Как избавиться от backdoor

Распознать и обезвредить. Поиск неортодоксальных бэкдоров

Согласно нашим подсчетам, в 72% зараженных сайтов использованы программы скрытого удаленного администрирования — бэкдоры. С их помощью мошенники получают удаленный доступ к вашему сайту, и понятное дело, чем это грозит владельцу: получение и передачи конфиденциальных данных пользователей, запуск вредоносных программ, уничтожения информации и тд.

Время от времени приходится сталкиваться с уникальными бэкдорами, которые не включают обычные функции PHP, такие как eval, create_function, preg_replace, assert, base64_decode и т.п.

Такие бэкдоры часто выглядят как исходный код без какой-либо обфускаций, нет зашифрованных строк, конкатенации строк, форматирования кода программы, изменения его структуры. Однако эти бэкдоры по-прежнему позволяют злоумышленнику запускать на вашем сервере произвольный код.

Бэкдор и Shutdown Function

Давайте начнем с простого. Комментарий в файле говорит, что это @package win.error.Libraries с функцией:

В этом случае $ _POST мы рассматриваем как нечто подозрительное. Но действительно ли это злонамереннй код?

register_shutdown_function регистрирует функцию, которая выполнится по завершении работы скрипта. Потому, независимо от кода, который вы видите в скрипте, после его завершения будет выполнена функция обратного вызова из функции register_shutdown_function.

Функция, выполняемая после скрипта, будет выглядеть так:

В любом случае, код выглядит загадочным. Взглянем на него глазами хакера и предположим, что им был активирован скрипт со следующими параметрами POST:

d = create_function
е = base64_decode
с = some_base64_encoded_malicious_PHP_code

Теперь это выглядит как обычный бэкдор. Этот код не требует дополнительного вызова, так как register_shutdown_function регистрирует функцию обратного вызова, которая автоматом выполнится после завершения работы скрипта.

Бэкдор и Stream Wrapper

Теперь немного усложним задание по распознаванию бэкдоров.

Перед нами комментарий — @package Stream.ksn.Libraries, а значит, файл содержит класс Stream и функцию для работы с потоками stream_wrapper_register, которая регистрирует обертку по ksn протоколу.

А теперь, по порядку. Для владельцев сайта и некоторых вебмастеров этот код выглядит вполне законно — типичные файлы в системах управления контентом или сторонних плагинах — возможно, не совсем понятно за чем он и что делает, но если есть — видимо нужен и полезен. А кто-нибудь знает, что такое ksn потоки?

Но погодите — мы видим, что в коде присутствуют POST-данные. А вот это уже вызывает подозрение, так как параметры POST могут контролироваться злоумышленниками. Пока не совсем ясно, какие данные POST используются в этом коде. Поиграем в криптографов и используем технику декодирования, заменим буквы в фразе.

Начнем с этой части кода из функции stream_open:

Подозрительно, когда параметр POST используется как имя функции. Код предполагает, что значение $ _POST [‘d’] может быть create_function. Если это так, то $url [«host»] содержит какой-то исполняемый код, но переменная $ url разбирает URL и возвращает его компоненты с использованием стандартной функции PHP parse_url. Это означает, что $url [«host»] — это только часть хост-часть URL пути.

Сомневаюемся, что доменное имя может содержать исполняемый PHP-код… верно?

Давайте проверим, откуда мы получаем параметр $path в function stream_open: по идее он будет содержать разобраный URL-адрес, полученный при использовании функции parse_url. Чтобы выяснить это, рассмотрим эту часть кода:

Функция stream_wrapper_register регистрирует протокол ksn и класс Stream, который будет работать с этим протоколом. Класс Stream следует условию прототипа streamWrapper, а именно streamWrapper::stream_open — открывает файл или URL, и будет вызваться сразу же после инициализации протокола.

stream_open должен следовать описанию, где $path — это URL переданное функции fopen(), которая закрепляет именованный ресурс, указанный в аргументе filename, за потоком:

В нашем случае fopen открывает URL-адрес ksn: //:

В итоге, $path получается строка: ‘ksn: //’.$_POST [‘ f ‘] ($ _POST [‘ c ‘]),’

Это создаст URL, в котором часть хоста — исполняемый зловредный PHP код.

