Co to jest backdoor i jak zapobiegać atakom wirusa backdoor?

przez

Termin „backdoor” odnosi się do każdej techniki umożliwiającej obejście standardowych procedur weryfikacji tożsamości lub szyfrowania na urządzeniu. Przyjrzyjmy się, jak można zapobiegać atakom wykorzystującym wirusy typu backdoor.

Backdoor tworzy alternatywną furtkę do urządzenia, sieci lub aplikacji, zapewniając zdalny dostęp do istotnych zasobów, takich jak bazy danych i serwery plików.

Cyberprzestępcy przeszukują sieć w poszukiwaniu podatnych aplikacji, które następnie wykorzystują do instalacji wirusów typu backdoor. Po zainstalowaniu wirus ten jest często trudny do wykrycia, ponieważ pliki są zazwyczaj dobrze ukryte.

Obecność backdoora w twoim systemie daje przestępcom możliwość zdalnego przeprowadzania różnorodnych działań hakerskich, takich jak:

  • Inwigilacja
  • Przejęcie kontroli nad urządzeniem
  • Instalowanie szkodliwego oprogramowania
  • Kradzież danych finansowych
  • Kradzież tożsamości

Jak działają ataki wirusów typu backdoor?

Backdoor może być legalnie wprowadzony przez twórców oprogramowania i sprzętu, aby umożliwić im łatwy dostęp do ich aplikacji w celu wykonywania funkcji takich jak rozwiązywanie problemów z oprogramowaniem.

Jednak w większości przypadków backdoory są instalowane przez cyberprzestępców, aby umożliwić im nielegalny dostęp do urządzenia, sieci lub aplikacji.

Aby przestępcy internetowi mogli skutecznie zainstalować wirusa typu backdoor na twoim urządzeniu, muszą najpierw znaleźć słaby punkt (lukę w systemie) lub przejętą aplikację w twoim systemie.

Do typowych słabych punktów w systemie zalicza się:

  • Nieaktualne oprogramowanie
  • Otwarte porty sieciowe
  • Słabe hasła
  • Nieskuteczne zapory ogniowe

Luki mogą być również wynikiem działania złośliwego oprogramowania, takiego jak trojany. Hakerzy wykorzystują trojany obecne w systemie do tworzenia tylnych drzwi.

Trojan to typ złośliwego programu, który często udaje legalne oprogramowanie w celu kradzieży danych lub zainstalowania backdoora. Poprzez manipulację socjotechniczną nakłania użytkowników do pobrania i uruchomienia trojana na swoich urządzeniach.

Po aktywacji trojan typu backdoor daje hakerom zdalną kontrolę nad zainfekowanym urządzeniem. Mogą oni wykonywać różnorodne złośliwe działania, takie jak kradzież, modyfikacja i usuwanie plików, restartowanie urządzenia i instalowanie kolejnego złośliwego oprogramowania.

Kiedy cyberprzestępcy włamią się do twojego komputera poprzez infekcję backdoor, zechcą mieć pewność, że będą mogli łatwo do niego powrócić – niezależnie od tego, czy chcą ukraść twoje dane, zainstalować oprogramowanie do kopania kryptowalut, przejąć kontrolę nad urządzeniem, czy sabotować twoją działalność.

Hakerzy wiedzą, że ponowne włamanie do urządzenia może być trudne, zwłaszcza jeśli luka została załatana. Z tego powodu instalują kod zwany backdoorem na docelowym urządzeniu. Dzięki niemu, nawet jeśli usterka zostanie naprawiona, backdoor pozostanie, umożliwiając im ponowne wejście do systemu.

Jak hakerzy wykorzystują obecnie ataki wirusów typu backdoor

Hakerzy uzyskują dostęp do twojego urządzenia wykorzystując różne techniki włamań typu backdoor, takie jak wiązanie portów, podejście connect-back, nadużycie dostępności połączenia i metody oparte na standardowym protokole usług. Są to dosyć skomplikowane działania, które polegają na oszukiwaniu urządzenia, zapory i sieci.

