что такое бэкдор в ресейле
Что такое Backdoor и какой вред он может нанести?
Backdoor — это метод, используемый для обхода требований аутентификации или шифрования и создания секретного доступа к компьютеру с целью управления устройством без ведома пользователя. Иногда бэкдоры могут быть установлены добровольно для предоставления доступа удаленным пользователям. Однако, когда этот термин применяется к вредоносному ПО, это означает, что хакеры используют его для доступа к функциям компьютера в скрытом виде, например, в фоновом режиме. Бэкдорные вирусы действительно представляют собой комбинацию различных угроз безопасности, некоторые из которых могут управляться удаленно.
Как распространяются Backdoor?
Бэкдоры часто внедряются в системы благодаря другим вредоносным программам, таким как трояны, вирусы или с помощью шпионских программ. Им удается получить доступ без ведома администраторов, а затем заразить сеансы всех пользователей скомпрометированной сети. Некоторые угрозы внедряются пользователями с привилегиями, чтобы получить доступ позднее.
Бэкдоры также интегрируются в определенные приложения. Иногда легитимные программы могут иметь уязвимости и разрешают удаленный доступ. В таких случаях злоумышленникам по-прежнему необходимы некоторые средства связи со взломанным компьютером для получения несанкционированного доступа к системе.
Пользователи сами могут непреднамеренно устанавливать на свои компьютеры бэкдоры. Такой вирус обычно прикрепляется к файлообменным приложениям или электронной почте. Методы scareware и вирусы-вымогатели при этом не применяются.
Некоторые бэкдоры используют определенные уязвимости в удаленных системах, либо на компьютерах, либо в сети.
Какой вред могут нанести Backdoor?
Вирусы, которые проникают через бэкдоры, часто имеют возможность делать скриншоты, вести запись в журналах регистрации ключей или заражать и шифровать файлы. Бэкдор помогает злоумышленнику создавать, переименовывать, удалять, а также редактировать документы или копировать абсолютно любой файл, выполнять простые и сложные команды, изменять системные настройки, удалять записи реестра Windows, без проблем запускать, контролировать и завершать работу приложений или устанавливать новые вредоносные программы.
Аналогичным образом, они могут позволить злоумышленникам взять под контроль аппаратные устройства, изменить соответствующие настройки, перезагрузить или выключить компьютер без разрешения и украсть конфиденциальные данные, пароли, данные для входа в систему, личную информацию и другие важные документы.
Бэкдорные атаки приносят прибыли от записей перемещений пользователей в интернете, заражения файлов, повреждения системы и порчи приложений.
Примеры атак Backdoor
Одним из таких примеров являются Sticky Attacks. В этом случае, злоумышленники используют «атаку грубой силы» на сервер с включенным протоколом удаленного рабочего стола (RDP) и могут получить учетные данные для доступа к компьютеру. Затем киберпреступники используют скрипты и инструменты операционной системы, чтобы остаться незамеченными и установить простой бэкдор.
Даже если жертвы понимают, что были скомпрометированы и меняют пароли, злоумышленники тогда применяют Sticky Keys для доступа к компьютеру без необходимости повторно вводить учетные данные.
Еще одним примером является DoublePulsar, инструмент для внедрения бэкдоров, который часто используется хакерскими группами. Он может заразить сразу несколько тысяч компьютеров под управлением Microsoft Windows всего за несколько дней и активно используется для атак с 2017 года.
Бэкдоры в наших смартфонах живут уже 20 лет. И это не последние подарки от государства
Оборудование для фальшивой базовой станции 4G/LTE, источник
Иногда складывается впечатление, что основная угроза безопасности граждан исходит от государственных спецслужб. Эти не размениваются на мелочи. Их интересует взлом не с одного сайта, а всего трафика в интернете. Прослушка не отдельного человека, а сразу всех. Спецслужбы неоднократно пытались внедрить бэкдоры в алгоритмы публичной криптографии (см. генератор «случайных» чисел Dual EC DRBG с бэкдором АНБ). Прослушка произвольного гражданина в любой стране, на любом устройстве — голубая мечта «Большого брата».
Ещё одна интересная история — с алгоритмами шифрования GPRS, которые до сих пор поддерживаются в большинстве телефонов, включая Apple iPhone, Samsung Galaxy S9, Huawei P9 Lite, OnePlus 6T и многие другие.
