Co to jest backdoor?
Wyobraź sobie, że jesteś włamywaczem, który sprawdza dom pod kątem potencjalnej kradzieży. Widzisz znak bezpieczeństwa "Chroniony przez..." umieszczony na trawniku przed domem i kamerę dzwonka do drzwi Ring. Będąc przebiegłym włamywaczem, przeskakujesz ogrodzenie prowadzące na tyły domu. Widzisz, że są tam tylne drzwi, trzymasz kciuki i próbujesz przekręcić gałkę - są odblokowane. Dla zwykłego obserwatora nie ma żadnych zewnętrznych oznak włamania. W rzeczywistości nie ma powodu, dla którego nie mógłbyś ponownie obrabować tego domu przez te same tylne drzwi, zakładając, że nie splądrujesz tego miejsca.
Backdoory komputerowe działają w podobny sposób.
W świecie cyberbezpieczeństwa backdoor odnosi się do dowolnej metody, za pomocą której autoryzowani i nieautoryzowani użytkownicy są w stanie obejść normalne środki bezpieczeństwa i uzyskać dostęp użytkownika wysokiego poziomu (inaczej dostęp root) do systemu komputerowego, sieci lub aplikacji. Po wejściu do środka cyberprzestępcy mogą wykorzystać backdoora do kradzieży danych osobowych i finansowych, instalowania dodatkowego złośliwego oprogramowania i przejmowania kontroli nad urządzeniami.
Ale backdoory nie są przeznaczone wyłącznie dla złoczyńców. Backdoory mogą być również instalowane przez producentów oprogramowania lub sprzętu w celu uzyskania dostępu do ich technologii po fakcie. Backdoory o charakterze innym niż przestępczy są przydatne do pomagania klientom, którzy są beznadziejnie zablokowani na swoich urządzeniach lub do rozwiązywania problemów i rozwiązywania problemów z oprogramowaniem.
W przeciwieństwie do innych cyberzagrożeń, które ujawniają się użytkownikowi (patrząc na ciebie ransomware), backdoory są znane z tego, że są dyskretne. Backdoory istnieją dla wybranej grupy osób, które wiedzą, jak uzyskać łatwy dostęp do systemu lub aplikacji.
Jako zagrożenie, backdoory nie znikną w najbliższym czasie. Wedługraportu Malwarebytes Labs State of Malware, backdoory były czwartym najczęściej wykrywanym zagrożeniem w 2018 roku zarówno dla konsumentów, jak i firm - odpowiednio o 34 i 173 procent w porównaniu z rokiem poprzednim.
Jeśli obawiasz się backdoorów, słyszałeś o nich w wiadomościach i chcesz wiedzieć, o co chodzi, lub masz backdoora na swoim komputerze i musisz się go teraz pozbyć, jesteś we właściwym miejscu. Czytaj dalej i przygotuj się na wszystko, co kiedykolwiek chciałeś wiedzieć o backdoorach.
Wiadomości na temat backdoorów
- Czy Twoja witryna WordPress została przejęta przez skimmera?
- Kimsuky APT nadal atakuje rząd Korei Południowej za pomocą backdoora AppleSeed
- Ataki na Microsoft Exchange wywołują panikę, ponieważ przestępcy zbierają łupy
- Backdoory w elastycznych serwerach ujawniają prywatne dane
- Backdoory stanowią lukę w zabezpieczeniach
- Mac złośliwe oprogramowanie łączy w sobie backdoora EmPyre i górnika XMRig
- Mac Aplikacja do śledzenia kryptowalut instaluje backdoory
- Znaleziono kolejny dropper OSX.Dok instalujący nowego backdoora
Jak działają backdoory?
Zacznijmy od ustalenia, w jaki sposób backdoory trafiają na komputer. Może się to zdarzyć na kilka różnych sposobów. Albo backdoor pojawia się w wyniku działania złośliwego oprogramowania, albo w wyniku celowej decyzji producenta (sprzętu lub oprogramowania).
Złośliwe oprogramowanie typu backdoor jest ogólnie klasyfikowane jako trojan. Trojan to złośliwy program komputerowy udający coś, czym nie jest, w celu dostarczenia złośliwego oprogramowania, kradzieży danych lub otwarcia backdoora w systemie. Podobnie jak koń trojański ze starożytnej literatury greckiej, trojany komputerowe zawsze zawierają nieprzyjemną niespodziankę.
