Що таке бекдор?
October 06, 2023
Бекдори — великий підвид вірусів, який використовується для різних цілей протягом останніх 10 років. Звичайно, приклади шкідливих програм, які мали ті ж функції, що й бекдор, з’явилися ще раніше, але ніхто не класифікував їх саме так. За своєю природою бекдор є універсальним шкідливим програмним забезпеченням, яке може діяти по-різному від одного випадку до іншого. Давайте розглянемо, як один вірус може бути таким всемогутнім.
Бекдор глибоко інтегрується в цільову систему. На відміну від більшості інших вірусів, бекдор проникає в комп'ютер як драйвер. Згідно з ієрархічною системою кілець (англ. Rings), драйвери основних пристроїв розташовані на Ring 2 і виконуються з більшим пріоритетом, ніж операційна система. Усе, що працює на Ring 2, може контролювати процеси, розташовані на Ring 3 і Ring 4, де працюють ОС, драйвери периферії і встановлене програмне забезпечення. Отже, інтеграція вірусу на такому глибокому рівні означає отримання контролю над усією системою. Бекдори є лише одним із прикладів дюжини інших вірусів, які використовують цю здатність. Прекрасним прикладом програмного забезпечення ризику, яке інтегрується на рівні драйвера, є інструмент зламу паролів Mimikatz.
То що може зробити бекдор?
Чи бачили ви коли-небудь, що вказівник миші рухається без вашої команди? Можливо, це відбувалось коли ви дозволили системному адміністратору налаштувати ваш комп’ютер за допомогою інструменту віддаленого доступу. Тоді уявіть, що хтось може підключитися до вашого комп’ютера без вашого наміру та робити все, що йому заманеться. Хакери можуть отримати будь-який файл, що зберігається на вашому комп’ютері, призупинити та розпочати будь-який процес — він може почуватися власником ПК. У деяких випадках кіберзлочинці можуть навіть віддалено запустити ваш комп’ютер, тому вам навіть не потрібно вмикати його для запуску вірусу.
Отже, шахраї, які контролюють цього шкідника, можуть керувати вашим комп’ютером віддалено, як їм заманеться. Немає чіткого сценарію того, як буде розвиватися ситуація. Бекдори, особливо їх полегшені варіанти, часто використовують для розгортання ботнету. Комп’ютери, заражені вірусом бекдор, працюють у так званому “режим зомбі”: вони використовуються їхніми справжніми власниками так, ніби все нормально, доки вони не отримають команду від сервера керування. Потім ці машини починають розсилати спам або здійснювати атаки DDoS, використовуючи обліковий запис свого законного власника як маскування. Ви напевно будете здивовані тим, що вас забанять на веб-сайтах або онлайн-форумах, які ви ніколи не відвідували.
Можливість користуватися комп’ютером як заманеться дозволяє встановлювати потрібні програми. Таким чином, кіберзламники часто використовують поточний активний бекдор, щоб встановити різні шкідливі програми у вашу систему. Це не означає, що будь-який бекдор призведе до встановлення додаткового вірусу, але така можливість завжди є.
Атаки вірусами-бекдорами у 2024 року:
- FakeUpdate Campaign Spreads WarmCookie Virus in France
- GuptiMiner Use eScan to Spread Miners and Backdoors
- XZ Utils Backdoor Discovered, Threating Linux Servers
- BianLian Exploits TeamCity Vulnerability to Deploy Backdoors
- LitterDrifter - Russia’s USB Worm Targeting Ukrainian Entities
- Mirai variant "Pandora" infects Android TV for DDoS attacks.
- Gozi and IcedID Trojans Spread via Malvertising
- FIN8 Updated Sardonic Backdoor to Deliver Noberus Ransomware
Як працює вірус бекдор?
