Вычислительные атаки с использованием черного хода

Что такое черный ход?

Представьте, что вы - грабитель, проверяющий дом на предмет возможного ограбления. Вы видите знак безопасности "Защищено...", установленный на лужайке перед домом, и камеру дверного звонка Ring. Будучи хитрым кошачьим взломщиком, вы перепрыгиваете через забор, ведущий к задней части дома. Вы видите заднюю дверь, скрещиваете пальцы и пробуете ручку - она не заперта. На взгляд случайного наблюдателя, никаких внешних признаков взлома нет. На самом деле нет никаких причин, по которым вы не могли бы ограбить этот дом через ту же самую заднюю дверь еще раз, если, конечно, вы не разнесете все вокруг.

Компьютерные бэкдоры работают примерно так же.

В мире кибербезопасности «бэкдор» означает любой метод, позволяющий получить доступ высокого уровня (так называемый root-доступ) к компьютерной системе, сети или программному приложению, минуя обычные меры безопасности. Попав внутрь, киберпреступники могут использовать бэкдор для кражи личных и финансовых данных, установки дополнительного вредоносного ПО и захвата устройств.

Однако бэкдоры предназначены не только для плохих парней. Разработчики программного или аппаратного обеспечения могут устанавливать бэкдоры сознательно, чтобы позже получить доступ к своей технологии. Некриминальные бэкдоры могут быть полезны в помощи пользователям, забывшим свои пароли или для устранения сбоев в программном обеспечении.

В отличие от других киберугроз, которые дают о себе знать пользователю (например, ransomware), бэкдоры известны своей незаметностью. Бэкдоры существуют для того, чтобы избранная группа осведомленных людей могла получить легкий доступ к системе или приложению.

Как угроза, бэкдоры никуда не исчезнут в ближайшее время. Согласно отчёту о состоянии вредоносного программного обеспечения Malwarebytes Labs, бэкдоры были четвёртой по распространённости угрозой в 2018 году как для потребителей, так и для бизнеса — увеличение на 34 и 173 процента соответственно по сравнению с предыдущим годом.

Если вы обеспокоены бэкдорами, слышали о них в новостях и хотите узнать, в чем дело, или у вас есть бэкдор на вашем компьютере и вам нужно избавиться от него, вы обратились по адресу. Читайте дальше и готовьтесь узнать все, что вам когда-либо хотелось узнать о бэкдорах.

«Бэкдор относится к любому методу, с помощью которого уполномоченные и неуполномоченные пользователи могут обойти обычные меры безопасности и получить доступ высокого уровня (так называемый root-доступ) к компьютерной системе, сети или программному приложению».

Новости о бэкдорах

• Ваш сайт WordPress подвергся обратным атакам скиммера?
• APT Kimsuky продолжает атаковать правительство Южной Кореи, используя бэкдор AppleSeed
• Атаки на Microsoft Exchange вызывают панику: преступники собирают ракушки
• Бэкдоры в эластичных серверах раскрывают частные данные
• Бэкдоры - это уязвимость системы безопасности
• Mac Вредоносная программа сочетает в себе бэкдор EmPyre и майнер XMRig
• Приложение для отслеживания криптовалют на Mac устанавливает бэкдоры.
• Обнаружен еще один дроппер OSX.Dok, устанавливающий новый бэкдор

Как работают бэкдоры?

Для начала давайте разберемся, как бэкдоры попадают на ваш компьютер. Это может произойти несколькими разными способами. Либо бэкдор появляется в результате работы вредоносного ПО, либо в результате намеренного решения производителя (аппаратного или программного).

Вредоносные программы с бэкдорами обычно классифицируются как троянцы. Троян - это вредоносная компьютерная программа, которая выдает себя за другую, чтобы доставить вредоносное ПО, украсть данные или открыть черный ход в вашу систему. Подобно троянскому коню из древнегреческой литературы, компьютерные троянцы всегда содержат неприятный сюрприз.

Трояны - невероятно универсальный инструмент в наборе киберпреступников. Они появляются под разными личинами, например в виде вложений в электронную почту или загружаемых файлов, и несут в себе любое количество вредоносных программ.

