Вычислительные атаки с использованием черного хода

Под бэкдором понимается любой метод, с помощью которого авторизованные и неавторизованные пользователи могут обойти обычные меры безопасности и получить высокоуровневый пользовательский доступ (он же root-доступ) к компьютерной системе, сети или программному приложению.

СКАЧАТЬ MALWAREBYTES БЕСПЛАТНО

Также для Windows, iOS, Android, Chromebook и Для бизнеса

Что такое черный ход?

Представьте, что вы - грабитель, проверяющий дом на предмет возможного ограбления. Вы видите знак безопасности "Защищено...", установленный на лужайке перед домом, и камеру дверного звонка Ring. Будучи хитрым кошачьим взломщиком, вы перепрыгиваете через забор, ведущий к задней части дома. Вы видите заднюю дверь, скрещиваете пальцы и пробуете ручку - она не заперта. На взгляд случайного наблюдателя, никаких внешних признаков взлома нет. На самом деле нет никаких причин, по которым вы не могли бы ограбить этот дом через ту же самую заднюю дверь еще раз, если, конечно, вы не разнесете все вокруг.

Компьютерные бэкдоры работают примерно так же.

В мире кибербезопасности под бэкдором понимается любой метод, с помощью которого авторизованные и неавторизованные пользователи могут обойти обычные меры безопасности и получить доступ к компьютерной системе, сети или программному приложению на высоком уровне (он же root-доступ). Попав внутрь, киберпреступники могут использовать бэкдор для кражи личных и финансовых данных, установки дополнительного вредоносного ПО и захвата устройств.

Но бэкдоры предназначены не только для злоумышленников. Бэкдоры также могут устанавливаться производителями программного или аппаратного обеспечения, чтобы получить доступ к своим технологиям после их создания. Бэкдоры некриминального типа полезны для помощи клиентам, которые безнадежно заблокировали доступ к своим устройствам, или для устранения неполадок и решения проблем с программным обеспечением.

В отличие от других киберугроз, которые дают о себе знать пользователю (например, ransomware), бэкдоры известны своей незаметностью. Бэкдоры существуют для того, чтобы избранная группа осведомленных людей могла получить легкий доступ к системе или приложению.

Как угроза, бэкдоры не собираются исчезать в ближайшее время. Согласноотчету Malwarebytes Labs State of Malware, бэкдоры стали четвертой по частоте обнаружения угрозой в 2018 году как для потребителей, так и для предприятий - на 34 и 173 % больше, чем в предыдущем году.

Если вас беспокоит проблема бэкдоров, вы слышали о них в новостях и хотите узнать, в чем дело, или у вас на компьютере есть бэкдор, и вам нужно избавиться от него прямо сейчас, вы попали по адресу. Читайте дальше и приготовьтесь узнать все, что вы когда-либо хотели знать о бэкдорах.

"Бэкдор - это любой метод, с помощью которого авторизованные и неавторизованные пользователи могут обойти обычные меры безопасности и получить высокоуровневый пользовательский доступ (он же root-доступ) в компьютерной системе, сети или программном приложении".

Новости о бэкдорах

Как работают бэкдоры?

Для начала давайте разберемся, как бэкдоры попадают на ваш компьютер. Это может произойти несколькими разными способами. Либо бэкдор появляется в результате работы вредоносного ПО, либо в результате намеренного решения производителя (аппаратного или программного).

Вредоносные программы с бэкдорами обычно классифицируются как троянцы. Троян - это вредоносная компьютерная программа, которая выдает себя за другую, чтобы доставить вредоносное ПО, украсть данные или открыть черный ход в вашу систему. Подобно троянскому коню из древнегреческой литературы, компьютерные троянцы всегда содержат неприятный сюрприз.

Трояны - невероятно универсальный инструмент в наборе киберпреступников. Они появляются под разными личинами, например в виде вложений в электронную почту или загружаемых файлов, и несут в себе любое количество вредоносных программ.

Проблема усугубляется тем, что троянские программы иногда проявляют червеобразную способность к самовоспроизведению и распространению на другие системы без каких-либо дополнительных команд со стороны создавших их злоумышленников. Возьмем, к примеру, банковского троянца Emotet. Emotet начал свою деятельность в 2014 году как похититель информации, распространяясь по устройствам и похищая конфиденциальные финансовые данные. С тех пор Emotet превратился в средство доставки других видов вредоносного ПО. По данным отчета State of Malware, Emotet помог троянцу стать лидером по обнаружению угроз в 2018 году.

