Πληροφορίες σχετικά με backdoors και τρόποι αφαίρεσης

από Linas Kiguolis - - Ενημερωμένο | Τύπος: Backdoors
Προσθήκη σχολίου
Κάντε μια ερώτηση
54710 προβολές

Ως backdoor χαρακτηρίζεται ένα κακόβουλο πρόγραμμα που χρησιμοποιείται για την απόκτηση αυθαίρετης απομακρυσμένης πρόσβασης του κυβερνο-εγκληματία (βλ. hacker, spammer) στο σύστημα-στόχο. Η απομακρυσμένη αυτή πρόσβαση επιτυγχάνεται μέσω εκμετάλλευσης ‘τρωτών’ σημείων στην ασφάλεια του συστήματος-στόχου ή λογισμικών με τα οποία έχει συνδεθεί ή κατεβάσει ο χρήστης-θύμα.

Το Backdoor, όπως άλλωστε υποδηλώνει και το όνομά του, δουλεύει κρυφά στο παρασκήνιο του συστήματος-στόχου. Έχει πολλά κοινά χαρακτηριστικά με άλλα κακόβουλα προγράμματα (βλ. malware viruses, ιοί) και ως επί το πλείστον ο εντοπισμός του, κι άρα η ολοκληρωτική αφαίρεσή του, είναι ένα αρκετά δύσκολο και περίπλοκο ζήτημα. Αξίζει να σημειωθεί ότι τα κακόβουλα προγράμματα τύπου backdoor αποτελούν ένα από τα πλέον επικίνδυνα είδη διαδικτυακών παρασίτων, καθώς παρέχουν, μέσω της απομακρυσμένης πρόσβασης, τη δυνατότητα στους κυβερνο-εγκληματίες να ελέγχουν την λειτουργία και ρυθμίσεις του συστήματος-στόχου.

Αναλυτικότερα, με τη βοήθεια ενός backdoor οι κυβερνο-εγκληματίες μπορούν να κατασκοπεύουν τον χρήστη-θύμα, να διαχειρίζονται όπως επιθυμούν τα αρχεία και δεδομένα του, να εγκαθιστούν κρυφά κι αυθαίρετα PUPs (potentially unwanted programs, δλδ. δυνητικά ανεπιθύμητα προγράμματα) και κακόβουλα προγράμματα malware, να ελέγχουν απομακρυσμένα όλες τις λειτουργίες του συστήματος-στόχου, και μέσω του μολυσμένου υπολογιστή να εξαπλώνονται διαδικτυακά και να μολύνουν περαιτέρω κι άλλα συστήματα υπολογιστών με τα οποία συνδέεται το μολυσμένο σύστημα.

Επιπρόσθετα, ένα κακόβουλο πρόγραμμα τύπου backdoor έχει ευρύ φάσμα κακόβουλων και καταστροφικών για το σύστημα και τον χρήστη δραστηριοτήτων, όπως πχ. καταγραφή και υποκλοπή πληκτρολογήσεων (keystroke logging), αυθαίρετη λήψη στιγμιοτύπων οθόνης (screenshot capture), μολύνσεις και κρυπτογραφήσεις αρχείων/εγγράφων, κλπ. Εν ολίγοις, η παρουσία ενός κακόβουλου προγράμματος τύπου backdoor στο σύστημα του υπολογιστή είναι πολύ κακά μαντάτα για τον χρήστη!

Στις περισσότερες των περιπτώσεων, για να διεισδύσει ένα κακόβουλο πρόγραμμα τύπου backdoor στο σύστημα ενός υπολογιστή, απαιτείται πρώτα η εγκατάστασή του με κάποιο τρόπο. Παρόλα αυτά, έχουν διαπιστωθεί και περιπτώσεις backdoors όπου δεν απαιτήθηκε εγκατάστασή τους, καθώς βρέθηκε ότι τα διάφορα μέρη τους ήταν ενσωματωμένα σε λογισμικό που έτρεχε σε remote host. Αρκετοί προγραμματιστές αφήνουν ορισμένα backdoors στο λογισμικό τους για λόγους διάγνωσης κι εξεύρεσης λύσεων σε προβληματικές καταστάσεις (βλ. diagnostics and troubleshooting purposes). Φυσικά, οι hackers εντοπίζουν ποια προγράμματα είναι δομημένα με αυτό το τρόπο, επωφελούνται, και καταφέρνουν και διεισδύουν σε ανύποπτο χρόνο στο σύστημα-στόχο.