Проблема усугубляется тем, что троянские программы иногда проявляют червеобразную способность к самовоспроизведению и распространению на другие системы без каких-либо дополнительных команд со стороны создавших их злоумышленников. Возьмем, к примеру, банковского троянца Emotet. Emotet начал свою деятельность в 2014 году как похититель информации, распространяясь по устройствам и похищая конфиденциальные финансовые данные. С тех пор Emotet превратился в средство доставки других видов вредоносного ПО. По данным отчета State of Malware, Emotet помог троянцу стать лидером по обнаружению угроз в 2018 году.

В одном из примеров вредоносного бэкдора киберпреступники спрятали вредоносное ПО в бесплатном конвертере файлов. Ничего удивительного - он ничего не конвертировал. На самом деле загрузка была предназначена исключительно для открытия бэкдора в целевой системе. В другом примере злоумышленники спрятали вредоносную программу-бэкдор в инструменте, используемом для пиратского копирования программ Adobe (пусть это будет уроком по пиратству). И последний пример: казалось бы, легитимное приложение для отслеживания криптовалют под названием CoinTicker работало, как заявлено, отображая информацию о различных видах криптовалют и рынках, но при этом открывало бэкдор.

Как только киберпреступники зашли в дом, они могут использовать так называемую rootkit. rootkit - это пакет вредоносных программ, предназначенных для того, чтобы избежать обнаружения и скрыть интернет-активность (от вас и вашей операционной системы). Руткиты обеспечивают злоумышленникам постоянный доступ к зараженным системам. По сути, rootkit - это засов, который держит черный ход открытым.

"Бэкдоры стали четвертой по частоте обнаружения угрозой в 2018 году как для потребителей, так и для предприятий - их количество увеличилось на 34 и 173 процента по сравнению с предыдущим годом".

Встроенные или проприетарные бэкдоры устанавливаются самими производителями оборудования и программного обеспечения. В отличие от вредоносных программ, встроенные бэкдоры не обязательно создаются с какой-то преступной целью. Чаще всего встроенные бэкдоры существуют как артефакты процесса создания программного обеспечения.

Разработчики программного обеспечения создают эти бэкдоры, чтобы иметь возможность быстро входить и выходить из приложений в процессе их разработки, тестировать свои приложения и исправлять программные ошибки (то есть ошибки) без необходимости создавать "настоящую" учетную запись. Такие бэкдоры не должны поставляться вместе с окончательным вариантом программного обеспечения, но иногда они все же появляются. Это не конец света, но всегда есть шанс, что проприетарный бэкдор попадет в руки киберпреступников.

Хотя большинство встроенных бэкдоров, о которых нам известно, относится к категории «ой, не собирались это оставлять», члены разведывательного союза Пяти глаз (США, Великобритания, Канада, Австралия и Новая Зеландия) просили Apple, Facebook и Google устанавливать бэкдоры в их технологии для помощи в сборе доказательств во время расследований. Несмотря на отказ всех трех компаний, они предоставляют данные настолько, насколько это требуется по закону.

Страны "Пяти глаз" подчеркивают, что эти "черные ходы" отвечают интересам глобальной безопасности, однако существует большой потенциал для злоупотреблений. CBS News выяснила, что десятки полицейских по всей стране использовали имеющиеся базы данных преступников, чтобы помочь себе и своим друзьям домогаться своих бывших, приставать к женщинам и преследовать журналистов, которые возмущались их домогательствами и приставаниями.

Однако что, если правительственные агентства решат, что не собираются принимать отказ?

Это подводит нас к бэкдорам в цепочке поставок. Как следует из названия, бэкдор в цепочке поставок скрытно вставляется в программное или аппаратное обеспечение на определенном этапе цепочки поставок. Это может происходить при доставке сырья от поставщика к производителю или на пути готового продукта от производителя к потребителю.

Например, государственное агентство может перехватить завершённые маршрутизаторы, серверы и прочее сетевое оборудование на пути к заказчику и установить бэкдор прямо в программное обеспечение. Кстати, именно так и поступило Национальное агентство безопасности США (NSA), как было показано в глобальных разоблачениях слежки Эдварда Сноудена в 2013 году.

Проникновение в цепочки поставок может произойти и в сфере программного обеспечения. Возьмем, к примеру, открытый исходный код. Библиотеки открытого кода - это бесплатные хранилища кода, приложений и инструментов разработки, которые может использовать любая организация, вместо того чтобы разрабатывать все с нуля. Звучит здорово, правда? Все работают вместе на общее благо, делясь друг с другом плодами своего труда. По большей части так оно и есть. Любой вклад в исходный код подвергается тщательной проверке, но бывали случаи, когда вредоносный код попадал к конечному пользователю.