Po zainstalowaniu wirusa typu backdoor hakerzy mogą wykonywać szkodliwe działania, takie jak:

  • Ransomware – złośliwe oprogramowanie, które infekuje twoje urządzenie i uniemożliwia dostęp do twoich prywatnych plików, chyba że zapłacisz okup, zazwyczaj w bitcoinach.
  • Ataki DDoS (Distributed-Denial-of-Service) – szkodliwe próby zakłócenia i uniemożliwienia dostępu do strony internetowej lub usługi online poprzez zalanie jej nadmiernym ruchem. Ruch ten może obejmować żądania połączeń, fałszywe pakiety i wiadomości przychodzące.
  • Oprogramowanie szpiegujące, które ma szkodliwe intencje – infiltruje twoje urządzenie. Gromadzi ono prawie wszystkie formy danych, w tym dane osobowe, takie jak informacje o koncie bankowym lub kredytowym, nawyki związane z przeglądaniem internetu, nazwy użytkowników i hasła.
  • Crypto-jacking, znany również jako złośliwe kopanie kryptowalut, to zagrożenie internetowe, które ukrywa się na twoim komputerze lub telefonie i wykorzystuje jego zasoby bez twojej wiedzy do kopania walut online, takich jak bitcoin, dla innej osoby.

Rzeczywiste przykłady udanych ataków typu backdoor

#1. Włamanie na kanał YouTube MarcoStyle

Youtuber o pseudonimie MarcoStyle został zaatakowany w 2019 roku, kiedy odpowiedział na e-mail od firmy, która chciała reklamować się na jego kanale. Firma wydawała się legalna, ale kiedy Marco kliknął w link załączony do wiadomości e-mail, instalator wszedł do jego komputera. Niemal od razu zauważył, że z jego komputerem coś jest nie tak, więc odciął zasilanie, wykonał ponowną instalację systemu Windows i zmienił dane logowania.

Niestety, hakerzy zdążyli już uzyskać dostęp do jego konta Google i przejąć jego kanał YouTube z jego Gmaila, który miał ponad 350 000 subskrybentów.

Marco poinformował YouTube, ale dopiero po tym, jak jego kanał został sprzedany na rosyjskiej stronie internetowej poświęconej zhakowanym kanałom YouTube. Zmienili jego zdjęcie profilowe i nazwę na „Brad Garlinghouse” i usunęli wszystkie jego filmy. Pięć dni później hakerzy zaczęli transmisję na żywo, podczas której ukradli widzom Marco około 15 000 dolarów.

Udało im się nawet przejść weryfikację YouTube, czego Marco bezskutecznie próbował wielokrotnie. Odzyskanie kanału zajęło YouTube jedenaście dni od momentu włamania.

To przykład, jak hakerzy wykorzystują szkodliwe linki jako popularną metodę instalacji wirusów typu backdoor na urządzeniach.

#2. Atak ransomware WannaCry

Atak ransomware WannaCry w 2017 roku jest prawdopodobnie najlepszym przykładem tego, jak hakerzy mogą przeprowadzić atak wirusa typu backdoor na firmę, jeśli nie stosuje ona poprawek.

Atak, który dotknął ponad 230 000 komputerów w 150 krajach, został rozprzestrzeniony za pomocą exploita EternalBlue, opracowanego przez NSA dla starszych systemów Windows. Grupa hakerów znana jako Shadow Brokers ukradła EternalBlue, zainstalowała backdoora DoublePulsar, a następnie zaszyfrowała dane i zażądała bitcoinów o wartości 600 USD jako zapłaty okupu.

Microsoft wypuścił aktualizację, która chroniła użytkowników przed tym exploitem kilka miesięcy wcześniej, ale wiele firm, w tym szpital NHS, nie zastosowało jej. W ciągu kilku dni tysiące operacji szpitalnych NHS w Wielkiej Brytanii zostało zakłóconych, a karetki pogotowia przekierowano, pozostawiając ludzi w krytycznym stanie bez opieki.

W wyniku ataku odwołano 19 000 spotkań, co kosztowało NHS aż 92 miliony funtów. Szacuje się, że atak Wannacry spowodował straty w wysokości 4 miliardów dolarów na całym świecie.

Kilka firm, które zapłaciły okup, odzyskało swoje dane, ale badania pokazują, że większość nie.