Trojany są niezwykle wszechstronnym narzędziem w zestawie narzędzi cyberprzestępców. Występują pod wieloma postaciami, takimi jak załącznik do wiadomości e-mail lub pobrany plik, i dostarczają dowolną liczbę zagrożeń złośliwym oprogramowaniem.
Aby spotęgować problem, trojany czasami wykazują zdolność robaka do replikowania się i rozprzestrzeniania na inne systemy bez żadnych dodatkowych poleceń ze strony cyberprzestępców, którzy je stworzyli. Weźmy na przykład trojana bankowego Emotet. Emotet rozpoczął swoją działalność w 2014 roku jako złodziej informacji, rozprzestrzeniając się na urządzeniach i kradnąc poufne dane finansowe. Od tego czasu Emotet ewoluował w narzędzie dostarczające inne formy złośliwego oprogramowania. Według raportu State of Malware, Emotet przyczynił się do tego, że trojan stał się najczęściej wykrywanym zagrożeniem w 2018 roku.
W jednym z przykładów złośliwego oprogramowania typu backdoor cyberprzestępcy ukryli złośliwe oprogramowanie w darmowym konwerterze plików. Nic dziwnego - niczego nie konwertował. W rzeczywistości pobrany plik został zaprojektowany wyłącznie w celu otwarcia backdoora w systemie docelowym. W innym przykładzie cyberprzestępcy ukryli złośliwe oprogramowanie typu backdoor w narzędziu używanym do piracenia aplikacji Adobe (niech to będzie lekcja na temat piractwa oprogramowania). W ostatnim przykładzie pozornie legalna aplikacja do wyświetlania kryptowalut o nazwie CoinTicker działała zgodnie z reklamą, wyświetlając informacje o różnych formach kryptowalut i rynkach, ale otworzyła również backdoora.
Gdy cyberprzestępcy postawią już nogę w drzwiach, mogą zastosować coś, co nazywa się rootkit. rootkit to pakiet złośliwego oprogramowania zaprojektowany w celu uniknięcia wykrycia i ukrycia aktywności internetowej (przed użytkownikiem i systemem operacyjnym). Rootkity zapewniają atakującym stały dostęp do zainfekowanych systemów. Zasadniczo, rootkit jest blokadą drzwi, która utrzymuje otwarte tylne drzwi.
Wbudowane lub zastrzeżone backdoory są umieszczane przez samych producentów sprzętu i oprogramowania. W przeciwieństwie do złośliwego oprogramowania typu backdoor, wbudowane backdoory niekoniecznie są tworzone z myślą o celach przestępczych. Najczęściej wbudowane backdoory istnieją jako artefakty procesu tworzenia oprogramowania.
Twórcy oprogramowania tworzą te konta backdoor, aby móc szybko wchodzić i wychodzić z aplikacji podczas ich kodowania, testować swoje aplikacje i naprawiać błędy oprogramowania (tj. błędy) bez konieczności tworzenia "prawdziwego" konta. Te backdoory nie powinny być dostarczane z ostatecznym oprogramowaniem wydanym publicznie, ale czasami tak się dzieje. To nie koniec świata, ale zawsze istnieje szansa, że zastrzeżony backdoor wpadnie w ręce cyberprzestępców.
Podczas gdy większość wbudowanych backdoorów, o których wiemy, należy do pierwszej kategorii (tj. kategorii "ups, nie chcieliśmy tego tam umieścić"), członkowie paktu wymiany informacji wywiadowczych Five Eyes (USA, Wielka Brytania, Kanada, Australia i Nowa Zelandia) poprosili Apple, Facebooka i Google o zainstalowanie backdoorów w ich technologii, aby pomóc w gromadzeniu dowodów podczas dochodzeń karnych. Chociaż wszystkie trzy firmy odmówiły, wszystkie trzy dostarczają dane niższego szczebla w zakresie wymaganym przez prawo.