Можно ли создать доменное имя или IP-адрес, который будет в действительности полноценным PHP-кодом для атаки веб-сайтов? Функция parse_url не проверяет URL-адреса на корректность, а просто разбивает их на части. Все от: // до первой косой черты (/) или двоеточия (:) считается основной частью URL адреса.

Например, если вы задаете parse_url function: ksn: // eval (base64_decode ($ _POST [«code»])); возвращена будет основная часть URL: eval (base64_decode ($ _ POST [«code»]));

Следуя логике бэкдора, получим следующие параметры POST:

е = base64_decode
с = some_base64_encoded_malicious_PHP_code

В этом случае формулировка fopen выглядит так:

Теперь, вернемся к stream_open function, это будет последним фрагментом головоломки. Теперь известно, какой URL-адрес можно передать файлу функции fopen:

И брюки превращаются, превращаются брюки — в элегантную строку:

Следующая строка просто выполняет бэкдор-код:

Другими словами, все, что требуется для выполнения бэкдор-кода, — это вызвать функцию fopen () с созданным URL-адресом ksn: //.

Выше был показан пример, как злоумышленники могут использовать менее известные функции PHP для создания уязвимостей. Учитывая, что на типичном веб-сайте есть тысячи PHP-файлов, вряд ли можно тщательно проверить каждый файл. Потому поиск вредоносного ПО на сайте — задача не совсем простая. Нельзя полагаться лишь на ручную проверку кода и простые скрипты, которые сканируют известные шаблоны вредоносных программ.

На правах рекламы. Акция! Только сейчас получите до 4-х месяцев бесплатного пользования VPS (KVM) c выделенными накопителями в Нидерландах и США (конфигурации от VPS (KVM) — E5-2650v4 (6 Cores) / 10GB DDR4 / 240GB SSD или 4TB HDD / 1Gbps 10TB — $29 / месяц и выше, доступны варианты с RAID1 и RAID10), полноценным аналогом выделенных серверов, при заказе на срок 1-12 месяцев, условия акции здесь, cуществующие абоненты могут получить 2 месяца бонусом!

Источник

Что такое бэкдор и как предотвратить вирусные атаки

Бэкдор — это любой метод, который позволяет кому-либо — хакерам, правительствам, ИТ-специалистам и т. д. — получить удаленный доступ к вашему устройству без вашего разрешения или ведома.

Хакеры могут установить бэкдор на ваше устройство, используя вредоносное ПО, используя уязвимости вашего программного обеспечения или даже напрямую устанавливая бэкдор в аппаратное обеспечение / прошивку вашего устройства.

Как только хакеры входят в вашу машину без вашего ведома, они могут использовать бэкдоры по разным причинам, например:

• Наблюдение,
• Кража данных,
• Криптоджекинг,
• Саботаж,
• Атака вредоносного ПО.

Никто не застрахован от взлома бэкдором, и хакеры постоянно изобретают новые методы и файлы вредоносных программ, чтобы получить доступ к пользовательским устройствам.

Если вы думаете, что стали жертвой бэкдор-атаки, вы можете многое сделать, чтобы закрыть бэкдоры в своей системе, оценить нанесенный ущерб и предотвратить еще один взлом бэкдора в будущем.

Что такое бэкдор и как он работает?

В кибербезопасности бэкдор — это все, что может позволить стороннему пользователю проникнуть на ваше устройство без вашего ведома или разрешения.

Бэкдоры могут быть установлены в двух разных частях вашей системы:

1. Железо / прошивка. Физические изменения, обеспечивающие удаленный доступ к вашему устройству.
2. Программное обеспечение. Файлы вредоносного ПО, которые скрывают свои следы, чтобы ваша операционная система не знала, что к вашему устройству обращается другой пользователь.