Σε γενικές γραμμές, τα κακόβουλα προγράμματα backdoors είναι διαφόρων ειδών trojans, viruses (ιοί), keyloggers, spyware (κατασκοπευτικά προγράμματα) και κακόβουλα εργαλεία απομακρυσμένης διαχείρισης συστήματος. Αν και σε πολλά σημεία ο τρόπος λειτουργίας τους είναι παρόμοιος με αυτόν των ιών, ωστόσο υπάρχουν και αρκετά σημεία που υποδεικνύουν ότι η φύση τους είναι πολύ πιο περίπλοκη κι επικίνδυνη από αυτή των απλών ιών. Αυτός είναι και ο λόγος που αποτελούν ξεχωριστή κατηγορία κακόβουλων προγραμμάτων.

Πώς καταφέρνουν κι εξαπλώνονται διαδικτυακά τα κακόβουλα προγράμματα backdoors? 

Ως επί το πλείστον, τα κακόβουλα προγράμματα backdoors χρειάζονται με κάποιο τρόπο την έγκριση του χρήστη-θύματος για να διεισδύσουν στο σύστημα του υπολογιστή του. Μάλιστα, τα περισσότερα από τα backdoors μπορούν να διεισδύσουν μόνο κατόπιν χειροκίνητης εγκατάστασης. Φυσικά, η εγκατάσταση μπορεί να επιτευχθεί με διάφορους παραπλανητικούς και ‘πλάγιους’ τρόπους, όπως με τη βοήθεια άλλων προγραμμάτων όπου κρύβονται στα συνοδευτικά πακέτα λήψης τους (βλ. μέθοδος bundling).

Σε γενικές γραμμές, τα backdoors διεισδύουν σε συστήματα υπολογιστών με τέσσερις κύριους τρόπους, οι οποίοι αναλύονται παρακάτω.

  • Οι άπειροι ή μη καλά πληροφορημένοι ή απρόσεκτοι χρήστες αποτελούν την ομάδα υψηλότερου κινδύνου όσον αφορά τη μόλυνση του συστήματος του υπολογιστή τους από κακόβουλα προγράμματα backdoors. Συνήθως, τα backdoors εμπεριέχονται ως μολυσμένες επισυνάψεις σε e-mails ή file-sharing προγράμματα/πλατφόρμες. Τις περισσότερες φορές, έχουν ονόματα πέραν πάσας υποψίας και για αυτό τον λόγο ο αριθμός των χρηστών που κάνουν το λάθος να τα κατεβάσουν ή να τα τρέξουν, είναι μεγάλος.
  • Τα κακόβουλα προγράμματα backdoors εγκαθίστανται πολλές φορές μέσω άλλων ιών, trojans ή spyware. Με αυτό το τρόπο, καταφέρνουν και διεισδύουν χωρίς την επίγνωση κι έγκριση των χρηστών-θυμάτων. Επίσης, ο μολυσμένος υπολογιστής αποτελεί τη βάση της διαδικτυακής εξάπλωσης των backdoors σε όλα τα συστήματα υπολογιστών και δίκτυα με τα οποία είναι συνδεδεμένος ή με τα οποία αλληλεπιδρά ο μολυσμένος υπολογιστής. Ωστόσο, θα πρέπει να σημειωθεί ότι τα backdoors μπορούν να εγκατασταθούν χειροκίνητα από κακόβουλους χρήστες που έχουν διαχειριστικά δικαιώματα σε ένα λογισμικό το οποίο έτυχε να κατεβάσει ο χρήστης-θύμα. Σε αυτή την περίπτωση, οι backdoors διεισδύουν σε συστήματα μέσω μολυσμένων συστημάτων απομακρυσμένης διαχείρισης λογισμικού.
  • Αρκετά backdoors έχει παρατηρηθεί ότι μπορεί να βρίσκονται ενσωματωμένα σε διάφορες εφαρμογές. Σε αυτές τις εφαρμογές μπορεί να ανήκουν ακόμα και νόμιμες εφαρμογές οι οποίες έχουν λειτουργίες απομακρυσμένης διαχείρισης. Σε αυτή την περίπτωση, ο hacker αρκεί να χρησιμοποιήσει αυτή την λειτουργία για να αποκτήσει απομακρυσμένη πρόσβαση στο σύστημα που έχει συνδεθεί με τη συγκεκριμένη εφαρμογή. 
  • Ορισμένα backdoors καταφέρνουν και διεισδύουν εκμεταλλευόμενα ‘τρωτά’ σημεία ασφάλειας λογισμικού. Ο τρόπος λειτουργίας τους είναι παρόμοιος με αυτόν των worms που καταφέρνουν και μολύνουν συστήματα υπολογιστών χωρίς την επίγνωση κι έγκριση των χρηστών-θυμάτων. Σε αυτές τις περιπτώσεις, ο χρήστης-θύμα δεν αντιλαμβάνεται καν το πότε ένα τέτοιο κακόβουλο πρόγραμμα διεισδύσει στο σύστημα του υπολογιστή του, γιατί δεν εμφανίζονται setup wizards, παράθυρα διαλόγου, ή προειδοποιητικά μηνύματα.