В одном из примеров вредоносного бэкдора киберпреступники спрятали вредоносное ПО в бесплатном конвертере файлов. Ничего удивительного - он ничего не конвертировал. На самом деле загрузка была предназначена исключительно для открытия бэкдора в целевой системе. В другом примере злоумышленники спрятали вредоносную программу-бэкдор в инструменте, используемом для пиратского копирования программ Adobe (пусть это будет уроком по пиратству). И последний пример: казалось бы, легитимное приложение для отслеживания криптовалют под названием CoinTicker работало, как заявлено, отображая информацию о различных видах криптовалют и рынках, но при этом открывало бэкдор.

Как только киберпреступники зашли в дом, они могут использовать так называемую rootkit. rootkit - это пакет вредоносных программ, предназначенных для того, чтобы избежать обнаружения и скрыть интернет-активность (от вас и вашей операционной системы). Руткиты обеспечивают злоумышленникам постоянный доступ к зараженным системам. По сути, rootkit - это засов, который держит черный ход открытым.

"Бэкдоры стали четвертой по частоте обнаружения угрозой в 2018 году как для потребителей, так и для предприятий - их количество увеличилось на 34 и 173 процента по сравнению с предыдущим годом".

Встроенные или проприетарные бэкдоры устанавливаются самими производителями оборудования и программного обеспечения. В отличие от вредоносных программ, встроенные бэкдоры не обязательно создаются с какой-то преступной целью. Чаще всего встроенные бэкдоры существуют как артефакты процесса создания программного обеспечения.

Разработчики программного обеспечения создают эти бэкдоры, чтобы иметь возможность быстро входить и выходить из приложений в процессе их разработки, тестировать свои приложения и исправлять программные ошибки (то есть ошибки) без необходимости создавать "настоящую" учетную запись. Такие бэкдоры не должны поставляться вместе с окончательным вариантом программного обеспечения, но иногда они все же появляются. Это не конец света, но всегда есть шанс, что проприетарный бэкдор попадет в руки киберпреступников.

Хотя большинство известных нам встроенных бэкдоров относятся к первой категории (т. е. к категории "ой, мы не хотели этого делать"), члены пакта " Пять глаз" (США, Великобритания, Канада, Австралия и Новая Зеландия) попросили Apple, Facebook и Google установить бэкдоры в их технологии, чтобы помочь в сборе улик во время уголовных расследований. Хотя все три компании отказались, все три предоставляют данные в объеме, предусмотренном законом.

Страны "Пяти глаз" подчеркивают, что эти "черные ходы" отвечают интересам глобальной безопасности, однако существует большой потенциал для злоупотреблений. CBS News выяснила, что десятки полицейских по всей стране использовали имеющиеся базы данных преступников, чтобы помочь себе и своим друзьям домогаться своих бывших, приставать к женщинам и преследовать журналистов, которые возмущались их домогательствами и приставаниями.

Однако что, если правительственные агентства решат, что не собираются принимать отказ?

Это подводит нас к бэкдорам в цепочке поставок. Как следует из названия, бэкдор в цепочке поставок скрытно вставляется в программное или аппаратное обеспечение на определенном этапе цепочки поставок. Это может происходить при доставке сырья от поставщика к производителю или на пути готового продукта от производителя к потребителю.

Например, правительственное агентство может перехватить готовые маршрутизаторы, серверы и прочее сетевое оборудование на пути к заказчику, а затем установить бэкдор в прошивку. И, кстати, Национальное агентство США Security (АНБ) действительно это делало, о чем стало известно из разоблачений Эдварда Сноудена о глобальной слежке в 2013 году.

Проникновение в цепочки поставок может произойти и в сфере программного обеспечения. Возьмем, к примеру, открытый исходный код. Библиотеки открытого кода - это бесплатные хранилища кода, приложений и инструментов разработки, которые может использовать любая организация, вместо того чтобы разрабатывать все с нуля. Звучит здорово, правда? Все работают вместе на общее благо, делясь друг с другом плодами своего труда. По большей части так оно и есть. Любой вклад в исходный код подвергается тщательной проверке, но бывали случаи, когда вредоносный код попадал к конечному пользователю.

