстве.
Если кто-то за пределами вашей одобренной сети пытается проникнуть на ваше устройство, брандмауэр заблокирует его, а если приложение на вашем устройстве пытается отправить данные в неизвестное сетевое расположение, брандмауэр также заблокирует это приложение.
Расширенные брандмауэры могут обнаруживать неавторизованный бэкдор-трафик, даже если обнаружение вредоносного ПО вашим устройством было обманом.
Windows и macOS имеют довольно приличные встроенные брандмауэры, но они недостаточно хороши.
Существует несколько антивирусных программ с хорошими брандмауэрами (у «McAfee» отличная защита сети), и вы также можете рассмотреть возможность приобретения интеллектуального брандмауэра, который представляет собой физическое устройство, которое вы подключаете к маршрутизатору, чтобы обеспечить максимальную безопасность вашей сети.
Используйте менеджер паролей
Менеджеры паролей генерируют и хранят информацию для входа во все ваши учетные записи и даже помогают вам автоматически входить в них.
Вся эта информация надежно зашифрована с использованием 256-битного шифрования AES и заблокирована мастер-паролем.
Продвинутые менеджеры паролей, такие как «Dashlane», могут даже повысить безопасность вашего хранилища паролей с помощью биометрического входа в систему или инструментов 2FA, таких как генераторы TOTP и USB-токены.
Поскольку они генерируют случайные сложные пароли, менеджеры паролей значительно усложняют хакерам проникновение в вашу сеть или распространение по ней в случае, если в вашей системе установлен бэкдор.
Будьте в курсе обновлений / исправлений безопасности
Бэкдор-атаки довольно редки, и большинство хакеров просто повторно используют одни и те же эксплойты и вредоносные программы, потому что это дешево и легко для них. Плюс — это работает.
Каждый третий ИТ-специалист (34%) в Европе признал, что их компания была взломана в результате не исправленной уязвимости.
Разработчики программного обеспечения часто публикуют новые патчи для исправления уязвимостей в своем программном обеспечении, и установить эти обновления несложно.
Многие программы даже включают функцию автоматического обновления.
Если вы пользователь macOS или Windows, перейдите к своим настройкам и включите «Автоматические обновления» — особенно важно постоянно обновлять вашу ОС, потому что бэкдоры зависят от того, как обмануть вашу операционную систему.
Часто задаваемые вопросы об атаках через бэкдор
Что такое бэкдор в кибербезопасности?
Бэкдор является любым методом, который может позволить другому пользователю получить доступ к устройству без вашего ведома или согласия (и, как правило, без знания устройства).
Бэкдор может быть установлен разработчиками программного и аппаратного обеспечения или киберпреступниками для получения несанкционированного доступа к устройству, установки вредоносного ПО, кражи пользовательских данных или саботажа в сети.
Как работают бэкдорные атаки?
При атаке через бэкдор хакеры сначала находят на вашем устройстве слабое место или скомпрометированное приложение для использования — это может быть уязвимость в приложении, открытый порт в вашей сети, учетная запись со слабым паролем или вредоносное ПО, которое было установлено на вашем устройстве.
Затем хакер использует сложные инструменты, чтобы обмануть ваше устройство, вашу сеть или вашу онлайн-учетную запись, заставив их думать, что бэкдор является законным приложением.
После взлома вашего устройства бэкдор можно использовать для развертывания на нем вредоносных программ (например, криптоджекеров, руткитов или программ-вымогателей), кражи ваших данных и слежки за вашей деятельностью или просто установки вирусов, чтобы вывести устройство из строя.
Что киберпреступники могут делать с бэкдором?
В зависимости от того, насколько сложна программа-бэкдор, она может позволить хакерам выполнять вредоносные действия, такие как DDoS-атаки, отправка и получение файлов, изменение настроек системы, создание снимков экрана и трюки, такие как открытие и закрытие DVD-привода.
Хакеры могут даже получить удаленный доступ к вашему устройству со своего компьютера с помощью бэкдора, перемещаясь по всем вашим файлам и программному обеспечению, не выходя из собственного дома.
Эдвард Сноуден сообщил, что АНБ внедрило бэкдоры в тонны пользовательской электроники и даже в широко распространенные криптографические протоколы, что позволило им прослушивать чьи-либо разговоры, активировать микрофоны и камеры и удаленно собирать пользовательские данные.