Κύριος στόχος των backdoors είναι τα συστήματα υπολογιστών με λειτουργικό σύστημα Microsoft Windows. Ωστόσο, υπάρχουν και ορισμένα backdoors που έχουν σχεδιαστεί ειδικά ώστε να κάνουν κυβερνο-επιθέσεις και σε άλλα λειτουργικά συστήματα, όπως πχ. Mac OS X.

Ποιες επικίνδυνες καταστάσεις σχετίζονται με τη συγκεκριμένη κυβερνο-απειλή?

Όπως προαναφέρθηκε, ένα κακόβουλο πρόγραμμα backdoor παρέχει τη δυνατότητα στους hackers να διαχειρίζονται και να λειτουργούν το μολυσμένο υπολογιστή σα να ήταν ο δικός τους. Δυστυχώς, οι hackers μπορούν να εκμεταλλευτούν τη συγκεκριμένη κατάσταση για την επίτευξη ποικίλων κακόβουλων σκοπών.

Στις περισσότερες των περιπτώσεων, είναι πολύ δύσκολος ο προσδιορισμός σχετικά με το ποιος πραγματικά ελέγχει και κατευθύνει ένα τέτοιο περίπλοκο διαδικτυακό παράσιτο. Άλλωστε, τα κακόβουλα προγράμματα backdoors κρύβονται πολύ καλά καθιστώντας πολύ δύσκολο ακόμα και τον εντοπισμό τους στο σύστημα. Είναι εξαιρετικά σχεδιασμένα όσον αφορά την απαρατήρητη παρασκηνιακή τους δράση. Πρακτικά, ο χρήστης-θύμα μπορεί να χρειαστεί εβδομάδες ή ακόμα και μήνες ή χρόνια έως ότου διαπιστώσει ότι ο υπολογιστής του έχει μολυνθεί από κακόβουλο πρόγραμμα backdoor.

Όσο ο χρήστης-θύμα αγνοεί ότι ο υπολογιστής του έχει μολυνθεί από backdoor, οι hackers μπορούν ανενόχλητοι να παραβιάζουν το απόρρητο των προσωπικών του δεδομένων, να βρίσκουν ό,τι θέλουν, και να χρησιμοποιούν τις πληροφορίες που συλλέγουν (κωδικούς πρόσβασης, προσωπικά στοιχεία σύνδεσης σε λογαριασμούς, ακριβή προσωπικά στοιχεία τραπεζικών λογαριασμών και πιστωτικών/χρεωστικών καρτών, κτλ.) για την επίτευξη μεγάλης γκάμας κακόβουλων δραστηριοτήτων.