Бэкдор может быть установлен разработчиками программного обеспечения и оборудования для целей удаленной технической поддержки, но в большинстве случаев бэкдоры устанавливаются либо киберпреступниками, либо назойливыми правительствами, чтобы помочь им получить доступ к устройству, сети или программному приложению.

Любое вредоносное ПО, которое предоставляет хакерам доступ к вашему устройству, может рассматриваться как бэкдор — в том числе руткиты, трояны, шпионское ПО, криптоджекеры, клавиатурные шпионы, черви и даже программы-вымогатели.

Как работают бэкдор-атаки?

Чтобы киберпреступники смогли успешно установить бэкдор на ваше устройство, им сначала необходимо получить доступ к вашему устройству посредством физического доступа, атаки вредоносного ПО или эксплуатации уязвимости системы — вот некоторые из наиболее распространенных уязвимостей, на которые нацелены хакеры:

• Открытые порты,
• Слабые пароли,
• Устаревшее программное обеспечение,
• Слабые межсетевые экраны.

Эксплойты — это целевые атаки, которые используют уязвимости программного обеспечения (обычно в веб-программном обеспечении, таком как браузеры, Adobe Flash, Java и т. д.), чтобы предоставить хакерам доступ к вашей системе.

Для целей этой статьи все, что вам нужно знать, это то, что существуют вредоносные веб-сайты и рекламные объявления, которые сканируют ваш компьютер на предмет уязвимостей программного обеспечения и используют эксплойты для таких действий, как кража ваших данных, сбой вашей сети или установка бэкдора на ваше устройство.

Итак, как только вредоносный файл заражает ваше устройство, или если ваше устройство физически скомпрометировано (украдено или взломано), или вы стали целью атаки с использованием эксплойтов, хакеры могут установить бэкдор в вашей системе.

Вот несколько примеров различных часто используемых бэкдоров:

• Трояны. Трояны — это вредоносные файлы, которые выдают себя за легитимные файлы, чтобы получить доступ к вашему устройству. После того, как вы нажмете «Разрешить программе вставки здесь вносить изменения на вашем устройстве?» на вашем компьютере, троянец сможет установить себя на ваше устройство. Троянские бэкдоры могут позволить пользователям получать доступ к вашим файлам и программам или устанавливать более серьезные вредоносные файлы на ваше устройство.
• Руткиты. Руткиты — это сложные вредоносные программы, которые могут скрывать свою деятельность от операционной системы, чтобы операционная система предоставляла руткиту права безопасности (root-доступ). Руткиты могут позволить хакеру удаленный доступ к вашему устройству, изменять ваши файлы, наблюдать за вашей деятельностью и саботировать вашу систему. Руткиты могут иметь форму программного обеспечения или даже физически модифицированных компьютерных чипов.
• Аппаратные бэкдоры. Аппаратные бэкдоры — это модифицированные компьютерные микросхемы или другая прошивка / оборудование, которые предоставляют доступ к устройству не пользователям. Это могут быть телефоны, устройства IoT, такие как термостаты, домашние системы безопасности, маршрутизаторы и компьютеры. Аппаратные бэкдоры могут передавать пользовательские данные, обеспечивать удаленный доступ или использоваться для наблюдения. Аппаратные бэкдоры могут поставляться вместе с продуктами (либо изготовителями-мошенниками, либо для каких-то нечестных целей), но они также могут быть физически установлены в случае кражи устройства.
• Криптографические бэкдоры. Криптографические бэкдоры — это, по сути, «главный ключ», который может разблокировать каждую часть зашифрованных данных, использующих определенный протокол шифрования. Стандарты шифрования, такие как AES, используют сквозное шифрование, так что только стороны, которые обменялись случайно сгенерированным криптографическим ключом, могут расшифровать передаваемую информацию. Бэкдоры — это способ разорвать этот безопасный диалог, манипулировать сложной математикой конкретного криптографического протокола, чтобы предоставить внешнему пользователю доступ ко всем зашифрованным данным, совместно используемым сторонами.

