Backdoor - schwarzer Eingang in Ihren Computer

Backdoor - schwarzer Eingang in Ihren Computer

Backdoor - schwarzer Eingang in Ihren Computer

Im Englischen ist die Hintertür (Backdoor — schwarzer Eingang, Hintertür) ein sehr ausdrucksvoller Begriff, der die möglichen Folgen der Ausbeutung dieser Art von Bedrohung gut beschreibt. Es gibt jedoch keine offensichtliche Erklärung dafür, was eine Hintertür aus technischer Sicht ist. Nun, wir werden versuchen, es klarzustellen. Erstens ist eine Hintertür in erster Linie eine Methode, keine spezifische Malware. Aus den Sicherheitsbulletins erweckt man den Eindruck, dass es sich nur um eine Art von Malware handelt: «Dieser Trojaner installiert eine Hintertür ...». Aber im Wesentlichen ist es eine Umgehungsmethode für die ordnungsgemäße Autorisierung, mit der Sie versteckten Remote-Zugriff auf Ihren Computer erhalten können. "Versteckt« bedeutet nicht »nicht nachweisbar", obwohl Kriminelle es natürlich vorziehen würden, dass es genau so ist.

Die Geschichte der Hintertüren beginnt irgendwann in den späten 1960er Jahren, als sich laut Wikipedia weit verbreitete Multiplayer-Systeme im Netzwerk ausbreiteten. Eine 1967 in den Protokollen der AIPS-Konferenz veröffentlichte Forschungsarbeit erwähnt eine Bedrohung namens «Luke» (trapdoor), die «Eindringpunkte» in Software beschreibt, die die ordnungsgemäße Autorisierung umgehen konnten; Heute wird der Begriff «Hintertür» verwendet, um diese Bedrohung zu beschreiben.

Beispiele für Hintertüren finden sich auch in der Populärkultur. Im Film WarGames von 1983 schrieb der Entwickler des militärischen Supercomputers WORP beispielsweise ein Passwort (den Namen seines verstorbenen Sohnes) ein, das dem Benutzer den Zugriff auf das System und seine nicht dokumentierten Funktionen (insbesondere videospielähnliche Simulationen und direkten Zugriff auf künstliche Intelligenz) ermöglichte.

Wir haben bereits erwähnt, dass es sich um eine künstliche Intelligenz handelt, eine Maschine, deren Schöpfer sich durch eine Hintertür Zugang zu Informationen über gefährdete Personen verschafft haben — und das ist der Ausgangspunkt der gesamten Handlung.

"Eine Hintertür installieren" bedeutet in der Regel nicht die Installation von Schadsoftware, sondern die Änderung eines legitimen Softwarepakets, um den Schutz zumindest teilweise zu umgehen und den verborgenen Zugriff auf die Daten zu gewährleisten, die Angreifer interessieren. Es mag seltsam klingen, aber »Standard" -Passwörter für Programme und Geräte können an sich Backdoors darstellen. Vor allem, wenn man sie nicht ersetzt. Es gibt auch Malware, die als Backdoors und Backdoors bezeichnet wird: Sie sind Software-Module, die ihren Betreibern den unbefugten Zugriff auf das infizierte System ermöglichen, mit dem wahrscheinlichen Ziel, regelmäßig Informationen abzugeben oder dieses System in einen Teil eines Botnetzes zu verwandeln, das Spam in großen Mengen verteilt oder für DDoS-Angriffe verwendet wird.

Mit Backdoors können Sie auch alles auf infizierten Computern erstellen: Dateien senden und empfangen, ausführen oder löschen, Nachrichten ausgeben, Daten löschen, das System neu starten usw.

Viele Computerwürmer der Vergangenheit (Sobig, Mydoom und andere) haben Backdoors auf infizierten Computern installiert. Ebenso haben viele der heutigen Trojaner die gleichen Funktionen. Backdoor-Trojaner sind in der Tat im Allgemeinen die häufigste Art von Trojanern. Und

menno Backdoors, die die Ausgabe von Daten von infizierten Maschinen ermöglichen, sind die Schlüsselfunktionalität von groß angelegten APT wie Flame und Miniduke, die vom Kaspersky Lab entdeckt wurden.

Backdoors (Trojaner) installieren in der Regel bestimmte Serverkomponenten auf kompromittierten Systemen. Diese öffnen bestimmte Ports oder Dienste und bieten Angreifern die Möglichkeit, sich über eine Backdoor-Clientsoftware anzumelden. Auf diese Weise wird ein Computer — oder Softwarepaket — ohne Wissen des Benutzers von einem Angreifer kontrolliert.

Dieses Problem betrifft nicht nur Pcs und lokale Software. Ein einfaches PHP-Skript ermöglicht es Ihnen, Administratorkonten im WordPress-Content-Management-System zu erstellen; Backdoor-Trojaner für das mobile Betriebssystem Android haben kein Konto.