К слову, в июле 2018 года вредоносное ПО для криптомайнинга было обнаружено внутри приложения (или "снапа", как его называют в мире Linux) для Ubuntu и других операционных систем на базе Linux. Canonical, разработчики Ubuntu, признали: "Невозможно, чтобы крупный репозиторий принимал программное обеспечение только после детальной проверки каждого отдельного файла".

Являются ли бэкдоры и эксплойты одним и тем же?

Malwarebytes Labs определяет эксплойты как "известные уязвимости в программном обеспечении, которыми можно воспользоваться, чтобы получить определенный уровень контроля над системами, на которых работает затронутое программное обеспечение". А мы знаем, что бэкдор работает как тайный вход в компьютер. Так являются ли бэкдоры и эксплойты одним и тем же?

Хотя на первый взгляд бэкдоры и эксплойты кажутся ужасно похожими, это не одно и то же.

Эксплойты - это случайные уязвимости в программном обеспечении, которые используются для получения доступа к компьютеру и, возможно, для установки вредоносного ПО. Говоря иначе, эксплойты - это просто программные ошибки, которыми исследователи или киберпреступники нашли способ воспользоваться. Бэкдоры, с другой стороны, намеренно устанавливаются производителями или киберпреступниками, чтобы по своему усмотрению проникать в систему и выходить из нее.

"Эксплойты - это случайные уязвимости в программном обеспечении, используемые для получения доступа к вашему компьютеру и, возможно, для развертывания какого-либо вредоносного ПО..... Бэкдоры, с другой стороны, намеренно устанавливаются производителями или киберпреступниками, чтобы по своему усмотрению проникать в систему и выходить из нее".

Что могут сделать хакеры с помощью бэкдора?

Хакеры могут использовать бэкдор для установки на ваш компьютер всевозможных вредоносных программ.

  • Шпионское ПО - это тип вредоносного программного обеспечения, которое, будучи установленным в вашей системе, собирает информацию о вас, сайтах, которые вы посещаете в Интернете, загружаемых вами файлах, открываемых файлах, именах пользователей, паролях и прочем, что представляет ценность. Менее распространенная разновидность шпионских программ, называемая кейлоггерами, отслеживает каждое нажатие клавиш и щелчок мыши. Компании могут использовать шпионские программы/кейлоггеры в качестве законного и легального средства контроля за сотрудниками на работе.
  • Ransomware - это тип вредоносного ПО, предназначенного для шифрования ваших файлов и блокировки компьютера. Чтобы вернуть драгоценные фотографии, документы и т. д. (или любой другой тип файлов, который выбрали злоумышленники), вы должны заплатить злоумышленникам с помощью криптовалюты, обычно Bitcoin.
  • Использовать ваш компьютер в DDoS-атаке. Используя бэкдор для получения доступа суперпользователя к вашей системе, киберпреступники могут удаленно управлять вашим компьютером, включив его в сеть взломанных компьютеров, так называемую бот-сеть. С помощью этого ботнета преступники могут переполнить веб-сайт или сеть трафиком из ботнета в так называемой распределенной атаке типа "отказ в обслуживании" (DDoS). Наводнение трафиком не позволяет веб-сайту или сети отвечать на законные запросы, фактически выводя сайт из строя.
  • Вредоносные программы Cryptojacking предназначены для использования ресурсов вашей системы для добычи криптовалюты. Вкратце, каждый раз, когда кто-то обменивается криптовалютой, транзакция записывается в зашифрованную виртуальную книгу, известную как блокчейн. Криптомайнинг - это процесс подтверждения этих онлайн-транзакций в обмен на криптовалюту, который требует огромных вычислительных мощностей. Вместо того чтобы покупать дорогостоящее оборудование, необходимое для криптомайнинга, преступники обнаружили, что могут просто включить взломанные компьютеры в ботнет, который работает так же, как и дорогие фермы для криптомайнинга.

Какова история бэкдоров?

Представляем вашему вниманию некоторые из самых (не)известных бэкдоров, как реальных, так и вымышленных, появившихся на заре развития компьютеров.

Можно утверждать, что бэкдоры вошли в общественное сознание в научно-фантастическом фильме 1983 года. WarGamesс Мэттью Бродериком в главной роли (похоже на пробный запуск Ферриса Бьюллера). Бродерик в роли озорного подростка-хакер Дэвида Лайтмана использует встроенный бэкдор, чтобы получить доступ к военному суперкомпьютеру, предназначенному для моделирования ядерной войны. Лайтман не знает, что шизофренический компьютер не может отличить реальность от симуляции. А еще какой-то гений решил дать компьютеру доступ ко всему ядерному арсеналу Соединенных Штатов. Компьютер угрожает взорвать весь мир.