#3. Atak typu backdoor SolarWinds Sunburst

14 grudnia 2020 roku w systemach SolarWinds wykryto złośliwe backdoory znane jako Sunburst i Supernova. SolarWinds to duża firma informatyczna z siedzibą w Stanach Zjednoczonych, która tworzy oprogramowanie pomagające firmom zarządzać ich sieciami, systemami i infrastrukturą IT.

Cyberprzestępcy włamali się do systemów SolarWinds w Teksasie i dodali złośliwy kod do oprogramowania firmy Orion – systemu oprogramowania powszechnie używanego przez firmy do zarządzania zasobami IT.

Nieświadoma niczego firma SolarWinds rozesłała swoim klientom aktualizacje oprogramowania Orion, które zawierały złośliwy kod. Gdy klienci pobrali aktualizacje, złośliwy kod zainstalował się i utworzył tylne drzwi do ich urządzeń, które hakerzy wykorzystywali do ich szpiegowania.

SolarWinds poinformował, że 18 000 z 300 000 klientów zostało dotkniętych przez oprogramowanie Orion z backdoorem. Straty ubezpieczeniowe w wyniku ataku oszacowano na 90 000 000 USD, co czyni go jednym z najpoważniejszych cyberataków w historii.

#4. Backdoory znalezione na iPhone’ach

W badaniu z 2020 r. przeprowadzonym przez Ohio State University, New York University i Helmholtz Center of Information Security tysiące aplikacji na Androida zawiera tylne drzwi. Spośród 150 000 przetestowanych aplikacji 12 705 wykazywało tajne zachowanie sugerujące obecność backdoora.

Rodzaje znalezionych backdoorów obejmowały klucze dostępu i hasła główne, które mogą umożliwić zdalne odblokowanie aplikacji i zresetowanie hasła użytkownika. Znaleziono również aplikacje z możliwością zdalnego wykonywania tajnych poleceń.

Backdoory w telefonach ułatwiają cyberprzestępcom i rządom szpiegowanie ciebie. Mogą prowadzić do całkowitej utraty danych i nieodwracalnego uszkodzenia systemu.

Czy jesteś podatny na ataki wirusów typu backdoor?

Niestety, większość ludzi ma wiele luk w swoich kontach internetowych, sieciach, a nawet urządzeniach Internetu rzeczy (IoT), co czyni ich podatnymi na ataki wirusów typu backdoor.

Poniżej przedstawiono różne techniki, które hakerzy wykorzystują do instalowania backdoorów na urządzeniach użytkowników.

#1. Ukryte/legalne backdoory

Czasami twórcy oprogramowania celowo instalują ukryte backdoory, aby zapewnić sobie zdalny dostęp do wykonywania legalnych działań, takich jak obsługa klienta lub usuwanie błędów oprogramowania. Hakerzy wykorzystują takie tylne furtki, aby uzyskać nieautoryzowany dostęp do oprogramowania.

#2. Otwarte porty sieciowe

Hakerzy szukają otwartych portów sieciowych do wykorzystania, ponieważ mogą one akceptować ruch z witryn zdalnych. Kiedy wejdą do twojego urządzenia przez otwarty port, zostawiają backdoora, który umożliwia im dostęp do twojego systemu bez wykrycia.

Musisz zidentyfikować porty, które chcesz uruchomić na swoim serwerze i ograniczyć je, a następnie zamknąć lub zablokować porty, które nie są używane, aby uniemożliwić ich ujawnienie w internecie.

#3. Nieograniczone przesyłanie plików

Większość serwerów internetowych umożliwia przesyłanie zdjęć lub plików PDF. Luka w zabezpieczeniach backdoora pojawia się, gdy nie można ograniczyć przesyłanych plików tylko do zamierzonego typu.

Stwarza to furtkę dla cyberprzestępców, którzy mogą przesyłać dowolny kod na serwer sieciowy, aby móc wrócić w dowolnym momencie i wykonać dowolne polecenie. Najlepszym sposobem na naprawienie tej luki jest weryfikacja typu pliku, który użytkownik może przesłać, zanim zostanie on zaakceptowany.