Wie man mit ihnen umgeht? Durch Informationssicherheitsprogramme und grundlegende Informationshygiene. Ein Großteil der Malware erfordert mindestens ein gewisses Maß an Kooperation seitens des Benutzers. Mit anderen Worten, Angreifer müssen Benutzer dazu bringen, Trojaner selbst zu installieren — und dazu werden Social Engineering und andere Methoden verwendet, um die Wachsamkeit einzudämmen.

DDoS attack via Backdoor

Another common, but not fully explained, term from the field of cybersecurity, despite the fact that it has been used for many years.

What is a denial of service attack? There are two types of it: "simple" and distributed.

What's the difference? Imagine that you are talking to someone, and suddenly, without warning, he starts yelling at you, and at a wild speed - 1,274 words per minute, for example, which is twice the current Guinness World Record.

Most likely, you will become deaf, and definitely will not understand a word and will not be able to answer.

This is what a "normal" DoS attack looks like, note that there is only one attacker.

Now a distributed DoS attack: here, imagine that you are speaking in front of a significant audience of more than 1,000 people. And suddenly they all, each of them begins to talk to you personally, ask questions, demand immediate answers. They can even speak at a normal pace and at a normal volume. But all at once, at the same time.

And in this case, again, you will probably go deaf and certainly will not be able to answer any question. No one will hear what you say, even with a microphone and a sound amplification system.

Naturally, the servers, namely they are usually not the target of the attack. It is not so easy to overload them with volumes of information. But nevertheless, both they and their communication lines have their limits. This is what the attackers use.

The most common type of attacks is flood. The simplest cases are Ping Flood or UDP Flood, when attackers bomb a target with a huge number of ICMP Echo Request (ping) or User Datagram Protocol (UDP) packets, loading the entire connection line with them, while the target server is conscientiously trying to process each packet.

In the case of a UDP flood, an attacker sends a huge number of UDP packets to random ports of a remote host, which checks in response for the presence of an application "listening" to data from this port, does not find it and responds with a failure packet: ICMP Destination Unreachable. The attacker most likely falsifies the outgoing IP, so the return packets go nowhere.

Another example is Smurf Attack ("Smurf Attack" got its name from the source code of the smurf.c attack program, published back in 1997).

In such attacks, a large number of broadcast ICMP packets (ICMP - Internet Control Message Protocol, the protocol for transmitting control messages on the Internet) are sent to a large computer network on behalf of the victim. Responses from computers on this network overload the communication channel; the machine trying to answer all these requests slows down to the performance of an old calculator. Naturally, all these packages will be meaningless garbage.

SYN-flood is another attack of a similar nature. In this case, the attackers abuse the TCP connection, violating the typical three-way data exchange. At the beginning of the TCP connection, the client sends a SYN (synchronization) command to the server, to which the server responds with a SYN-ACK (synchronization, accepted), then the client responds with its ACK (accepted) and the connection is established. Large botnets are used to carry out DDoS attacks.

With a SYN flood, the attacker (malicious client) either does not send the expected ACK and continues to send SYN, increasing the number of "half-open" connections, or sends a falsified IP to the server, where the SYN-ACKs go. At the same time, since the SYN command was not sent from that IP, then the ACK will not arrive. After a while, the entire channel is clogged.

There are a number of other DDoS attacks, but in general they are all based on the same principle: prepare a large number of infected computers (a botnet with DDoS functionality), send them a command, they will start bombing targets with garbage bags.

In the last few months, security experts have discovered a number of "exotic" DDoS attacks that used vulnerable NTP servers to boost garbage traffic. And since there are a lot of such servers, attacks of this kind turn out to be very problematic.

Criminals use DDoS for extortion: pay or lose your business. Every hour of downtime means big losses, so sometimes merchants prefer to pay.

DDoS is also actively used by "hacktivists" as a network analogue of street protests (at least, that's what Richard Stallman says). Often there are also politically motivated attacks aimed at suppressing certain media, etc.

Well, and as a "dirty" weapon in the competition in the commercial sphere, such attacks are also sometimes used.

This is what the problem looks like. And the solution?

Defense against DDoS attacks usually consists of identifying and classifying malicious traffic, as well as tools for filtering and blocking illegitimate traffic so that legitimate traffic can pass through. In other words: identify the DDoS traffic, its sender, block it or redirect it to the nearest "Black Hole" (a null interface or a non-existent server). Simply. Unfortunately, it's easier said than done.

Today's attacks are very complex, they are easy to organize (it was just in the news that a 17-year-old boy was arrested in Norway for a massive DDoS attack against the largest financial institutions and commercial enterprises), and it is very difficult to repel, especially due to the fact that colossal botnets are used for DDoS attacks, which are also very difficult to eliminate.

To combat DDoS, it is necessary to involve experts from outside and sometimes even transfer the entire infrastructure under the protection of specialized services.

A very important element in the fight against DDoS attacks, which are now occurring at a frequency of 28 attacks per hour, is the elimination of the botnets themselves. In one of our next posts we will talk about just that.