Czym są backdoor'y
Czym są backdoory? Jakie rodzaje backdoorów istnieją? Jak je rozpoznać i jak sobie radzić z backdoorami? Na te pytania postaramy się odpowiedzieć w poniższym poście.
Czym jest backdoor?
Backdoor (z ang. tylne drzwi, furtka) to metoda pominięcia normalnych procesów uwierzytelniania lub szyfrowania systemu, produktu lub urządzenia (np. domowego routera). Backdoory są, często, używane do zdalnego logowania się do urządzeń, mogą być użyte do uzyskania haseł, edytowania danych na dyskach lub ich przesyłania.
Backdoor może mieć formę ukrytego programu, być częścią firmware, może być oddzielnym softwarem, częścią systemu (takiego jak Windows), czy zaszytym w kodzie hasłem.
Według badań backdoory bardzo często są wykorzystywane podczas targetowanych ataków — czyli takich, których ofiara nie jest przypadkowa. W tych typach ataków hakerzy wykorzystują tylne wejścia do atakowania sieci ofiary — zaletą tego typu ataku jest to, że pozwala on włamać się do infrastruktury bez zostania wykrytym.
Zwykle wykorzystywane są w drugiej lub trzeciej fazie ataku. Backdoor pozwala przejąć kontrole nad danym systemem.
Do czego może zostać wykorzystany backdoor?
Tak jak pisaliśmy, tylne wejścia służą do uzyskania dostępu do danego systemu, co jest wykorzystywane przez hakerów do przeprowadzania dalszych ataków.
Czym więc najczęściej kończy się zainstalowany backdoor?
- kradzież danych
- zmiana strony / dafacement
- przejęcie serwera
- wykonanie z ataku DDoS z danego systemu
- infekowanie użytkowników strony (watering hole attack)
- atak APT (advanced persistent threat) - wykorzystanie serwera do spamowania
- wykorzystanie mocy obliczeniowej do kopania kryptowalut
Rodzaje backdoorów
Backdoory możemy podzielić na te, które zostały celowo zaimplementowane przez producentów i szkodliwy kod, który został zaimplementowany przez hakerów.
Nierzadko dochodzi do sytuacji, gdzie backdoor jest celową częścią oprogramowania. Autorzy oprogramowania używają ich w celu debugowania. Innym powodem jest ułatwione rozwiązywanie problemów z urządzeniami. Producenci pozostawiają sobie możliwość zdalnego zalogowania się na urządzenie poprzez instalację standardowych, zaszytych w kodzie haseł. Niestety stanowi to bardzo duży problem w przypadku, gdy takie hasło zostanie odkryte przez niepowołane osoby — w takim wypadku dostęp do wszystkich urządzeń będą mieli, nie tylko pracownicy danej firmy, którzy na celu mają potencjalną naprawę, ale i hakerzy, którzy cele mają zwykle diametralnie odmienne.
Niestety coraz częściej instalację tylnego wejścia, próbują wymusić, na producentach, rządy państw. Taka potrzeba tłumaczona jest walką z terroryzmem — niestety jest to myślenie naiwne, każda instalacja tylnej furtki jest tożsamą z celowym zaimplementowaniem buga, który odkryty przez niepowołane osoby naraża na niebezpieczeństwo wszystkich użytkowników danego urządzenia czy systemu.
Dlaczego backdoory są trudne do znalezienia?
Większość backdoorów pisana jest specjalnie z myślą, by nie zostały wykryte. Hakerzy instalują je po to, by mieć dostęp do zhakowanej strony, czy systemu nawet po tym jak administratorzy wykryją malware — dlatego nie jest, aż tak rzadkim zjawiskiem, że taka strona, czy system zostają zainfekowane ponownie — malware zostało wykryte i usunięte, ale na serwerze pozostała tylna furtka.
Backdoory mają do wykorzystania serie potencjalnych metod utrudniających ich wykrycie. Praktycznie większość z nich stara się upodobnić do zwykłego kodu, co bardzo utrudnia pracę analitykom malware. Niektóre z nich posiadają hasła, te bardziej zaawansowane są zaszyfrowane i mogą znajdować się nie tylko w systemie plików danej strony, ale i w bazie danych.
Strategie włamań wykorzystujące backdoory
Backdoory nie tylko są źródłem punktu wejścia dla atakujących, ale także oferują różne strategie włamań:
- Port binding: zanim firewalle stały się powszechne port binding dostarczał informacji jak wiadomości są transmitowane i przekazywane wewnątrz sieci.
- Ponowne połączenie: po tym jak zaczęto stosować firewalle, popularną stała się metoda ponownego połączenia, gdzie backdoor łączy zaatakowany system z serwerem/systemem C&C (Command and Control). To umożliwia odwrócone połączenie do serwera przez porty, które nie są blokowane przez firewall i tym samym jego kontrole.
- Strategia wykorzystania połączenia: ta strategia wykorzystuje użycie nie jednej próbki malware, ale kilku. To pozwala na pozostanie niewykrytym przez dłuższy okres i zwiększa okno, w którym możliwe jest wykradanie danych. W tym przypadku pierwsza próbka służy za platformę do ściągnięcia kolejnej — tej, która dokonuje docelowej kradzieży danych.
- Używanie legalnych platform: wraz z rozwojem systemów cyberbezpieczeństwa hakerzy zaczęli wykorzystywać legalne platformy takie jak blogi, czy serwery stron, które zostają wykorzystane jako część innego ataku — np. jako C&C lub jako miejsca przechowywania skradzionych danych.
Jak chronić się przed atakami backdoor
Wyniki badań mówią jasno, że wykrycie i przeciwdziałanie backdoorom należy do zadań bardzo trudnych, istnieją jednak strategie pomagające zredukować ten typ zagrożenia.
Jedną z najważniejszych rzeczy, jakie powinniśmy zrobić to upewnić się, że firewalle są zainstalowane i umożliwiają dostęp tylko do serwisów krytycznie potrzebnych.
Wszystkie działające oprogramowanie powinno być monitorowane w kontekście ruchu sieciowego. Szczególną uwagę należy zwrócić na oprogramowanie open-source. W przypadku open-source medal ma dwie strony — z jednej strony mamy dostęp do kodu źródłowego, który możemy zweryfikować (i zwykle popularne programy rzeczywiście są dobrze prześwietlone) — z drugiej strony w relatywnie łatwy sposób może dojść do przejęcia softwaru lub biblioteki, która później może posłużyć jako backdoor (tego typu przypadki odbiły się sporym echem w świecie kryptowalut).
Biznes powinien być świadomy niebezpieczeństw podczas wybierania bibliotek open-source'owych.
Monitorowanie sieci jest bardzo ważne w przypadku backdoorów — te zwykle, by uzyskać komendy od atakujących, muszą połączyć się z serwerami C&C. Takie połączenia powinny być flagowane, a problemy gaszone u podstaw, zanim przyniosą jakiekolwiek straty.
Kolejną rzeczą jaką możemy zastosować jest oprogramowanie antymalware — niektóre z backdoorów udają prawdziwy ruch sieciowy, dlatego mogą być bardzo trudne do wykrycia przez samo monitorowanie ruchu.
W przypadku właścicieli stron ważnym jest ciągły monitoring witryny pod względem malware.