К слову, в июле 2018 года вредоносное ПО для криптомайнинга было обнаружено внутри приложения (или "снапа", как его называют в мире Linux) для Ubuntu и других операционных систем на базе Linux. Canonical, разработчики Ubuntu, признали: "Невозможно, чтобы крупный репозиторий принимал программное обеспечение только после детальной проверки каждого отдельного файла".

Являются ли бэкдоры и эксплойты одним и тем же?

Malwarebytes Labs определяют эксплойты как «известные уязвимости в программном обеспечении, которые могут быть использованы для получения некоторого контроля над системами, работающими на затронутом программном обеспечении». И мы знаем, что бэкдор работает как секретный вход в ваш компьютер. Итак, являются ли бэкдоры и эксплойты одним и тем же?

Хотя на первый взгляд бэкдоры и эксплойты кажутся ужасно похожими, это не одно и то же.

Эксплойты - это случайные уязвимости в программном обеспечении, которые используются для получения доступа к компьютеру и, возможно, для установки вредоносного ПО. Говоря иначе, эксплойты - это просто программные ошибки, которыми исследователи или киберпреступники нашли способ воспользоваться. Бэкдоры, с другой стороны, намеренно устанавливаются производителями или киберпреступниками, чтобы по своему усмотрению проникать в систему и выходить из нее.

"Эксплойты - это случайные уязвимости в программном обеспечении, используемые для получения доступа к вашему компьютеру и, возможно, для развертывания какого-либо вредоносного ПО..... Бэкдоры, с другой стороны, намеренно устанавливаются производителями или киберпреступниками, чтобы по своему усмотрению проникать в систему и выходить из нее".

Что могут сделать хакеры с помощью бэкдора?

Хакеры могут использовать бэкдор для установки на ваш компьютер всевозможных вредоносных программ.

• Шпионское ПО - это тип вредоносного программного обеспечения, которое, будучи установленным в вашей системе, собирает информацию о вас, сайтах, которые вы посещаете в Интернете, загружаемых вами файлах, открываемых файлах, именах пользователей, паролях и прочем, что представляет ценность. Менее распространенная разновидность шпионских программ, называемая кейлоггерами, отслеживает каждое нажатие клавиш и щелчок мыши. Компании могут использовать шпионские программы/кейлоггеры в качестве законного и легального средства контроля за сотрудниками на работе.
• Ransomware - это тип вредоносного ПО, предназначенного для шифрования ваших файлов и блокировки компьютера. Чтобы вернуть драгоценные фотографии, документы и т. д. (или любой другой тип файлов, который выбрали злоумышленники), вы должны заплатить злоумышленникам с помощью криптовалюты, обычно Bitcoin.
• Использовать ваш компьютер в DDoS-атаке. Используя бэкдор для получения доступа суперпользователя к вашей системе, киберпреступники могут удаленно управлять вашим компьютером, включив его в сеть взломанных компьютеров, так называемую бот-сеть. С помощью этого ботнета преступники могут переполнить веб-сайт или сеть трафиком из ботнета в так называемой распределенной атаке типа "отказ в обслуживании" (DDoS). Наводнение трафиком не позволяет веб-сайту или сети отвечать на законные запросы, фактически выводя сайт из строя.
• Вредоносные программы Cryptojacking предназначены для использования ресурсов вашей системы для добычи криптовалюты. Вкратце, каждый раз, когда кто-то обменивается криптовалютой, транзакция записывается в зашифрованную виртуальную книгу, известную как блокчейн. Криптомайнинг - это процесс подтверждения этих онлайн-транзакций в обмен на криптовалюту, который требует огромных вычислительных мощностей. Вместо того чтобы покупать дорогостоящее оборудование, необходимое для криптомайнинга, преступники обнаружили, что могут просто включить взломанные компьютеры в ботнет, который работает так же, как и дорогие фермы для криптомайнинга.

Какова история бэкдоров?

Давайте посмотрим на некоторые из самых (не)известных бэкдоров, как реальных, так и вымышленных, с момента появления компьютеров.