Як ви вже могли зрозуміти, усі бекдори мають схожі характеристики з інструментами віддаленого адміністрування. Деякі з нелегальних/напівлегальних інструментів такого типу виявляються антивірусами як бекдор. Вони надають доступ особам, які ним керують, але роблять це інакше, ніж справжні інструменти віддаленого адміністрування. Для виконання цієї дії зловмисне програмне забезпечення використовує експлойти в різних елементах системи. На жаль, ОС Windows повна різноманітних уразливостей, тому шахраї можуть зламати вашу систему, навіть якщо у вас встановлено останні патчі безпеки.
Після введення бекдор налаштовує систему, щоб зробити «середовище» більш комфортним для подальшого використання. Для цього вірус створює підключення до командного серверу, надсилаючи команду через командний рядок, змінює ключі реєстру та змінює налаштування безпеки. Хоча першу дію досить легко зрозуміти, решта потребує додаткових нотаток.
У Windows є застаріла функція, яка дозволяє редагувати реєстр із віддаленого комп’ютера. Ця здатність є ідеальною вразливістю, тому шахраї рідко забувають про таку можливість. Віддалене редагування реєстру дозволяє шахраям додавати свої ключі реєстру та редагувати наявні навіть без входу в режим віддаленого доступу - вони можуть використовувати командний рядок на своєму пристрої. Реєстр у Windows відповідальний за розподіл прав доступу та користування наявними бібліотеками, пристроями та функціями операційної системи. Контроль над ним є можливістю зробити свою програму (чи вірус) ледь не всемогутньою.
Система безпеки є однією з частин Windows, які найбільше експлуатуються хакерами. Хоча більшість антивірусів — це лише програми, Microsoft Defender - антивірус Windows за замовчанням - є глибоко інтегрованою частиною системи. Операційна система керує ним за допомогою правил, установлених у Групових Політиках. Його можна відключити за допомогою цих налаштувань у кілька кліків, і розробники вірусів знають про цю можливість. Зловмисне програмне забезпечення заважає Defender надіслати користувачу сигнал тривоги - вбудований антивірус має досить потужні бази даних виявлення, незважаючи на ненадійність. Одного разу ви можете виявити, що ваш Defender «спить», і ніщо не може його розбудити.
Read also: Trojan:Win32/Malgent!MSR
Чи можу я самостійно виявити вірус бекдор?
Ви навряд чи зрозумієте, чи заражений ваш комп’ютер, якщо бекдор добре розроблений і використовується належним чином. Єдиний ваш шанс — коли злочинці, які керують вірусом, підключаються до вашого ПК і починають діяти. Ви побачите, як вікна консолі хаотично відкриваються, вказівник миші рухається, а програми відкриваються без вашого наміру. Але в більшості випадків шахраї чекають деякий час, перш ніж використовувати для своїх цілей щойно заражений комп’ютер. Протягом цього терміну вони збирають інформацію про години активності користувача, який володіє цим ПК.
Однак якщо говорити про бекдор, який додає комп’ютер жертви в ботнет, ви не побачите жодних симптомів. Ці віруси приховані настільки, щоб працювати одночасно зі звичайною діяльністю користувача ПК. Єдиною ознакою, яку ви помітите, є, ймовірно, уповільнення системи. Тим не менш, більшість користувачів не приділяють багато уваги уповільненням чи підвисанням - вони, швидше за все, звинувачуватимуть Windows.
Найкращий спосіб виявити такий непередбачуваний вірус — використати антивірусне програмне забезпечення. Приклади на кшталт Microsoft Defender не підходять через зазначені причини. Однак ефективне виявлення бекдорів є важким завданням, і не кожне антивірусне рішення буде спроможним на якісну протидію. Щоб отримати найкращий захист, програма має використовувати евристичний механізм виявлення у вашому інструменті безпеки та отримувати оновлення баз даних виявлення якомога частіше. GridinSoft Anti-Malware може запропонувати вам обидва ці привілеї: його бази даних оновлюються щогодини, і він має функцію захисту у фоновому режимі, яка використовує евристичний механізм для виявлення зловмисного програмного забезпечення.