Δυστυχώς, τα άσχημα νέα δε σταματούν εδώ. Έχουν αναφερθεί εκατοντάδες περιπτώσεις όπου τα κακόβουλα προγράμματα backdoors χρησιμοποιήθηκαν και για καταστροφικούς σκοπούς. Αναλυτικότερα, στην περίπτωση που οι hackers δεν κατάφεραν να αποκτήσουν πρόσβαση σε πολύτιμα ευαίσθητα προσωπικά δεδομένα ή ολοκλήρωσαν επιτυχώς τις υποκλοπές τους, είναι πολύ πιθανό να προβούν σε πλήρη καταστροφή του συστήματος-στόχου ώστε να σβηστούν τα ηλεκτρονικά ίχνη τους! Πώς μπορεί να επιτευχθεί αυτό? Με format όλων των σκληρών δίσκων / συνδεδεμένων εξωτερικών μονάδων αποθήκευσης και ολοκληρωτική διαγραφή όλων των αποθηκευμένων αρχείων/εγγράφων!

Μόλις καταφέρει ένα κακόβουλο πρόγραμμα backdoor να διεισδύσει στο σύστημα-στόχο, αρχίζει και κάνει τα εξής:

  • Παρέχει τη δυνατότητα στους hackers να αποκτήσουν απομακρυσμένη πρόσβαση στις ρυθμίσεις και λειτουργίες του συστήματος-στόχου. Πρακτικά, αυτό σημαίνει ότι οι hackers θα μπορούν πλέον να δημιουργούν, διαγράφουν, μετονομάζουν, αντιγράφουν ή επεξεργάζονται οποιοδήποτε αρχείο είναι αποθηκευμένο στο σύστημα-στόχο, να εκτελούν δικές τους εντολές, να τροποποιούν όλες τις παραμέτρους στις ρυθμίσεις του συστήματος-στόχου, να τροποποιούν το Windows registry, να τρέχουν, ελέγχουν, παύουν οποιαδήποτε εφαρμογή, να εγκαθιστούν όποιο λογισμικό επιθυμούν, δλδ. όποιο PUP, ιό, κακόβουλο πρόγραμμα επιθυμούν!
  • Παρέχει τη δυνατότητα στους hackers να ελέγχουν όλες τις hardware μονάδες του υπολογιστή, να τροποποιούν τις ρυθμίσεις τους, και φυσικά να τερματίζουν ή να επανεκκινούν την λειτουργία του υπολογιστή όποτε επιθυμούν.
  • Υποκλέπτει-καταγράφει-προωθεί σε τρίτους ευαίσθητα προσωπικά δεδομένα, πολύτιμα έγγραφα, κωδικούς πρόσβασης, προσωπικά στοιχεία σύνδεσης σε λογαριασμούς, απόρρητα προσωπικά δεδομένα ταυτοποίησης, καθώς και τις διαδικτυακές δραστηριότητες και προτιμήσεις του χρήστη-θύματος.
  • Καταγράφει τις πληκτρολογήσεις (keystrokes recording) και κάνει λήψεις στιγμιότυπων οθόνης (screenshots capturing). Κατόπιν, στέλνει όλα αυτά τα δεδομένα σε συγκεκριμένη email διεύθυνση ή τα ανεβάζει σε FTP server ή τα μεταφέρει μέσω παρασκηνιακής διαδικτυακής σύνδεσης σε απομακρυσμένο host.
  • Μολύνει αρχεία και εγκαταστημένες εφαρμογές, ενώ παράλληλα προκαλεί διαφόρων ειδών καταστροφές στο σύστημα-στόχο.
  • Διανέμει μολυσμένα αρχεία σε απομακρυσμένους υπολογιστές με ‘τρωτά’ σημεία ασφάλειας, ενώ παράλληλα μπορεί να εξαπολύσει και κυβερνο-επιθέσεις εναντίον remote hosts που θα υποδείξουν οι hackers.
  • Εγκαθιστά κρυφά FTP server που μπορεί να εξυπηρετήσει διάφορους κακόβουλους σκοπούς των hackers.
  • Επιβραδύνει σημαντικά τις επιδόσεις του συστήματος και των web browsers.
  • Προσπαθεί να αποτρέψει με κάθε τρόπο τον εντοπισμό και αφαίρεσή του. Κρύβει και μετονομάζει τα αρχεία του και δεν παρέχει δυνατότητα απεγκατάστασης (uninstall feature).