Можно утверждать, что бэкдоры вошли в общественное сознание в научно-фантастическом фильме 1983 года. WarGamesс Мэттью Бродериком в главной роли (похоже на пробный запуск Ферриса Бьюллера). Бродерик в роли озорного подростка-хакер Дэвида Лайтмана использует встроенный бэкдор, чтобы получить доступ к военному суперкомпьютеру, предназначенному для моделирования ядерной войны. Лайтман не знает, что шизофренический компьютер не может отличить реальность от симуляции. А еще какой-то гений решил дать компьютеру доступ ко всему ядерному арсеналу Соединенных Штатов. Компьютер угрожает взорвать весь мир.

В 1993 году АНБ разработало чип шифрования со встроенным "черным ходом" для использования в компьютерах и телефонах. Предполагалось, что чип будет обеспечивать безопасность конфиденциальных коммуникаций, позволяя правоохранительным и правительственным органам расшифровывать и прослушивать голосовые сообщения и данные в случае необходимости. Аппаратные бэкдоры имеют большие преимущества перед программными. В частности, их сложнее удалить - для этого нужно вырвать аппаратную часть или перепрошить прошивку. Однако чип не получил широкого распространения из-за проблем с конфиденциальностью.

В 2005 году Sony BMG начали заниматься проблемой бэкдоров, когда выпустили миллионы музыкальных CD с вредоносным корневым набором для защиты от копирования. Пока вы наслаждались последним альбомом Now That’s What I Call Music!, ваш CD устанавливал корневой набор автоматически при вставке в компьютер.

Sony BMG корневой набор следил за вашими музыкальными предпочтениями, мешал записывать диски и створил уязвимость в компьютере, которую могли использовать киберпреступники. Sony BMG выплатили миллионы долларов для урегулирования исков, связанных с этим набором, и отозвали ещё больше миллионов CD.

В 2014 году у нескольких роутеров Netgear и Linksys обнаружили встроенные бэкдоры. SerComm, сторонний производитель, собиравший роутеры, отрицал преднамеренную установку бэкдоров в их оборудование. Но когда выпущенная SerComm исправление скрывало бэкдор, а не исправляло его, стало ясно, что компания ведет нечестную игру. Точно неизвестно, чего SerComm пытались добиться с помощью бэкдора.

В том же году разработчики программного обеспечения, работавшие над спин-оффом операционной системы Google Android (под названием Replicant), обнаружили бэкдор на устройствах Samsung, включая серию телефонов Galaxy. Бэкдор предположительно позволял Samsung или кому-либо другому, кто о нем знал, удаленно получать доступ ко всем файлам на затронутых устройствах. В ответ на это Samsung назвали бэкдор «функцией», не представляющей «никакой угрозы безопасности».

Другая известная компания по производству телефонов, Apple, отказывается включать бэкдоры в свои продукты, несмотря на многократные просьбы от ФБР и Министерства юстиции США. Давление усилилось после терактов в Сан-Бернардино в 2015 году, когда ФБР получили iPhone, принадлежавший одному из стрелков. Вместо компрометации безопасности своих устройств iOS, Apple удвоили усилия по защите конфиденциальности и сделали свои iPhone и iPad еще более трудными для взлома. В конечном итоге ФБР отозвали свою просьбу, когда смогли взломать старый, менее защищенный iPhone с помощью таинственной третьей стороны.

Плагины с вредоносным скрытым кодом для WordPress, Joomla, Drupal и других систем управления контентом остаются постоянной проблемой. В 2017 году исследователи безопасности обнаружили мошенничество с SEO, затронувшее более 300,000 сайтов на WordPress. Это мошенничество было сосредоточено вокруг плагина CAPTCHA Simply WordPress, который после установки открывал бэкдор, позволяя админ-доступ к затронутым сайтам. С этого момента хакер вставлял скрытые ссылки на свой сомнительный сайт мгновенных займов (сайты, ссылающиеся на ваш сайт, полезны для SEO).

2017 год также стал свидетелем разрушительного ransomware NotPetya. В данном случае началом всего стал троянец-бэкдор, замаскированный под обновление программного обеспечения для украинского бухгалтерского приложения под названием MeDoc. Когда его попросили объясниться, MeDoc отрицал свое участие в NotPetya. Возникает вопрос, почему кто-то выбрал бы для этого крайне сомнительное украинское бухгалтерское приложение под названием MeDoc?