#4. Wstrzykiwanie poleceń

Innym rodzajem luki, która może doprowadzić do ataku wirusa typu backdoor, jest wstrzykiwanie poleceń. W tego typu ataku haker ma na celu wykonanie polecenia na docelowym urządzeniu poprzez wykorzystanie podatnej na ataki aplikacji internetowej. Wykrycie tego rodzaju infekcji backdoorem jest trudne, ponieważ nie jest łatwo stwierdzić, kiedy złośliwy użytkownik próbuje zaatakować urządzenie.

Najskuteczniejszym sposobem zapobiegania lukom w zabezpieczeniach związanym z wstrzykiwaniem poleceń jest zastosowanie silnej walidacji danych wprowadzanych przez użytkownika, która zapobiega przedostawaniu się do systemu nieprawidłowo sformatowanych danych.

#5. Słabe hasła

Hakerzy mogą łatwo złamać słabe hasła, takie jak data urodzenia lub imię pierwszego zwierzęcia. Co gorsza, większość ludzi używa jednego hasła do wszystkich swoich kont online, co oznacza, że ​​jeśli hakerzy zdobędą hasło do jednego konta, łatwiej będzie im przejąć kontrolę nad wszystkimi innymi kontami.

Słabe lub domyślne hasła na urządzeniach IoT są również łatwym celem dla cyberprzestępców. Jeśli przejmą kontrolę nad, powiedzmy, routerem, mogą znaleźć hasło Wi-Fi przechowywane na urządzeniu, a od tego momentu atak staje się bardzo poważny, często prowadząc do ataków DDoS.

Poświęć teraz chwilę na zaktualizowanie domyślnego hasła routera i WiFi PSK oraz na zmianę hasła administratora dla wszystkich urządzeń IoT w twojej sieci.

Więcej sposobów na zapobieganie atakom typu backdoor

Atak wirusa typu backdoor może pozostać niewykryty przez długi czas, ponieważ jest dość trudny do wykrycia – tak projektują go hakerzy. Mimo to istnieje kilka prostych kroków, które możesz podjąć, aby zabezpieczyć swoje urządzenie przed atakami wirusów typu backdoor.

#1. Użyj antywirusa

Zaawansowane oprogramowanie antywirusowe może pomóc w wykrywaniu i zapobieganiu szerokiej gamie złośliwego oprogramowania, w tym trojanom, oprogramowaniu do kopania kryptowalut, oprogramowaniu szpiegującemu i rootkitom, które są często używane przez cyberprzestępców do przeprowadzania ataków typu backdoor.

Dobry program antywirusowy oferuje narzędzia takie jak monitorowanie Wi-Fi, zaawansowana zapora sieciowa, ochrona sieci oraz monitorowanie prywatności mikrofonu i kamery internetowej, aby zapewnić maksymalne bezpieczeństwo w Internecie.

Oznacza to, że program antywirusowy wykryje i wyeliminuje infekcję backdoorem, zanim zdąży ona zainfekować komputer.

#2. Pobieraj ostrożnie

Podczas pobierania oprogramowania, plików lub aplikacji zwróć uwagę na prośbę o pozwolenie na zainstalowanie (darmowych) dodatkowych dołączonych aplikacji. Są to tak zwane PUA (potencjalnie niechciane aplikacje) – darmowe oprogramowanie, pliki i aplikacje, które wydają się legalne, ale nimi nie są. I często są one pakowane z różnymi rodzajami złośliwego oprogramowania, w tym wirusami typu backdoor.

Rozważ zainstalowanie oprogramowania zabezpieczającego online z wykrywaniem złośliwego oprogramowania w czasie rzeczywistym i zawsze pobieraj dane z oficjalnych witryn internetowych, unikając klikania w witryny pobierania (pirackie) stron trzecich.

#3. Użyj zapór sieciowych

Większość programów antywirusowych jest wyposażona w zaporę, która może pomóc w ochronie przed atakami, takimi jak wirusy typu backdoor.

Zapory zostały stworzone, aby monitorować cały ruch przychodzący i wychodzący w twojej sieci, dzięki czemu mogą filtrować potencjalne zagrożenia.

Na przykład zapora może stwierdzić, kiedy autoryzowany użytkownik próbuje uzyskać dostęp do twojej sieci lub urządzenia i uniemożliwić mu to. Zapory można również ustawić tak, aby blokowały każdą aplikację na twoim urządzeniu, która próbuje przesłać poufne dane do nieznanej lokalizacji sieciowej.