Как предотвратить бэкдор-атаки?
Существуют стратегии, которые можно использовать для предотвращения и снижения риска бэкдор-атаки, но первым и наиболее важным шагом в защите от вредоносных программ является получение надежной антивирусной программы.
Например, «Norton 360» поставляется с защитой в реальном времени (которая может предотвратить установку вредоносного ПО на ваш компьютер), брандмауэром (который может обнаруживать и предотвращать нежелательный веб-трафик), менеджером паролей (который может предотвратить взлом ваших учетных записей), сканер уязвимостей (который может сказать вам, нужны ли вам обновления программного обеспечения) и мониторингом темной сети (который может предупредить, если ваши данные были взломаны).
Кроме того, просто руководствуйтесь здравым смыслом в интернете.
По возможности используйте только веб-сайты HTTPS, избегайте пиратских веб-сайтов, не передавайте свою личную информацию ненадежным сайтам и сканируйте любые файлы, которые вы загружаете, с помощью антивирусной программы.
Что такое бэкдоры и почему так называется?
Доброго времени суток.
Уверен, вы бы не хотели, чтобы личная информация с вашего компьютера попала в руки незнакомым людям. И тем более — использовалась в преступных целях.
Поэтому я написал статью о том, что такое бэкдоры, ведь с их помощью злоумышленник может незаметно проникнуть в ваш ПК, и не исключено — даже с вашей помощью. Но зная об опасности, вы сможете от нее уберечься.
Разбор понятия
Английское словосочетание «back door» дословно переводится на русский язык как «задняя дверь», а правильнее — как «черный ход». В этом обозначении отображена суть термина. Злоумышленник незаметно залазит в ваш компьютер, как будто в дом через черный ход, чтобы украсть ваши драгоценности (в нашем случае — информацию).
Выражаясь по-умному, бэкдорами называются дефекты алгоритма, которые намеренно внедряются разработчиками при написании программы, чтобы после ее установки получить несанкционированный доступ к данным.
Чем опасен бэкдор?
Из вышесказанного следует, что вы можете скачать нормальный на первый взгляд софт. А в итоге окажется, в его коде была одна якобы ошибка, позволившая кому-то наворотить дел в вашем компе. Этим и опасен данный вид вредоносного программного обеспечения. Ведь его сложно обнаружить, но если это таки произойдет, в случае предъявления претензий к разработчику тот может легко отказаться от намеренности действий, сославшись на случайную невнимательность.
Вдобавок опасность бэкдора заключается в:
В целом, бэкдор позволяет злоумышленнику делать с вашим ПК что угодно:
Аппаратный Backdoor
Помимо программных зловредов, бывают еще аппаратные. Их внедряют в свои продукты изготовители аппаратного обеспечения. Наиболее частый пример — хакерская прошивка BIOS. Она может быть создана на базе свободных прошивок Coreboot и SeaBIOS. Первая не является полным биосом, а только обнаруживает железо и передает управление им «содержимому биоса», в роли которого может выступать вторая упомянутая прошивка, переделанная злоумышленником.
Как действует хакерский BIOS? Сразу после включения компьютера, до загрузки системы, он пытается с помощью интернета связаться с сервером правонарушителя. В случае успеха получает ответ с каким-нибудь буткитом — вредоносным модификатором загрузочного сектора операционки. Затем с его помощью хакер и оперирует вашими данными.
Другая классификация этих зловредов
В зависимости от того, как бэкдоры связываются со своими разработчиками, их разделяют на такие виды:
Примеры бэкдоров
Приведу наиболее известные примеры данных паразитов:
Как защититься?
Бэкдоры используют те же способы установки, что и другие вирусы (через ссылки, загружаемые файлы, при установке программ). Поэтому бороться с ними нужно так же, как и с любым вредоносным ПО:
В принципе это всё, что я вам хотел вам рассказать о том, что такое бэкдоры. До встречи на других страницах этого сайта!
Распознать и обезвредить. Поиск неортодоксальных бэкдоров
Согласно нашим подсчетам, в 72% зараженных сайтов использованы программы скрытого удаленного администрирования — бэкдоры. С их помощью мошенники получают удаленный доступ к вашему сайту, и понятное дело, чем это грозит владельцу: получение и передачи конфиденциальных данных пользователей, запуск вредоносных программ, уничтожения информации и тд.