В 2018 году в новостях, напоминающих сюжет к малобюджетному фильму, Bloomberg Businessweek сообщил, что китайские шпионы, спонсируемые государством, внедрились в производителя серверов Supermicro. Шпионы якобы установили шпионские чипы с аппаратными бэкдорами на компоненты серверов, предназначенные для десятков американских технологических компаний и организаций правительства США — в частности, Amazon, Apple и ЦРУ.

После установки в дата-центр чипы-шпионы якобы связывались с китайскими серверами командного центра (C&C), предоставляя китайским операторам неограниченный доступ к данным в сети. Amazon, Apple и несколько официальных лиц правительства США опровергли заявления, сделанные в истории Bloomberg. Supermicro, защищаясь, назвали историю „практически невозможной“, и ни одна другая новостная организация её не подхватила.

Наконец, в пример к ситуации, когда компания жалеет, что у них нет бэкдора, канадская криптовалютная биржа QuadrigaCX попала в новости в начале 2019 года, когда основатель компании неожиданно умер во время отпуска в Индии, забрав с собой пароль ко всем ресурсам. QuadrigaCX утверждает, что все 190 миллионов долларов в криптовалюте клиентов безвозвратно заморожены в «холодном хранилище», где они останутся на десятилетия и в итоге будут стоить целое состояние или ничего, в зависимости от того, как пойдёт дело с криптовалютой.

Как защититься от бэкдоров?

Хорошие новости плохие новости. Плохие новости в том, что тяжело определить и защититься от встроенных бэкдоров. Чаще всего производители даже не знают, что бэкдор существует. Хорошие новости заключаются в том, что есть меры, которые вы можете предпринять, чтобы защититься от других видов бэкдоров.

Изменяйте свои пароли по умолчанию. Сотрудники вашего ИТ-отдела никогда не подразумевали, что ваш фактический пароль будет «guest» или «12345». Если вы оставите этот пароль, вы невольно создали бэкдор. Измените его как можно быстрее и включите Многофакторную аутентификацию (MFA) заодно. Да, следить за уникальным паролем для каждого приложения может быть трудно. Исследование по защите данных от Malwarebytes Labs обнаружило, что 29 процентов респондентов использовали один и тот же пароль для различных приложений и устройств. Неплохо, но есть куда улучшать.

Мониторьте сетевую активность. Любые странные скачки данных могут означать, что кто-то использует бэкдор в вашей системе. Чтобы это предотвратить, используйте фаерволы для отслеживания входящей и исходящей активности различных приложений, установленных на вашем компьютере.

Выбирайте приложения и плагины внимательно. Как мы уже обсуждали, киберпреступники любят прятать бэкдоры внутри кажущихся безобидными бесплатных приложений и плагинов. Лучшая защита здесь — убедиться, что выбранные вами приложения и плагины поступают из надежного источника.

Пользователи Android и Chromebook должны придерживаться приложений из магазина Google Play, а пользователи Mac и iOS — магазина App Store. Бонусный технический совет — когда недавно установленное приложение просит разрешение на доступ к данным или функциям вашего устройства, подумайте дважды. Подозрительные приложения известны тем, что пробиваются через процессы проверки Google и Apple.

Возвращаясь к исследованию по защите данных, большинство респондентов хорошо следили за разрешениями приложений, но 26 процентов сказали, что

Используйте хорошее решение для обеспечения кибербезопасности. Любое хорошее решение для защиты от вредоносного ПО должно быть способно остановить злоумышленников от развертывания троянцев и руткитов, используемых для открытия этих досадных бэкдоров. Malwarebytes Например, компания , предлагает решения по кибербезопасности для Windows, Mac, и Chromebook. Не говоря уже о Malwarebytes для Android и Malwarebytes для iOS, чтобы вы могли оставаться под защитой на всех своих устройствах. Бизнес-пользователи - мы позаботимся и о вас. Ознакомьтесь со всеми бизнес-решениямиMalwarebytes .

Если вас интересуют бэкдоры больше, чем то, что вы прочитали здесь, обязательно ознакомьтесь и подпишитесь на блог Malwarebytes Labs. Там вы найдёте все самые последние новости о бэкдорах и всём остальном, что имеет значение в мире кибербезопасности.