GEA-1 и GEA-2 — проприетарные алгоритмы шифрования, которые широко использовались в 1990-е и 2000-е годы для шифрования интернет-трафика в мобильных сетях 2G по стандарту GPRS. Ради обратной совместимости почти все современные смартфоны сохраняют поддержку этих протоколов.
Некоторые относительно современные чипсеты и смартфоны с поддержкой GEA-1 и GEA-2
| Модель | Год | Чипсет |
|---|---|---|
| Apple iPhone XR | 2018 | Intel XMM 7560 |
| Apple iPhone 8 | 2017 | Intel XMM 7480 |
| Samsung Galaxy S9 | 2018 | Samsung Exynos 9810 |
| HMD Global Nokia 3.1 | 2018 | Mediatek MT6750 |
| Huawei P9 Lite | 2016 | HiSilicon Kirin 650 |
| OnePlus 6Е | 2018 | Qualcomm Snapdragon 845 |
Международная группа криптографов из Германии, Франции и Норвегии (всего восемь соавторов) в преддверии криптографической конференции Eurocrypt 2021 подготовила доклад «Криптоанализ алгоритмов GEA-1 и GEA-2 в шифровании GPRS», в котором довольно подробно описывает явную уязвимость в алгоритмах.
Нужно ещё раз подчеркнуть, что алгоритмы были проприетарными, то есть с закрытым исходным кодом. У независимых специалистов не было возможности изучить их до настоящего времени.
Консервативные академические исследователи в своей научной работе не высказывают напрямую мнение, что вот эта конкретная уязвимость сделана специально, то есть задумана и реализована как бэкдор. Но это довольно очевидно. Вот прямая речь Мэттью Грина, адъюнкт-профессора криптографии в университете Джонса Хопкинса:
«Эхо войны. » (с)
Для телефонных стандартов 90-х годов было «нормально», что шифрование трафика обеспечивают два проприетарных шифра: GEA-1 и GEA-2. Сотовая связь считалась очень экзотической сферой применения для криптографии.
В те времена действовали строгие правила экспорта криптографических инструментов из США. Принудительное ослабление криптографии при экспорте из США стало стандартной практикой во время холодной войны и сохраняется до сих пор для стран-изгоев.
К примеру, первая версия SSL использовала шифр RC4 и 128-битные ключи, но в начале 1990-х законы США не разрешали экспортировать криптосистемы, использующие 128-битные ключи. Длина самого большого ключа, дозволенного для использования в экспортных версиях ПО, составляла 40 бит. Исходя из этого, компания Netscape разработала две версии своего браузера. Версия для потребителей внутри США предполагала использование ключа размером в 128 бит. Такое положение вещей продолжалось до 1996 года, когда Билл Клинтон перенёс коммерческое шифрование из Списка вооружений в Список торгового контроля. Так и закончились криптовойны.
Суть уязвимости
В данном случае исследователи предполагают, что уязвимость в шифровании имеет отношение к умышленному ослаблению шифрования для преодоления экспортных ограничений. То есть это своеобразное «эхо войны» — отголосок тех времён, когда к криптографии относились как к оружию.
В своей статье авторы объясняют, что по конструкции алгоритма GEA-1 должно быть 2 64 внутренних состояний. Но дизайн системы спроектирован таким хитроумным образом, что на практике возможно только 2 40 состояний.
И самое главное, что такой дизайн системы вызван несколькими параметрами, которые очень маловероятно могли быть прописаны случайно.
Кто-то может подумать, что разница между 2 64 и 2 40 не такая большая, но она сокращает количество вариантов для подбора секретного параметра в 16 777 216 раз.
Авторы научной работы пишут, что в процессе реверс-инжиниринга пытались реализовать аналогичный алгоритм с помощью генератора случайных чисел, но так и не смогли приблизиться к созданию такой же слабой схемы шифрования, как та, которая была использована на самом деле: «За миллион попыток мы даже не приблизились к такому слабому экземпляру, — пишут они. — Это предполагает, что слабое место в GEA-1 вряд ли может возникнуть случайно, что указывает на то, что уровень безопасности в 40 бит обусловлен экспортными ограничениями».
Благодаря слабой защите атака позволяет на основе перехваченного трафика восстановить ключ, используемый для шифрования данных, а затем расшифровать предыдущий трафик.