Примеры атак через бэкдор

• Криптоджекер DoublePulsar. В 2017 году исследователи безопасности обнаружили, что бэкдор — вредоносное ПО DoublePulsar (которое изначально было разработано АНБ, Агентством национальной безопасности США) использовалось для мониторинга компьютеров с Windows, устанавливая криптоджекинг на компьютеры с достаточной памятью и мощностью процессора. Криптоджекинг украл вычислительную мощность зараженных компьютеров для майнинга биткойнов, тайно присоединив тысячи компьютеров к огромному ботнету для майнинга криптовалют.
• Dual_EC (криптографический бэкдор АНБ). Dual_EC — это криптографический протокол, который использует математическую формулу, называемую эллиптической кривой, для генерации сложных случайных чисел, необходимых для шифрования пользовательских данных. Однако Dual_EC также имеет бэкдор, что означает, что он может быть расшифрован пользователями высокого уровня с помощью секретного ключа. АНБ подтолкнуло множество крупных компаний принять Dual_EC в качестве своего основного криптографического протокола, и в 2013 году Эдвард Сноуден слил документы, которые доказывали, что АНБ владело секретными ключами, по сути, позволяя им расшифровывать и читать любые сообщения, зашифрованные с помощью Dual_EC. Такие компании, как Blackberry, RSA, Cisco и Microsoft, все использовали Dual_EC в различных своих продуктах, что сделало миллионы пользователей открытыми для наблюдения со стороны АНБ.
• PoisonTap. PoisonTap — это вредоносная программа-бэкдор, которая позволяет хакерам получить доступ практически к любому веб-сайту, на который вы вошли (включая сайты, защищенные двухфакторной аутентификацией). PoisonTap — довольно устрашающая вредоносная программа, но, к счастью, ее можно установить только путем непосредственного подключения компьютера Raspberry Pi к USB-порту жертвы. PoisonTap был разработан хакером Сэми Камкаром и не использовался в широкомасштабных атаках.

Уязвимы ли вы к атакам через бэкдор?

К сожалению, да — у большинства пользователей есть множество слабых мест в своих онлайн-аккаунтах, сетях, устройствах и даже устройствах, подключенных к интернету (IoT).

Вот некоторые из методов, которые хакеры используют для установки бэкдоров на пользовательские устройства:

• Скрытые / законные бэкдоры. Скрытые бэкдоры намеренно устанавливаются разработчиками программного обеспечения для обеспечения удаленного доступа для выполнения законных функций, таких как поддержка клиентов или решение проблем с программным обеспечением. Тем не менее, наиболее уважаемые производители включают только бэкдоры с максимальной защитой для предотвращения нечестной игры, но отчет за 2020 год показал, что китайский производитель Xiongmai поставлял тысячи камер, видеорегистраторов, сетевых видеорегистраторов и других продуктов с аппаратными бэкдорами, которые могли позволить кому угодно (например, CCP) для удаленного доступа, управления и наблюдения за пользователями на их устройствах.
• Открытые сетевые порты. Открытый порт в сети принимает трафик из удаленных мест, и в результате он может создать слабое место, которое может быть использовано хакерами. Хакеры обычно нацелены на неиспользуемые порты — это позволяет им устанавливать бэкдоры, которые получают доступ к вашему устройству, при этом никакое программное обеспечение не предупреждает вас о вторжении. Это не должно быть проблемой для большинства домашних пользователей, потому что порты наших маршрутизаторов по умолчанию закрыты. Однако технически подкованные пользователи и владельцы малого бизнеса должны быть очень осторожны с тем, какие порты они оставляют открытыми и какие уязвимости создают эти открытые порты. Многие ИТ-специалисты используют «Shodan» для обеспечения максимальной безопасности своих сетей.
• Слабые пароли. Слабый пароль может дать хакерам немедленный доступ к вашим учетным записям — как только хакеры взломали одну учетную запись, им будет очень легко получить доступ к другим вашим учетным записям и устройствам. Хорошим примером того, как хакеры используют пароли по умолчанию, является ботнет Mirai 2016 года, который затронул 2,5 миллиона устройств IoT по всему миру. Mirai был разработан для сканирования интернета в поисках устройств IoT с использованием паролей по умолчанию, взлома этих устройств и порабощения их ботнетом, просто вводя правильные пароли.
• Устаревшее программное обеспечение. Хакеры используют эксплойт-атаки для установки вредоносных программ (включая бэкдоры) на пользовательские устройства. Но если вы будете постоянно обновлять все свое программное обеспечение, вы, вероятно, не станете жертвой атаки с использованием эксплойтов.
• Доверчивые пользователи. Большинство атак вредоносного ПО зависит от ошибки пользователя — вы хотите получить бесплатную программу или торрент с последним фильмом Marvel, или вы нажимаете ссылку для большой продажи, а затем внезапно в конечном итоге отдаете свою информацию или устанавливаете файл вредоносной программы.