Время от времени приходится сталкиваться с уникальными бэкдорами, которые не включают обычные функции PHP, такие как eval, create_function, preg_replace, assert, base64_decode и т.п.
Такие бэкдоры часто выглядят как исходный код без какой-либо обфускаций, нет зашифрованных строк, конкатенации строк, форматирования кода программы, изменения его структуры. Однако эти бэкдоры по-прежнему позволяют злоумышленнику запускать на вашем сервере произвольный код.
Бэкдор и Shutdown Function
Давайте начнем с простого. Комментарий в файле говорит, что это @package win.error.Libraries с функцией:
register_shutdown_function регистрирует функцию, которая выполнится по завершении работы скрипта. Потому, независимо от кода, который вы видите в скрипте, после его завершения будет выполнена функция обратного вызова из функции register_shutdown_function.
Функция, выполняемая после скрипта, будет выглядеть так:
В любом случае, код выглядит загадочным. Взглянем на него глазами хакера и предположим, что им был активирован скрипт со следующими параметрами POST:
d = create_function
е = base64_decode
с = some_base64_encoded_malicious_PHP_code
Теперь это выглядит как обычный бэкдор. Этот код не требует дополнительного вызова, так как register_shutdown_function регистрирует функцию обратного вызова, которая автоматом выполнится после завершения работы скрипта.
Бэкдор и Stream Wrapper
Теперь немного усложним задание по распознаванию бэкдоров.
Перед нами комментарий — @package Stream.ksn.Libraries, а значит, файл содержит класс Stream и функцию для работы с потоками stream_wrapper_register, которая регистрирует обертку по ksn протоколу.
А теперь, по порядку. Для владельцев сайта и некоторых вебмастеров этот код выглядит вполне законно — типичные файлы в системах управления контентом или сторонних плагинах — возможно, не совсем понятно за чем он и что делает, но если есть — видимо нужен и полезен. А кто-нибудь знает, что такое ksn потоки?
Но погодите — мы видим, что в коде присутствуют POST-данные. А вот это уже вызывает подозрение, так как параметры POST могут контролироваться злоумышленниками. Пока не совсем ясно, какие данные POST используются в этом коде. Поиграем в криптографов и используем технику декодирования, заменим буквы в фразе.
Начнем с этой части кода из функции stream_open:
Сомневаюемся, что доменное имя может содержать исполняемый PHP-код… верно?
Функция stream_wrapper_register регистрирует протокол ksn и класс Stream, который будет работать с этим протоколом. Класс Stream следует условию прототипа streamWrapper, а именно streamWrapper::stream_open — открывает файл или URL, и будет вызваться сразу же после инициализации протокола.
В нашем случае fopen открывает URL-адрес ksn: //:
Это создаст URL, в котором часть хоста — исполняемый зловредный PHP код.
Можно ли создать доменное имя или IP-адрес, который будет в действительности полноценным PHP-кодом для атаки веб-сайтов? Функция parse_url не проверяет URL-адреса на корректность, а просто разбивает их на части. Все от: // до первой косой черты (/) или двоеточия (:) считается основной частью URL адреса.
Например, если вы задаете parse_url function: ksn: // eval (base64_decode ($ _POST [«code»])); возвращена будет основная часть URL: eval (base64_decode ($ _ POST [«code»]));
Следуя логике бэкдора, получим следующие параметры POST:
е = base64_decode
с = some_base64_encoded_malicious_PHP_code
В этом случае формулировка fopen выглядит так:
Теперь, вернемся к stream_open function, это будет последним фрагментом головоломки. Теперь известно, какой URL-адрес можно передать файлу функции fopen:
И брюки превращаются, превращаются брюки — в элегантную строку:
Следующая строка просто выполняет бэкдор-код:
Другими словами, все, что требуется для выполнения бэкдор-кода, — это вызвать функцию fopen () с созданным URL-адресом ksn: //.
Выше был показан пример, как злоумышленники могут использовать менее известные функции PHP для создания уязвимостей. Учитывая, что на типичном веб-сайте есть тысячи PHP-файлов, вряд ли можно тщательно проверить каждый файл. Потому поиск вредоносного ПО на сайте — задача не совсем простая. Нельзя полагаться лишь на ручную проверку кода и простые скрипты, которые сканируют известные шаблоны вредоносных программ.