Ποια είναι τα πλέον κακόφημα κακόβουλα προγράμματα backdoors?

Υπάρχουν εκατοντάδες διαφορετικά backdoors. Τα παρακάτω είναι ορισμένα από τα πλέον επικίνδυνα, καταστροφικά, και προηγμένα backdoors που κυκλοφορούν αυτή τη στιγμή στο διαδίκτυο. 

FinSpy. Πρόκειται για ένα backdoor το οποίο παρέχει την απομακρυσμένη δυνατότητα στους hackers να κατεβάζουν και να εκτελούν αρχεία από το διαδίκτυο. Επίσης, καταστρέφει ουσιαστικά τα επίπεδα ασφάλειας του συστήματος-στόχου με την απαραίτητη τροποποίηση στις ρυθμίσεις του Windows firewall. Το FinSpy βασίζεται σε αρχεία που χρησιμοποιούν τυχαία ονόματα, καθιστώντας ιδιαιτέρως δύσκολο τον εντοπισμό και την ολοκληρωτική αφαίρεσή του. Θα πρέπει ακόμα να σημειωθεί ότι το συγκεκριμένο backdoor ενεργοποιείται αυτόματα με κάθε εκκίνηση των Windows. Μοναδικός αποτελεσματικός τρόπος εντοπισμού και ολοκληρωτικής αφαίρεσής του είναι η χρήση ενός πλήρως ενημερωμένου κι αξιόπιστου anti-spyware.

Tixanbot. Πρόκειται για ένα ιδιαιτέρως επικίνδυνο backdoor το οποίο παρέχει τη δυνατότητα στους απομακρυσμένους hackers να αποκτήσουν πλήρη πρόσβαση στο σύστημα-στόχο. Έτσι, οι hackers θα μπορούν να διαχειρίζονται όλα τα αρχεία και το ίδιο το σύστημα-στόχο, να κατεβάζουν και να εγκαθιστούν κακόβουλες ή ανεπιθύμητες εφαρμογές, να ενημερώνουν εύκολα τον backdoor, να αντικαθιστούν την προεπιλεγμένη Αρχική Σελίδα του Internet Explorer, να προβαίνουν σε κυβερνο-επιθέσεις εναντίον remote hosts, και φυσικά να αποκτούν απομακρυσμένη πρόσβαση σε όλα τα ευαίσθητα στοιχεία του συστήματος-στόχου. Το Tixanbot μπλοκάρει την εκτέλεση σημαντικών συστημικών διεργασιών, κυρίως αυτών που σχετίζονται με την ασφάλεια του συστήματος, μπλοκάρει την λειτουργία των εγκαταστημένων λογισμικών ασφάλειας, και διαγράφει registry entries που συνήθως χρησιμοποιούν τα διάφορα λογισμικά ασφάλειας, πχ. firewalls, antivirus και anti-spyware, για τον εντοπισμό PUPs και ιών. Έτσι, το συγκεκριμένο backdoor γίνεται πρακτικά αόρατο, ενώ παράλληλα αποτρέπει την αυτόματη ενεργοποίηση των λογισμικών ασφάλειας κάθε φορά που γίνεται επανεκκίνηση / έναρξη των Windows. Ακόμα, θα πρέπει να σημειωθεί ότι το συγκεκριμένο διαδικτυακό παράσιτο μπλοκάρει ακόμα και τη διαδικτυακή πρόσβαση σε αξιόπιστους ιστότοπους διαδικτυακής ασφάλειας. Όσον αφορά τη διαδικτυακή εξάπλωση του Tixanbot, αυτή συνήθως επιτυγχάνεται με την αποστολή spam μηνυμάτων που εμπεριέχουν κακόβουλους συνδέσμους, προς όλες τις MSN επαφές του χρήστη-θύματος.

Πρόσφατοι Ιοί που Προστέθηκαν στη Βάση Δεδομένων

Ενημέρωση πληροφοριών: 2016-11-30

Έναρξη
 Σύγκριση
 Επισκοπήσεις
 Λήψη
 Ρωτήστε μας

Διαβάστε σε άλλες γλώσσες

Αρχεία
Λογισμικό
Σύγκριση
Anti-spyware Σύγκριση Σύγκριση