Лучшие способы предотвращения атак через бэкдор

Бэкдоры сложно обнаружить. Обычные пользователи не могут обнаружить бэкдор, просто открыв диспетчер задач.

Но есть несколько простых шагов, которые вы можете предпринять, чтобы обезопасить свое устройство от вирусных атак через бэкдоры, например:

Используйте антивирус

Всегда используйте передовое антивирусное программное обеспечение, которое может обнаруживать и предотвращать широкий спектр вредоносных программ, включая трояны, криптоджекинг, шпионское ПО и руткиты.

Антивирус обнаружит бэкдор-вирусы и устранит их, прежде чем они смогут заразить ваш компьютер.

Хорошее антивирусное программное обеспечение, такое как «Norton 360», также включает в себя такие инструменты, как мониторинг Wi-Fi, расширенный брандмауэр, веб-защиту, а также мониторинг конфиденциальности с помощью микрофона и веб-камеры, чтобы обеспечить максимальную безопасность в интернете.

Скачивайте с осторожностью

Бэкдоры часто связаны с, казалось бы, законными бесплатными программами, файлами и приложениями.

При загрузке любого файла из интернета проверьте, получаете ли вы только тот файл, который хотели, или есть какие-то неприятные попутчики.

Даже файл, который ведет себя как файл, который вы ищете, может быть трояном.

Всегда загружайте файлы с официальных сайтов, избегайте пиратских сайтов и устанавливайте антивирус с защитой в реальном времени, который может помечать вредоносные файлы, прежде чем вы даже загрузите их в свою систему.

Используйте брандмауэр

Брандмауэры необходимы для защиты от бэкдора — они контролируют весь входящий и исходящий трафик на вашем устройстве.

Если кто-то за пределами вашей одобренной сети пытается проникнуть на ваше устройство, брандмауэр заблокирует его, а если приложение на вашем устройстве пытается отправить данные в неизвестное сетевое расположение, брандмауэр также заблокирует это приложение.

Расширенные брандмауэры могут обнаруживать неавторизованный бэкдор-трафик, даже если обнаружение вредоносного ПО вашим устройством было обманом.

Windows и macOS имеют довольно приличные встроенные брандмауэры, но они недостаточно хороши.

Существует несколько антивирусных программ с хорошими брандмауэрами (у «McAfee» отличная защита сети), и вы также можете рассмотреть возможность приобретения интеллектуального брандмауэра, который представляет собой физическое устройство, которое вы подключаете к маршрутизатору, чтобы обеспечить максимальную безопасность вашей сети.

Используйте менеджер паролей

Менеджеры паролей генерируют и хранят информацию для входа во все ваши учетные записи и даже помогают вам автоматически входить в них.

Вся эта информация надежно зашифрована с использованием 256-битного шифрования AES и заблокирована мастер-паролем.

Продвинутые менеджеры паролей, такие как «Dashlane», могут даже повысить безопасность вашего хранилища паролей с помощью биометрического входа в систему или инструментов 2FA, таких как генераторы TOTP и USB-токены.