Кто поставил бэкдор
Зачем вообще был нужен бэкдор для расшифровки мобильного трафика GPRS? Дело в том, что в те времена сайты очень редко использовали сертификаты SSL/TLS, поэтому основная часть трафика шла в открытом виде. Так что если у вас был мобильный телефон в конце 90-х или начале 2000-х, то чтобы избежать прослушки, вы полагались на эти алгоритмы — GEA-1 и GEA-2, встроенные в GPRS.
«Чтобы соответствовать политическим требованиям, миллионы пользователей во всём мире в течение многих лет во время сёрфинга пользовались ослабленной защитой», — пишут исследователи. Другими словами, правительства разных стран в политических интересах поставили под угрозу безопасность простых граждан.
Алгоритм GEA-1 был разработан в 1998 году Европейским институтом телекоммуникационных стандартов (ETSI). Как верно подметил Брюс Шнайер, ETSI раньше (а может, и сейчас) работал под эгидой SOGIS (Senior Officials Group, Information Systems Security) — Группы старших должностных лиц по безопасности информационных систем. В основном это разведывательные службы стран Евросоюза. Вот список с официального сайта:
Что же получается? Формально институт ETSI выполнял требования экспортного контроля криптографических средств. Но по факту европейские спецслужбы словно воспользовались американским экспортным законодательством, чтобы внедрить удобный бэкдор для расшифровки мобильного трафика.
Авторы научной работы обнаружили, что в новой версии GEA-2 уже нет такой уязвимости. Тем не менее, они смогли расшифровать трафик GEA-2 с помощью более технически сложной атаки и пришли к выводу, что GEA-2 тоже «не обеспечивает достаточно высокий уровень безопасности по современным стандартам».
Судя по всему, бэкдор в GPRS — это один из последних отголосков холодной войны и ограничений на экспорт сильной криптографии. Будем надеяться, что в будущем такие несуразности станут невозможны — и политики перестанут использовать граждан как «заложников» в своих играх. Хотя вероятность такого сценария не слишком высока.
Современные смартфоны
Хорошая новость заключается в том, что GEA-1 и GEA-2 практически не используются после того, как поставщики сотовых телефонов приняли новые стандарты 3G и 4G. Плохая новость: хотя ETSI запретил операторам использовать GEA-1 в 2013 году, де-факто поддержка GEA-1 и GEA-2 сохраняется в большинстве современных аппаратов, поскольку GPRS по-прежнему используется в качестве запасного варианта в большинстве стран и сетей сотовой связи.
Сегодня в центре города вы передаёте данные по 4G/LTE, используя протоколы шифрования GEA-3 и GEA-4. Но мобильные телефоны по-прежнему поддерживают GEA-1. И существуют сценарии, когда смартфон можно принудительно переключить в режим GEA-1.
Например, злоумышленник может через оператора связи или фальшивую базовую станцию перевести ваш смартфон в режим 2G/GPRS (GEA-1) — и взломать алгоритм шифрования.
Это не гипотетическая угроза. Те фальшивые базовые станции, которыми пользуются спецслужбы, реально ухудшают шифрование смартфонов до уровня 2G/GPRS. Поскольку эти скомпрометированные протоколы поддерживаются в большинстве современных смартфонов, бэкдор по-прежнему работает.
В главе 5.3 авторы особо подчёркивают, что уязвимости подвержены все смартфоны, поддерживающие устаревший протокол. Схема аутентификации спроектирована таким образом, что через эксплоит GEA-1 можно расшифровать трафик, зашифрованный с помощью более современного шифра, такого как GEA-3 (выделено ниже):
Бэкдор в GSM — наверняка не последний «подарочек» от государства. Эта конкретная уязвимость — эхо холодной войны. Но в реальности практически любое общество вынуждено искать компромисс между свободой и безопасностью.
По логике спецслужб, чем больше надзора за населением — тем лучше для безопасности. Различные средства криптографии, шифрования и анонимности «мешают» им работать. Наверное, для максимального порядка и безопасности граждане должны выходить в интернет по паспорту, в назначенное время и по утверждённому списку URL.
Естественно, любые оставленные государством уязвимости и бэкдоры используются преступниками: коррупционерами среди сотрудников госорганов, приближёнными лицами у «кормушки», другими преступными группировками. Здесь ситуация ничем не отличается от положения с «персональными данными» — если гражданин доверил конфиденциальные данные государству, это практически не отличается от их публикации в открытом доступе. Мы постепенно приближаемся к тому, что для сохранения персданных в секрете придётся создавать несколько профилей, периодически меняя цифровые личности.