Kraje Five Eyes podkreśliły, że te backdoory są w najlepszym interesie globalnego bezpieczeństwa, ale istnieje wiele możliwości nadużyć. CBS News odkryło, że dziesiątki funkcjonariuszy policji w całym kraju korzystało z obecnie dostępnych kryminalnych baz danych, aby pomóc sobie i swoim przyjaciołom nękać swoje byłe, skradać się do kobiet i nękać dziennikarzy, którzy oburzyli się na ich nękanie i skradanie się.
Co by było, gdyby agencje rządowe zdecydowały, że nie przyjmą odmowy?
To prowadzi nas do backdoora łańcucha dostaw. Jak sama nazwa wskazuje, backdoor w łańcuchu dostaw jest ukradkiem wprowadzany do oprogramowania lub sprzętu w pewnym momencie łańcucha dostaw. Może się to zdarzyć, gdy surowce są wysyłane od dostawcy do producenta lub gdy gotowy produkt trafia od producenta do konsumenta.
Na przykład agencja rządowa mogłaby przechwycić gotowe routery, serwery i inny sprzęt sieciowy w drodze do klienta, a następnie zainstalować backdoora w oprogramowaniu układowym. Nawiasem mówiąc, amerykańska Narodowa Agencja Security (NSA) faktycznie to zrobiła, co zostało ujawnione w 2013 roku przez Edwarda Snowdena.
Infiltracja łańcucha dostaw może również dotyczyć oprogramowania. Weźmy na przykład kod open source. Biblioteki kodu open source to darmowe repozytoria kodu, aplikacji i narzędzi programistycznych, z których każda organizacja może korzystać zamiast kodować wszystko od zera. Brzmi świetnie, prawda? Wszyscy pracują razem dla większego dobra, dzieląc się owocami swojej pracy. W większości przypadków jest to świetne rozwiązanie. Każdy wkład w kod źródłowy podlega kontroli, ale zdarzały się przypadki, w których złośliwy kod przedostał się do użytkownika końcowego.
W lipcu 2018 roku złośliwe oprogramowanie cryptominingowe zostało znalezione w aplikacji (lub "snap", jak nazywają to w świecie Linuksa) dla Ubuntu i innych systemów operacyjnych opartych na Linuksie. Canonical, twórcy Ubuntu, przyznali: "Niemożliwe jest, aby repozytorium na dużą skalę akceptowało oprogramowanie dopiero po szczegółowym sprawdzeniu każdego pojedynczego pliku".
Czy backdoory i exploity to to samo?
Malwarebytes Labs definiuje exploity jako "znane luki w oprogramowaniu, które można wykorzystać w celu uzyskania pewnego poziomu kontroli nad systemami, na których działa dane oprogramowanie". Wiemy, że backdoor działa jak tajne wejście do komputera. Czy zatem backdoory i exploity to jedno i to samo?
Chociaż backdoory i exploity na pierwszy rzut oka wydają się bardzo podobne, nie są one tym samym.
Exploity to przypadkowe luki w oprogramowaniu wykorzystywane do uzyskania dostępu do komputera i potencjalnego wdrożenia złośliwego oprogramowania. Innymi słowy, exploity to po prostu błędy w oprogramowaniu, które badacze lub cyberprzestępcy znaleźli sposób na wykorzystanie. Z drugiej strony, backdoory są celowo umieszczane przez producentów lub cyberprzestępców, aby dostać się do systemu i wydostać się z niego według własnego uznania.
Co hakerzy mogą zrobić z backdoorem?
Hakerzy mogą wykorzystać backdoora do zainstalowania na komputerze wszelkiego rodzaju złośliwego oprogramowania.
- Oprogramowanie szpiegujące to rodzaj złośliwego oprogramowania, które po wdrożeniu w systemie zbiera informacje o użytkowniku, stronach odwiedzanych w Internecie, pobieranych rzeczach, otwieranych plikach, nazwach użytkowników, hasłach i innych wartościowych rzeczach. Mniejsza forma oprogramowania szpiegującego zwana keyloggerami śledzi każde naciśnięcie klawisza i kliknięcie. Firmy mogą wykorzystywać oprogramowanie szpiegujące/keyloggery jako uzasadniony i legalny sposób monitorowania pracowników w pracy.
- Ransomware to rodzaj złośliwego oprogramowania zaprojektowanego do szyfrowania plików i blokowania komputera. Aby odzyskać cenne zdjęcia, dokumenty itp. (lub dowolny typ pliku wybrany przez atakujących), musisz zapłacić atakującym za pomocą jakiejś formy kryptowaluty, zwykle Bitcoin.
