А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Часто, бэкдоры называют специфическими троянами, вирусами, кейлоггерами, шпионами и средствами удаленного администрирования. Они работают таким же образом, как это делают упомянутые вирусные приложения. Тем не менее, их функции и нагрузки являются более сложными и опасными, поэтому, они сгруппированы в одну особою категорию.

Также программные бэкдоры не способны распространяться и заражать систему без ведома пользователя. Большинство таких паразитов нужно устанавливать вручную в связке с другим программным обеспечением. Известны четыре основных способа, как эти угрозы попадают в систему.

1. Неосознанные пользователи ПК могут случайно установить типичные бэкдоры на свои компьютеры. Они могут прийти прикрепленными к сообщениям электронной почты или программам обмена файлами. Авторы-злоумышленники дают им неподозревающие имена и обманывают пользователя, заставляя его самого открыть или запустить такой файл.

2. Бэкдоры часто устанавливаются другими паразитами такими, как вирусы, трояны или даже шпионские программы. В этом случае они попадают в систему без ведома и разрешения пользователя, который использует зараженный компьютер. Некоторые угрозы могут быть установлены вручную хакерами, которые имеют достаточно привилегий для установки программного обеспечения. Небольшая часть бэкдоров может распространяться за счет использования удаленных систем с некоторыми уязвимостями в системе безопасности.

3. Несколько бэкдоров уже интегрированы в конкретные приложения. Даже «законные» программы могут быть подделаны удаленными функциями доступа. Атакующий файл должен связаться с компьютером через установку такой программы, чтобы мгновенно получить доступ к системе или взять на себя контроль над определенным программным обеспечением.

4. Некоторые бэкдоры заражают компьютеры за счет использования определенных известных злоумышленнику «уязвимостей» программного обеспечения. Они работают примерно так же, как черви и автоматически распространяются без ведома пользователя. Пользователь не может заметить ничего подозрительного, так как угрозы не отображают никаких мастеров установок, диалоговых окон или предупреждений.

Широкое распространение бэкдоров в основном заражает компьютеры на операционной системе Microsoft Windows. Тем не менее, множество менее распространенных паразитов предназначены для работы в разных сферах, например, для операционной системы Мас и других.

Программный бэкдор позволяет злоумышленникам работать с зараженным компьютером, как со своим собственным ПК и использовать его для различных, в большинстве случаев — злонамеренных целей или даже преступной деятельности. В большинстве случаев действительно трудно выяснить, кто контролирует паразита. На самом деле, бэкдоры очень трудно обнаружить. Они могут нарушить конфиденциальность пользователя в течение нескольких месяцев и даже лет, пока пользователь их не заметит. Злоумышленник может использовать эту «лазейку», чтобы узнать все о пользователе, получить и раскрыть индивидуальную информацию, такую как пароли, логины, номера кредитных карт, точные реквизиты банковского счета, ценные личные документы, контакты, даже интересы, привычки просмотров веб-страниц и многое другое. Программные бэкдоры могут быть использованы также в разрушительных целях. Если хакер не смог получить какую-то ценную и полезную информацию с зараженного компьютера, или уже украл ее, в конечном итоге, он может разрушить всю систему для того, чтобы уничтожить свои следы. Это значит, что все жесткие диски будут отформатированы и все файлы на них будут безвозвратно удалены.

Когда программный бэкдор находит путь к атакуемой компьютерной системе, он вызывает такие действия:

• Позволяет взломщику создавать, удалять, переименовывать, копировать или редактировать любой файл, выполнять различные команды, изменять любые настройки системы, изменять реестр Windows, запускать, контролировать и устранять приложения, устанавливать другое программное обеспечение.

• Позволяет хакеру управлять аппаратными устройствами компьютера, изменять настройки, связанные с выключением или перезагрузкой компьютера без разрешения и ведома пользователя.

• Похищает персональную информацию, ценные документы, пароли, логины, данные об идентичности, журналы активности пользователя и отслеживает привычки веб-просмотра.

• Записывает все нажатия кнопок и делает скриншоты, отправляет собранные данные на определенные электронные адреса, загружает их на заданный FTP сервер или передает их через интернет-подключение на указанные заранее удаленные хосты.

• Заражает файлы, установленные приложения и наносит ущерб всей системе.

• Распространяет зараженные файлы на удаленные компьютеры с некоторыми уязвимостями безопасности, в отдельных случаях выполняет нападения против других хакеров на отдаленных хостах.

• Устанавливает скрытый FTP сервер, который может быть использован злоумышленниками для различных, как правило — незаконных целей.

Рассмотрим кратко особенности наиболее широко распространенных типов программных бэкдоров.

Даже из этих примеров очевидно, насколько функциональными и чрезвычайно опасными могут быть эти паразиты.

FinSpyэто бэкдор, который позволяет удаленному злоумышленнику загрузить и запустить любой файл из интернета. Паразит уменьшает общую безопасность системы путем изменения дефолтных параметров Windows firewall и инициирует другие системные изменения. FinSpy полагается на файлы, которые используют случайные имена, поэтому довольно трудно обнаружить его лазейку, и удалить его из системы. Этот бэкдор запускается автоматически при каждом запуске Windows, и его можно остановить только с помощью обновленного антишпионского программного обеспечения.

Tixanbotэто тоже чрезвычайно опасный программный бэкдор, который дает хакеру полный доступ к зараженному компьютеру. Злоумышленник может управлять всей системой и файлами, загружать и устанавливать произвольные приложения, обновлять бэкдора, изменять настройки домашней страницы Internet Explorer, атаковать удаленные хосты и получать любую системную информацию. Tixanbot завершает работу и процессы основных служб системы и программ безопасности, закрывает активные смывки шпионских программ и удаляет записи реестра, связанные с firewalls, антивирусным и антишпионским программным обеспечение для того, чтобы предотвратить их запуск при старте Windows. Этот паразит также полностью блокирует доступ к авторитетным, связанным с безопасностью веб-ресурсам. Tixanbot и сам может распространяться, отправляя сообщения с определенными ссылками на все контакты MSN. Пользователь нажимает на такую загрузочную ссылку и бэкдор автоматически устанавливается.