Некоторые исследователи считают, что будущее интернета — за пиринговыми mesh-сетями на базе блокчейна, где каждый человек контролирует персональную информацию в рамках своего «контейнера», делегируя отдельные фрагменты данных и властные полномочия избранным нодам в необходимой степени. Возможно, это снизит максимальный уровень полномочий, которым сейчас владеют агенты национальных государств.
На правах рекламы
Наша компания предлагает безопасные серверы в аренду в надёжных дата-центрах в РФ и Нидерландах. Сервер готов к работе через минуту после оплаты!
Распознать и обезвредить. Поиск неортодоксальных бэкдоров
Согласно нашим подсчетам, в 72% зараженных сайтов использованы программы скрытого удаленного администрирования — бэкдоры. С их помощью мошенники получают удаленный доступ к вашему сайту, и понятное дело, чем это грозит владельцу: получение и передачи конфиденциальных данных пользователей, запуск вредоносных программ, уничтожения информации и тд.
Время от времени приходится сталкиваться с уникальными бэкдорами, которые не включают обычные функции PHP, такие как eval, create_function, preg_replace, assert, base64_decode и т.п.
Такие бэкдоры часто выглядят как исходный код без какой-либо обфускаций, нет зашифрованных строк, конкатенации строк, форматирования кода программы, изменения его структуры. Однако эти бэкдоры по-прежнему позволяют злоумышленнику запускать на вашем сервере произвольный код.
Бэкдор и Shutdown Function
Давайте начнем с простого. Комментарий в файле говорит, что это @package win.error.Libraries с функцией:
register_shutdown_function регистрирует функцию, которая выполнится по завершении работы скрипта. Потому, независимо от кода, который вы видите в скрипте, после его завершения будет выполнена функция обратного вызова из функции register_shutdown_function.
Функция, выполняемая после скрипта, будет выглядеть так:
В любом случае, код выглядит загадочным. Взглянем на него глазами хакера и предположим, что им был активирован скрипт со следующими параметрами POST:
d = create_function
е = base64_decode
с = some_base64_encoded_malicious_PHP_code
Теперь это выглядит как обычный бэкдор. Этот код не требует дополнительного вызова, так как register_shutdown_function регистрирует функцию обратного вызова, которая автоматом выполнится после завершения работы скрипта.
Бэкдор и Stream Wrapper
Теперь немного усложним задание по распознаванию бэкдоров.
Перед нами комментарий — @package Stream.ksn.Libraries, а значит, файл содержит класс Stream и функцию для работы с потоками stream_wrapper_register, которая регистрирует обертку по ksn протоколу.
А теперь, по порядку. Для владельцев сайта и некоторых вебмастеров этот код выглядит вполне законно — типичные файлы в системах управления контентом или сторонних плагинах — возможно, не совсем понятно за чем он и что делает, но если есть — видимо нужен и полезен. А кто-нибудь знает, что такое ksn потоки?
Но погодите — мы видим, что в коде присутствуют POST-данные. А вот это уже вызывает подозрение, так как параметры POST могут контролироваться злоумышленниками. Пока не совсем ясно, какие данные POST используются в этом коде. Поиграем в криптографов и используем технику декодирования, заменим буквы в фразе.
Начнем с этой части кода из функции stream_open:
Сомневаюемся, что доменное имя может содержать исполняемый PHP-код… верно?
Функция stream_wrapper_register регистрирует протокол ksn и класс Stream, который будет работать с этим протоколом. Класс Stream следует условию прототипа streamWrapper, а именно streamWrapper::stream_open — открывает файл или URL, и будет вызваться сразу же после инициализации протокола.
В нашем случае fopen открывает URL-адрес ksn: //:
Это создаст URL, в котором часть хоста — исполняемый зловредный PHP код.
Можно ли создать доменное имя или IP-адрес, который будет в действительности полноценным PHP-кодом для атаки веб-сайтов? Функция parse_url не проверяет URL-адреса на корректность, а просто разбивает их на части. Все от: // до первой косой черты (/) или двоеточия (:) считается основной частью URL адреса.