- Wykorzystanie komputera w ataku DDoS. Korzystając z backdoora w celu uzyskania dostępu superużytkownika do systemu, cyberprzestępcy mogą zdalnie przejąć kontrolę nad komputerem, włączając go do sieci zhakowanych komputerów, zwanej botnetem. Za pomocą botnetu komputerowego zombie przestępcy mogą następnie przytłoczyć stronę internetową lub sieć ruchem z botnetu w tak zwanym rozproszonym ataku typu odmowa usługi (DDoS). Zalew ruchu uniemożliwia witrynie lub sieci reagowanie na uzasadnione żądania, skutecznie wyłączając witrynę z działania.
- Złośliwe oprogramowanie typu cryptojacking ma na celu wykorzystanie zasobów systemu do wydobywania kryptowalut. Krótko mówiąc, za każdym razem, gdy ktoś wymienia kryptowalutę, transakcja jest rejestrowana w zaszyfrowanej wirtualnej księdze znanej jako blockchain. Kopanie kryptowalut to proces walidacji tych transakcji online w zamian za więcej kryptowaluty i wymaga ogromnej mocy obliczeniowej. Zamiast kupować drogi sprzęt wymagany do kryptominingu, przestępcy odkryli, że mogą po prostu zaciągnąć zhakowane komputery do botnetu, który działa tak samo jak drogie farmy kryptowalut.
Jaka jest historia backdoorów?
Oto spojrzenie wstecz na niektóre z najbardziej (nie)znanych backdoorów, zarówno prawdziwych, jak i fikcyjnych od zarania komputerów.
Można argumentować, że backdoory pojawiły się w świadomości publicznej w filmie science fiction z 1983 roku WarGamesw którym główną rolę zagrał Matthew Broderick (sprawiający wrażenie, jakby był testerem Ferrisa Buellera). Broderick jako psotny nastoletni haker David Lightman używa wbudowanego backdoora, aby uzyskać dostęp do wojskowego superkomputera zaprojektowanego do przeprowadzania symulacji wojny nuklearnej. Bez wiedzy Lightmana, schizofreniczny komputer nie potrafi odróżnić rzeczywistości od symulacji. Ponadto jakiś geniusz postanowił dać komputerowi dostęp do całego arsenału nuklearnego Stanów Zjednoczonych. Gdy komputer grozi, że wysadzi w powietrze cały świat, zaczyna się niezła zabawa.
W 1993 roku NSA opracowała chip szyfrujący z wbudowanym backdoorem do użytku w komputerach i telefonach. Chip miał rzekomo zabezpieczać poufną komunikację, jednocześnie umożliwiając organom ścigania i agencjom rządowym odszyfrowywanie i podsłuchiwanie transmisji głosu i danych w uzasadnionych przypadkach. Sprzętowe backdoory mają dużą przewagę nad programowymi. Mianowicie, są trudniejsze do usunięcia - w tym celu trzeba wyrwać sprzęt lub przeflashować oprogramowanie układowe. Chip został jednak wykolejony z powodu obaw o prywatność, zanim doczekał się jakiejkolwiek adopcji.
W 2005 r. Sony BMG weszło w biznes backdoorów, gdy wysłało miliony płyt CD z muzyką ze szkodliwym zabezpieczeniem przed kopiowaniem rootkit. Nie wiedziałeś, że podczas słuchania najnowszego wydania Now That's What I Call Music! Twoja płyta CD zawierała rootkit, który instalował się automatycznie po włożeniu do komputera.
Zaprojektowany w celu monitorowania nawyków słuchania, Sony BMG rootkit uniemożliwiał również nagrywanie płyt CD i pozostawiał lukę w zabezpieczeniach komputera, którą mogli wykorzystać cyberprzestępcy. Firma Sony BMG wypłaciła miliony dolarów w ramach ugody sądowej związanej z oprogramowaniem rootkit i wycofała z rynku kolejne miliony płyt CD.