#4. Użyj menedżera haseł

Menedżer haseł może pomóc w generowaniu i przechowywaniu danych logowania do wszystkich twoich kont, a także w automatycznym logowaniu się do nich.

Menedżery haseł używają hasła głównego do zaszyfrowania bazy danych haseł, dzięki czemu nie musisz za każdym razem wpisywać hasła, adresu e-mail ani nazwy użytkownika. Wszystko, co musisz zrobić, to zapisać swoje hasła w menedżerze haseł, a następnie utworzyć hasło główne.

Gdy logujesz się na dowolne ze swoich kont, musisz wprowadzić hasło główne, które automatycznie wypełni dane. Większość menedżerów haseł ma funkcję powiadamiania, gdy twoje dane zostały naruszone i hasło, którego używasz, zostało znalezione w zbiorze skradzionych danych użytkownika.

#5. Bądź na bieżąco z aktualizacjami/poprawkami zabezpieczeń

Hakerzy wykorzystują znane wady lub słabe punkty urządzenia lub oprogramowania. Te słabe punkty mogą istnieć z powodu braku aktualizacji. Statystyki pokazują, że jedno na trzy naruszenia spowodowane jest lukami, które mogły już zostać załatane.

Inne badanie pokazuje, że 34 procent (czyli jeden na trzech specjalistów IT) w Europie zgłosiło, że ich organizacje doświadczyły naruszenia z powodu niezałatanej luki.

Na szczęście twórcy oprogramowania często publikują nowe aktualizacje naprawiające luki w ich oprogramowaniu i dodają ustawienia automatycznej aktualizacji lub powiadamiają o aktualizacjach.

Włącz automatyczne aktualizacje, ponieważ aktualizacja systemu operacyjnego jest niezbędna, ponieważ backdoory polegają na oszukiwaniu systemu operacyjnego.

#6. Użyj uwierzytelniania wieloskładnikowego (MFA)

Uwierzytelnianie wieloskładnikowe ma na celu podniesienie poziomu bezpieczeństwa poprzez zapobieganie nieautoryzowanemu dostępowi.

Wymaga potwierdzenia twojej tożsamości na więcej niż jeden sposób podczas uzyskiwania dostępu do aplikacji, strony internetowej lub oprogramowania.

MFA wykorzystuje trzy podstawowe elementy w celu potwierdzenia twojej tożsamości:

  • Coś, co znasz tylko ty, na przykład hasło lub pin
  • Coś, co masz tylko ty, na przykład token lub smartfon
  • Coś, co należy tylko do ciebie, na przykład odcisk kciuka, głos lub rysy twarzy

Na przykład, gdy logujesz się na konto za pomocą hasła, możesz otrzymać powiadomienie na telefonie z prośbą o dotknięcie ekranu w celu zatwierdzenia prośby.

Możesz być również proszony o podanie hasła i odcisku palca lub skanu tęczówki oka podczas logowania się na swoje konta.

Ostatnie słowa 👩‍🏫

Po zainstalowaniu na urządzeniu, wirusy typu backdoor mogą być trudne do wykrycia, ponieważ pliki są zazwyczaj dobrze ukryte. Zapewniają one również przestępcom możliwość uzyskiwania dostępu do poufnych informacji i instalowania innych form szkodliwego oprogramowania.

Dobra wiadomość jest taka, że istnieją sposoby na zabezpieczenie się przed atakami wirusów typu backdoor.

Na przykład możesz użyć dobrego rozwiązania antywirusowego lub monitorować aktywność sieciową pod kątem dziwnych skoków danych wynikających z próby włamania się intruza do twojego urządzenia za pomocą backdoora. Możesz również użyć zapór sieciowych, aby blokować wszelkie nieautoryzowane połączenia z twoją siecią.

Inne artykuły:

  1. Co to jest spoofing i jak zapobiegać atakom typu spoofing?
  2. Linux – jak zapobiegać atakom hakerów w systemie?
  3. Co to jest backdoor szyfrowania?
  4. Jak zmienić adres URL administratora WordPress, aby zapobiec atakom Brute Force?