Например, если вы задаете parse_url function: ksn: // eval (base64_decode ($ _POST [«code»])); возвращена будет основная часть URL: eval (base64_decode ($ _ POST [«code»]));
Следуя логике бэкдора, получим следующие параметры POST:
е = base64_decode
с = some_base64_encoded_malicious_PHP_code
В этом случае формулировка fopen выглядит так:
Теперь, вернемся к stream_open function, это будет последним фрагментом головоломки. Теперь известно, какой URL-адрес можно передать файлу функции fopen:
И брюки превращаются, превращаются брюки — в элегантную строку:
Следующая строка просто выполняет бэкдор-код:
Другими словами, все, что требуется для выполнения бэкдор-кода, — это вызвать функцию fopen () с созданным URL-адресом ksn: //.
Выше был показан пример, как злоумышленники могут использовать менее известные функции PHP для создания уязвимостей. Учитывая, что на типичном веб-сайте есть тысячи PHP-файлов, вряд ли можно тщательно проверить каждый файл. Потому поиск вредоносного ПО на сайте — задача не совсем простая. Нельзя полагаться лишь на ручную проверку кода и простые скрипты, которые сканируют известные шаблоны вредоносных программ.
Backdoor
Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д.
Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Поиск
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель – сделать цифровой мир безопасным для всех.
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Связаться с нами
Наша главная цель – обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
Бэкдор в языке PHP – попытка атаки через цепочку поставок
Неизвестные злоумышленники попытались добавить бэкдор в код языка программирования PHP.
Неизвестные злоумышленники попытались провернуть масштабную атаку через цепочку поставок, загрузив вредоносный код в официальный GIT-репозиторий PHP. Если бы разработчики PHP не заметили бэкдор, то он мог бы оказаться на множестве веб-серверов по всему миру — и это стало бы крупнейшей в истории атакой на цепочку поставок.
Что случилось с PHP?
Программисты, работающие над развитием языка PHP, добавляют изменения в коде в общий репозиторий, построенный на базе системы контроля версий GIT. После внесения дополнений код проходит дополнительное ревью. При очередной рутинной проверке проводивший ее разработчик заметил подозрительное дополнение — оно было помечено в комментариях как исправление опечатки и добавлено от имени Никиты Попова, одного из активных участников развития PHP. При ближайшем рассмотрении оказалось, что это бэкдор, а Никита, разумеется, ничего подобного не добавлял.
После дополнительной проверки выяснилось, что аналогичное дополнение было загружено в репозиторий еще один раз, на этот раз от имени одного из создателей PHP, Расмуса Лердорфа (Rasmus Lerdorf). Благодаря бдительности программистов изменение было замечено не позже чем через пару часов после того, как оно было добавлено, так что грядущее обновление PHP 8.1 (которое должно быть готово к концу года) выйдет все-таки без бэкдора.
Что за бэкдор в коде PHP и чем он был опасен
Добавленный в репозиторий бэкдор мог позволить злоумышленникам удаленно запустить вредоносный код на веб-сервере, использующем данную версию PHP. Хотя PHP понемногу теряет популярность, этот скриптовый язык все еще является самым распространенным инструментом для создания веб-сайтов и используется примерно на 80% веб-серверов. И пускай не все администраторы обновляют свои инструменты, изрядная часть серверов все равно поддерживается в актуальном состоянии — в соответствии с требованиями регуляторов или внутренних регламентов безопасности. Так что если бы бэкдор попал в новую версию PHP, то он с высокой долей вероятности разошелся бы по веб-серверам многих компаний.
Как злоумышленникам удалось внедрить бэкдор в код PHP
Расследование продолжается, но пока эксперты уверены, что это произошло не в результате компрометации учетных записей разработчиков, а скорее из-за наличия какой-то уязвимости в самом внутреннем Git-сервере. О том, что при должном умении на нем можно приписать произвольному изменению авторство другого пользователя, известно давно. После этого инцидента команда, занимающаяся поддержкой PHP, пришла к решению прекратить использование собственного сервера git.php.net и переехать в репозиторий в сервисе GitHub (он использовался и до этого, но только в качестве зеркала).
Как оставаться в безопасности
Как мы уже писали, среда разработки — лакомая цель для злоумышленников. Ведь скомпрометировав код программного продукта, которому доверяют клиенты, они могут разом добраться до множества целей в ходе сложной атаки через цепочку поставок. Особенно важно защищать от постороннего вмешательства код таких популярных проектов, как PHP, которые используют миллионы пользователей по всему миру.