W 2014 roku odkryto, że kilka routerów Netgear i Linksys ma wbudowane backdoory. SerComm, zewnętrzny producent, który złożył routery, zaprzeczył, że celowo umieścił backdoory w swoim sprzęcie. Kiedy jednak wydana przez SerComm łatka ukryła backdoora zamiast go naprawić, stało się jasne, że firma nie ma dobrych zamiarów. Dokładnie to, co SerComm próbował osiągnąć za pomocą backdoora, pozostaje niejasne.
W tym samym roku programiści pracujący nad spinoffem systemu operacyjnego Google Android (o nazwie Replicant) odkryli backdoora w urządzeniach mobilnych Samsunga, w tym w telefonach Samsunga z serii Galaxy. Backdoor rzekomo umożliwiał Samsungowi lub komukolwiek innemu, kto o nim wiedział, zdalny dostęp do wszystkich plików przechowywanych na dotkniętych urządzeniach. W odpowiedzi na odkrycie, Samsung określił backdoora jako "funkcję", która "nie stanowi zagrożenia dla bezpieczeństwa".
Inny znany producent telefonów, Apple, odmawia umieszczania backdoorów w swoich produktach, pomimo wielokrotnych próśb ze strony FBI i Departamentu Sprawiedliwości USA. Presja wzrosła po atakach terrorystycznych w San Bernardino w 2015 roku, podczas których FBI odzyskało iPhone'a należącego do jednego ze strzelców. Zamiast zmniejszyć bezpieczeństwo swoich urządzeń iOS , Apple podwoiło ochronę prywatności i uczyniło swoje iPhone'y i iPady jeszcze trudniejszymi do złamania. FBI ostatecznie wycofało swoją prośbę, gdy udało im się zhakować starszego, mniej bezpiecznego iPhone'a z pomocą tajemniczej strony trzeciej.
Wtyczki zawierające złośliwy ukryty kod dla WordPress, Joomla, Drupal i innych systemów zarządzania treścią stanowią ciągły problem. W 2017 r. badacze bezpieczeństwa odkryli oszustwo SEO, które dotknęło ponad 300 000 witryn WordPress. Oszustwo koncentrowało się wokół wtyczki WordPress CAPTCHA o nazwie Simply WordPress. Po zainstalowaniu, Simply WordPress otwierał backdoora, umożliwiając administratorowi dostęp do zaatakowanych stron internetowych. Stamtąd odpowiedzialny haker osadził ukryte linki do swojej szkicowej strony internetowej z pożyczkami (inne strony internetowe odsyłające do Twojej witryny są świetne dla SEO).
Rok 2017 był również świadkiem destrukcyjnego oprogramowania ransomware NotPetya. Pozornym pacjentem zero w tym przypadku był trojan typu backdoor przebrany za aktualizację oprogramowania dla ukraińskiej aplikacji księgowej o nazwie MeDoc. Po przesłuchaniu MeDoc zaprzeczył, że jest źródłem NotPetya. Prawdziwe pytanie - dlaczego ktoś miałby wybrać szalenie podejrzaną ukraińską aplikację księgową o nazwie MeDoc?
W 2018 roku Bloomberg Businessweek doniósł, że sponsorowani przez państwo chińscy szpiedzy przeniknęli do producenta serwerów Supermicro. Szpiedzy rzekomo zainstalowali chipy szpiegowskie ze sprzętowymi backdoorami na komponentach serwerów przeznaczonych dla dziesiątek amerykańskich firm technologicznych i organizacji rządowych USA - w szczególności Amazon, Apple i CIA.
Po zainstalowaniu w centrum danych, chipy szpiegowskie miały komunikować się z chińskimi serwerami dowodzenia i kontroli (C&C), dając chińskim agentom nieograniczony dostęp do danych w sieci. Amazon, Apple i różni urzędnicy rządowi USA obalili twierdzenia przedstawione w artykule Bloomberga. Supermicro, w swojej obronie, nazwało tę historię "praktycznie niemożliwą" i żadna inna organizacja informacyjna jej nie podchwyciła.
Wreszcie, jako przykład sytuacji, w której firma chciałaby mieć tylne drzwi, kanadyjska giełda kryptowalut QuadrigaCX pojawiła się w wiadomościach na początku 2019 r., kiedy założyciel firmy zmarł nagle podczas wakacji w Indiach, zabierając ze sobą hasło do wszystkiego. QuadrigaCX twierdzi, że wszystkie 190 milionów dolarów w kryptowalutach klientów jest nieodwracalnie zamknięte w "chłodni", gdzie będą siedzieć przez dziesięciolecia i ostatecznie będą warte miliony dolarów - lub nic, w zależności od tego, jak potoczą się losy kryptowalut.