Поскольку они генерируют случайные сложные пароли, менеджеры паролей значительно усложняют хакерам проникновение в вашу сеть или распространение по ней в случае, если в вашей системе установлен бэкдор.

Будьте в курсе обновлений / исправлений безопасности

Бэкдор-атаки довольно редки, и большинство хакеров просто повторно используют одни и те же эксплойты и вредоносные программы, потому что это дешево и легко для них. Плюс — это работает.

Каждый третий ИТ-специалист (34%) в Европе признал, что их компания была взломана в результате не исправленной уязвимости.

Разработчики программного обеспечения часто публикуют новые патчи для исправления уязвимостей в своем программном обеспечении, и установить эти обновления несложно.

Многие программы даже включают функцию автоматического обновления.

Если вы пользователь macOS или Windows, перейдите к своим настройкам и включите «Автоматические обновления» — особенно важно постоянно обновлять вашу ОС, потому что бэкдоры зависят от того, как обмануть вашу операционную систему.

Часто задаваемые вопросы об атаках через бэкдор

Что такое бэкдор в кибербезопасности?

Бэкдор является любым методом, который может позволить другому пользователю получить доступ к устройству без вашего ведома или согласия (и, как правило, без знания устройства).

Бэкдор может быть установлен разработчиками программного и аппаратного обеспечения или киберпреступниками для получения несанкционированного доступа к устройству, установки вредоносного ПО, кражи пользовательских данных или саботажа в сети.

Как работают бэкдорные атаки?

При атаке через бэкдор хакеры сначала находят на вашем устройстве слабое место или скомпрометированное приложение для использования — это может быть уязвимость в приложении, открытый порт в вашей сети, учетная запись со слабым паролем или вредоносное ПО, которое было установлено на вашем устройстве.

Затем хакер использует сложные инструменты, чтобы обмануть ваше устройство, вашу сеть или вашу онлайн-учетную запись, заставив их думать, что бэкдор является законным приложением.

После взлома вашего устройства бэкдор можно использовать для развертывания на нем вредоносных программ (например, криптоджекеров, руткитов или программ-вымогателей), кражи ваших данных и слежки за вашей деятельностью или просто установки вирусов, чтобы вывести устройство из строя.

Что киберпреступники могут делать с бэкдором?

В зависимости от того, насколько сложна программа-бэкдор, она может позволить хакерам выполнять вредоносные действия, такие как DDoS-атаки, отправка и получение файлов, изменение настроек системы, создание снимков экрана и трюки, такие как открытие и закрытие DVD-привода.

Хакеры могут даже получить удаленный доступ к вашему устройству со своего компьютера с помощью бэкдора, перемещаясь по всем вашим файлам и программному обеспечению, не выходя из собственного дома.

Эдвард Сноуден сообщил, что АНБ внедрило бэкдоры в тонны пользовательской электроники и даже в широко распространенные криптографические протоколы, что позволило им прослушивать чьи-либо разговоры, активировать микрофоны и камеры и удаленно собирать пользовательские данные.

Как предотвратить бэкдор-атаки?

Существуют стратегии, которые можно использовать для предотвращения и снижения риска бэкдор-атаки, но первым и наиболее важным шагом в защите от вредоносных программ является получение надежной антивирусной программы.

Например, «Norton 360» поставляется с защитой в реальном времени (которая может предотвратить установку вредоносного ПО на ваш компьютер), брандмауэром (который может обнаруживать и предотвращать нежелательный веб-трафик), менеджером паролей (который может предотвратить взлом ваших учетных записей), сканер уязвимостей (который может сказать вам, нужны ли вам обновления программного обеспечения) и мониторингом темной сети (который может предупредить, если ваши данные были взломаны).

Кроме того, просто руководствуйтесь здравым смыслом в интернете.

По возможности используйте только веб-сайты HTTPS, избегайте пиратских веб-сайтов, не передавайте свою личную информацию ненадежным сайтам и сканируйте любые файлы, которые вы загружаете, с помощью антивирусной программы.

Источник