В 1993 году АНБ разработало чип шифрования со встроенным "черным ходом" для использования в компьютерах и телефонах. Предполагалось, что чип будет обеспечивать безопасность конфиденциальных коммуникаций, позволяя правоохранительным и правительственным органам расшифровывать и прослушивать голосовые сообщения и данные в случае необходимости. Аппаратные бэкдоры имеют большие преимущества перед программными. В частности, их сложнее удалить - для этого нужно вырвать аппаратную часть или перепрошить прошивку. Однако чип не получил широкого распространения из-за проблем с конфиденциальностью.

В 2005 году компания Sony BMG влезла в бизнес бэкдоров, когда отправила миллионы музыкальных компакт-дисков с вредной защитой от копирования rootkit. Вы и не подозревали, что во время прослушивания последнего выпуска " Now That's What I Call Music! " на вашем компакт-диске находилась программа rootkit, которая автоматически устанавливалась на ваш компьютер.

Разработанный для отслеживания ваших привычек, Sony BMG rootkit также не позволял записывать компакт-диски и оставлял в компьютере уязвимость, которой могли воспользоваться киберпреступники. Sony BMG выплатила миллионы, чтобы урегулировать судебные иски, связанные с rootkit , и отозвала еще больше миллионов компакт-дисков.

В 2014 году в нескольких маршрутизаторах Netgear и Linksys были обнаружены встроенные бэкдоры. SerComm, сторонний производитель, собравший эти маршрутизаторы, отрицал, что специально поместил бэкдоры в свое оборудование. Но когда выпущенный SerComm патч скрыл бэкдор, а не исправил его, стало ясно, что компания замышляет недоброе. Что именно SerComm пыталась сделать с помощью бэкдора, остается неясным.

В том же году разработчики программного обеспечения, работающие над побочным продуктом операционной системы Google Android (под названием Replicant), обнаружили бэкдор в мобильных устройствах Samsung, в том числе в телефонах Samsung серии Galaxy. Бэкдор якобы позволял Samsung или любому другому лицу, знающему о нем, получить удаленный доступ ко всем файлам, хранящимся на затронутых устройствах. В ответ на обнаружение Samsung назвала бэкдор "функцией", которая "не представляет угрозы безопасности".

Другой известный производитель телефонов, компания Apple, отказывается включать бэкдоры в свои продукты, несмотря на неоднократные просьбы ФБР и Министерства юстиции США сделать это. Давление усилилось после теракта в Сан-Бернардино в 2015 году, когда ФБР обнаружило iPhone, принадлежавший одному из стрелков. Вместо того чтобы снизить уровень безопасности своих устройств iOS , Apple удвоила защиту конфиденциальности и сделала свои iPhone и iPad еще более труднодоступными для взлома. В конце концов ФБР отозвало свой запрос, когда им удалось взломать более старый и менее защищенный iPhone с помощью таинственного третьего лица.

Плагины, содержащие вредоносный скрытый код для WordPress, Joomla, Drupal и других систем управления контентом, являются постоянной проблемой. В 2017 году исследователи безопасности раскрыли SEO-мошенничество, затронувшее более 300 000 сайтов WordPress. В центре аферы был плагин WordPress CAPTCHA под названием Simply WordPress. После установки Simply WordPress открывал бэкдор, позволяя администратору получить доступ к пострадавшим сайтам. Оттуда хакер встраивал скрытые ссылки на свой мошеннический сайт payday loan (другие сайты, ссылающиеся на ваш сайт, отлично подходят для SEO).

2017 год также стал свидетелем разрушительного вируса NotPetya ransomware. В этом случае "нулевым пациентом" стал троянец с бэкдором, замаскированный под обновление программного обеспечения для украинского бухгалтерского приложения MeDoc. В ответ на вопросы компания MeDoc отрицает, что является источником NotPetya. Главный вопрос - почему кто-то выбрал подозрительное украинское бухгалтерское приложение под названием MeDoc?

В новостях 2018 года, которые звучат как декорации к триллеру в жанре B, Bloomberg Businessweek сообщил, что спонсируемые государством китайские шпионы проникли в компанию Supermicro, производящую серверы. Шпионы якобы установили шпионские чипы с аппаратными бэкдорами в серверные компоненты, предназначенные для десятков американских технологических компаний и правительственных организаций США - в частности, Amazon, Apple и ЦРУ.