Jak mogę chronić się przed backdoorami?
Dobre i złe wieści. Zła wiadomość jest taka, że trudno jest zidentyfikować i zabezpieczyć się przed wbudowanymi backdoorami. Najczęściej producenci nawet nie wiedzą o istnieniu backdoora. Dobra wiadomość jest taka, że są rzeczy, które można zrobić, aby chronić się przed innymi rodzajami backdoorów.
Zmień domyślne hasła. Ciężko pracujący ludzie w dziale IT Twojej firmy nigdy nie zamierzali, aby Twoje rzeczywiste hasło brzmiało "gość" lub "12345". Jeśli pozostawisz to domyślne hasło, nieświadomie utworzysz backdoora. Zmień je jak najszybciej i włącz uwierzytelnianie wieloskładnikowe (MFA). Tak, śledzenie unikalnego hasła dla każdej aplikacji może być zniechęcające.Raport Malwarebytes Labs na temat prywatności danych wykazał, że 29 procent respondentów używało tego samego hasła w wielu aplikacjach i urządzeniach. Nieźle, ale wciąż jest miejsce na poprawę.
Monitoruj aktywność sieciową. Wszelkie dziwne skoki danych mogą oznaczać, że ktoś używa backdoora w twoim systemie. Aby temu zapobiec, użyj zapór sieciowych do śledzenia aktywności przychodzącej i wychodzącej z różnych aplikacji zainstalowanych na komputerze.
Ostrożnie wybieraj aplikacje i wtyczki. Jak już wspomnieliśmy, cyberprzestępcy lubią ukrywać backdoory w pozornie nieszkodliwych darmowych aplikacjach i wtyczkach. Najlepszą obroną jest upewnienie się, że wybrane aplikacje i wtyczki pochodzą z renomowanego źródła.
Android i Chromebook powinni trzymać się aplikacji ze sklepu Google Play, podczas gdy użytkownicy Mac i iOS powinni trzymać się App Store firmy Apple. Dodatkowa wskazówka techniczna - gdy nowo zainstalowana aplikacja prosi o pozwolenie na dostęp do danych lub funkcji na urządzeniu, zastanów się dwa razy. Wiadomo, że podejrzane aplikacje przechodzą przez procesy weryfikacji aplikacji Google i Apple.
Odnosząc się do badania prywatności danych, większość respondentów dobrze radziła sobie ze śledzeniem uprawnień aplikacji, ale 26 procent stwierdziło: "Nie wiem". Poświęć trochę czasu, być może już teraz, na sprawdzenie uprawnień aplikacji na swoich urządzeniach (Malwarebytes dla Android zrobi to za Ciebie). Jeśli chodzi o wtyczki WordPress i tym podobne. Sprawdź oceny i recenzje użytkowników i unikaj instalowania czegokolwiek, co ma mniej niż gwiezdną ocenę.
Korzystaj z dobrego rozwiązania cyberbezpieczeństwa. Każde dobre rozwiązanie antywirusowe powinno być w stanie powstrzymać cyberprzestępców przed wdrażaniem trojanów i rootkitów używanych do otwierania tych nieznośnych backdoorów. Malwarebytes Na przykład , oferuje rozwiązania z zakresu cyberbezpieczeństwa dla Windows, Maci Chromebook. Nie wspominając o Malwarebytes dla Android i Malwarebytes dla iOS, dzięki czemu możesz pozostać chroniony na wszystkich swoich urządzeniach. Użytkownicy biznesowi - dla nich też mamy rozwiązania. Sprawdź wszystkie rozwiązania biznesoweMalwarebytes .
A jeśli Twoje zainteresowanie backdoorami wykracza poza to, co przeczytałeś tutaj, koniecznie przeczytaj i zasubskrybuj blogMalwarebytes Labs . Znajdziesz tam wszystkie najnowsze wiadomości na temat backdoorów i wszystkiego innego, co ma znaczenie w świecie cyberbezpieczeństwa.