Предотвращение атак бэкдор-вирусов
24.05.2022
Бэкдор – это метод, который позволяет кому угодно, будь то обычный пользователь или злоумышленник, обходить аутентификацию на устройстве и получать доступ к данным. Хакеры могут установить бэкдор на устройство, прислав файл с вредоносной программой, использовав уязвимость в системе, или даже вручную, если, например, в компании находится инсайдер, который заинтересован в краже данных. По сути, бэкдор – это новая удалённая точка входа в устройство для неавторизированных пользователей. В основном, бэкдоры используются злоумышленниками, чтобы получить доступ к базам данных или файловым серверам.
Зачастую бэкдоры устанавливаются вместе с уязвимыми приложениями, которые хакеры заранее ищут и внедряют туда вредоносную программу, предварительно замаскировав её так, чтобы невозможно было обнаружить на устройстве. Доступ к системе через бэкдор – необходимый атрибут атак на конфиденциальные данные, потому что у мошенников появляется возможность удалённо не только наблюдать за действиями пользователей, считывая активность, но и перехватывать информацию в реальном времени, а также устанавливать другие вредоносные ПО для новых атак.
Важно отметить, что бэкдор – это не конкретная программа, дающая удалённый доступ к компьютеру, а любая программа, через которую можно получить доступ. Бэкдорами могут быть кейлоггеры, трояны, утилиты, приложения, криптопрограммы и др.
Виды бэкдоров
Как мы уже отметили, чтобы начать пользоваться чужой системой удалённо, злоумышленникам сначала нужно установить бэкдор-программу на компьютер – физически или путём фишинга, или социальной инженерии. Лазейки, через которые легче всего подобраться к системе – это устаревший софт, слабые пароли и файрволы, системы с однофакторной аутентификацией или открытые. Ниже мы приводим самые популярные бэкдоры:
Трояны – программы, которые притворяются легитимными, чтобы получить доступ к устройству. После того, как пользователь нажимает «разрешаю производить изменения в системе», троян самоустанавливается и открывает доступ ко всем файлам и даже устанавливает новые вредоносные программы. Зачастую вместе с трояном устанавливается ещё и специальный код, который восстановит доступ, даже если уязвимость системы будет устранена.
Руткиты – наборы программ, выполняющих специально заданные функции, например, маскировку объектов, управление событиями в системе, сбор данных. Руткиты выступают в качестве продвинутых бэкдоров, так как могут полностью замаскировать своё присутствие в системе. Руткиты дают хакерам удалённый доступ и позволяют легко саботировать данные. Такой программный набор может быть в форме приложения или даже в форме физического компьютерного чипа, который жертва вручную устанавливает в компьютер.
Физические бэкдоры – это модифицированные компьютерные чипы, содержащие программу удалённого доступа. Физическими бэкдорами могут любые девайсы Интернета вещей, термостаты, роутеры, компьютеры, технологичные решения «умного дома» и др. Физические бэкдоры передаются вживую, могут быть подброшены в компанию, данные которой хотят саботировать, присланы в подарок или доставлены от якобы известного отправителя. Цель одна – заставить пользователя включить девайс или программу, запустив процесс атаки.
Криптографические бэкдоры – это коды, которые могут расшифровать зашифрованную информацию, пользуясь специальным шифровальным протоколом. Например, если пользователи общаются через мессенджер, использующий принцип сквозного шифрования, то есть информация, передающаяся между людьми зашифрована с обоих концов и не известна третьим лицам, установить криптографический бэкдор представляется возможным только изнутри, переслав его в чате. После загрузки код начнёт расшифровывать данные из чата и сливать их злоумышленникам.
Дальнейшие действия
После установки бэкдора на компьютер и получения удалённого доступа, хакеры могут просто наблюдать и тихо собирать информацию, а могут продолжать внедрение и атаковать другим вредоносным ПО с целью вымогательства; совершать атаки типа отказ в обслуживании и сделать недоступным онлайн-платформу; внедрить шпионское ПО, которое соберёт личные данные пользователя, такие, как, например, данные карт и счетов; использовать криптоджекинг и завладеть онлайн-кошельком пользователя.
Как предотвратить бэкдор-атаку?
- Иcпользуйте многофакторную аутентификацию и сильные пароли. К сожалению, утечка данных из-за недостаточной надёжности пароля – одна из самый распространённых причин взлома в 2022 году. Многофакторная аутентификация, помимо пароля, включает подтверждение личности другим способом, например, с помощью биометрии или одноразового СМС-кода.
- Не затягивайте с обновлением приложений. По мере устаревания приложений, в них появляется всё больше уязвимостей, через которые злоумышленник может установить бэкдор. По статистике каждая третья утечка происходит из-за несвоевременного обновления приложений, где уязвимость уже была устранена. Разработчики регулярно публикуют обновления приложений, так что не стоит ими пренебрегать и обновляться сразу же, как приходит уведомление об обновлении.
- Установите DLP-систему. DLP-система – программное решение, необходимое компаниям, которые не хотят потерять свои конфиденциальные данные. DLP SecureTower от Falcongaze – функциональная система, которая контролирует все каналы коммуникации пользователя. Где мы можем «подхватить вредоносные программы»? При посещении разных интернет-ресурсов. А бэкдоры также могут таиться в фишинговых и спам сообщениях, которые, в свою очередь, очень часто передаются по электронной почте, через мессенджеры и социальные сети и облачные хранилища.
SecureTower контролирует всю почту, передаваемую по протоколам MAPI, POP3, SMTP, IMAP, HTTP + почту внешних почтовых служб, таких как Gmail, Mail.ru, Яндекс.Почта. Система автоматически анализирует текст сообщений, отправляемые файлы и изображения на наличие в них конфиденциальной информации. Также SecureTower может заблокировать отправку сообщений, анализируя текстовое содержимое и вложения.
Также контролируется большинство популярных мессенджеров и социальных сетей. Система автоматически анализирует сообщения, отправляемые файлы и изображения, голосовые сообщения и звонки на наличие в них конфиденциальной информации.
- Используйте брандмауэры, ими оснащены большинство современных антивирусных программ, которые могут предотвратить загрузку бэкдора. Брандмауэры используются для мониторинга всего входящего и исходящего трафика, чтобы проанализировать потенциальные угрозы. Многие брандмауэры можно настроить на выполнение специальных действий, например, блокировку приложения или системы при попытке отправить личные данные.
- Загружайте осознанно. Фишинг – это самый простой и самый быстрый способ загрузить вредоносную программу на компьютер. Обращайте внимание на запрос разрешений на установку, не кликайте по непонятным ссылкам, которые приходят вам на почту от пользователя, с которыми вы не вели переписку ранее. Если вы работаете в компании, задумайтесь о прохождении фишинг-тренингов, которые научат мгновенно распознавать фишинг и не попадаться на него.
Вывод
Бэкдоры обычно трудно обнаружить в системе, поскольку они очень хорошо замаскированы. Они позволяют злоумышленникам не только получить удалённый доступ к системе, но и далеко развернуть атаку, используя другие вредоносные программы. Чтобы избежать внедрения в свою систему и кражи конфиденциальных данных, мы советуем осознанно работать с программами и приложениями, оставаться внимательными и установить специальное ПО типа DLP-системы, которое существенно снизит риск утечки.