Как утверждается, после установки в центре обработки данных шпионские чипы связываются с китайскими серверами управления и контроля (C&C), предоставляя китайским оперативникам неограниченный доступ к данным в сети. Amazon, Apple и различные правительственные чиновники США опровергли заявления, сделанные в статье Bloomberg. Supermicro, в свою защиту, назвала эту историю "практически невозможной", и ни одна другая новостная организация не взяла ее на вооружение.

И наконец, в качестве примера ситуации, когда компания жалеет, что у нее нет черного хода, можно привести канадскую криптовалютную биржу QuadrigaCX, которая в начале 2019 года попала в новости, когда основатель компании скоропостижно скончался во время отпуска в Индии, забрав с собой пароль ко всему. QuadrigaCX утверждает, что все криптовалютные активы клиентов на сумму 190 миллионов долларов безвозвратно заперты в "холодном хранилище", где они будут лежать десятилетиями и в конечном итоге будут стоить миллионы долларов или ничего, в зависимости от того, как пойдет курс криптовалюты.

Как защититься от бэкдоров?

Хорошая новость - плохая новость. Плохая новость заключается в том, что выявить встроенные бэкдоры и защититься от них довольно сложно. Чаще всего производители даже не знают о наличии бэкдора. Хорошая новость заключается в том, что вы можете защитить себя от других видов бэкдоров.

Измените пароли по умолчанию. Трудолюбивые сотрудники ИТ-отдела вашей компании никогда не предполагали, что вашим реальным паролем будет "Гость" или "12345". Если вы оставите этот пароль по умолчанию, вы невольно создадите черный ход. Смените его как можно скорее и включите многофакторную аутентификацию (MFA). Да, следить за уникальным паролем для каждого приложения может быть непросто. Вотчете Malwarebytes Labs о конфиденциальности данных говорится, что 29 % респондентов используют один и тот же пароль во многих приложениях и устройствах. Неплохо, но есть куда стремиться.

Отслеживайте сетевую активность. Любые странные всплески данных могут означать, что кто-то использует черный ход в вашей системе. Чтобы предотвратить это, используйте брандмауэры для отслеживания входящей и исходящей активности различных приложений, установленных на вашем компьютере.

Тщательно выбирайте приложения и плагины. Как мы уже рассказывали, киберпреступники любят прятать бэкдоры в, казалось бы, безопасных бесплатных приложениях и плагинах. Лучшая защита здесь - убедиться, что все приложения и плагины, которые вы выбираете, получены из надежных источников.

Android и Chromebook пользователям следует выбирать приложения из магазина Google Play, а пользователям Mac и iOS - из магазина Apple App Store. Бонусный совет - если вновь установленное приложение запрашивает разрешение на доступ к данным или функциям на вашем устройстве, подумайте дважды. Известны случаи, когда подозрительные приложения проходили через соответствующие процессы проверки приложений Google и Apple.

Возвращаясь к исследованию конфиденциальности данных, отметим, что большинство респондентов хорошо справились с отслеживанием разрешений приложений, но 26 % ответили: "Я не знаю". Потратьте немного времени, возможно, прямо сейчас, чтобы просмотреть разрешения приложений на ваших устройствах (Malwarebytes для Android сделает это за вас). Что касается плагинов WordPress и т. п. Проверьте рейтинги и отзывы пользователей и не устанавливайте ничего, что имеет менее высокую оценку.

Используйте хорошее решение для обеспечения кибербезопасности. Любое хорошее решение для защиты от вредоносного ПО должно быть способно остановить злоумышленников от развертывания троянцев и руткитов, используемых для открытия этих досадных бэкдоров. Malwarebytes Например, компания , предлагает решения по кибербезопасности для Windows, Mac, и Chromebook. Не говоря уже о Malwarebytes для Android и Malwarebytes для iOS, чтобы вы могли оставаться под защитой на всех своих устройствах. Бизнес-пользователи - мы позаботимся и о вас. Ознакомьтесь со всеми бизнес-решениямиMalwarebytes .

А если ваш интерес к бэкдорам выходит за рамки прочитанного здесь, обязательно читайте и подписывайтесь на блогMalwarebytes Labs . Там вы найдете все последние новости о бэкдорах и обо всем остальном, что имеет значение в мире кибербезопасности.