Backdoor به معنای دسترسی به سیستم یا رمزنگاری داده است که مکانیزمهای امنیتی سیستم را دور می زند. ممکن است سازمانی راهکارهای امنیتی مختلفی هم داشته باشد اما مکانیزمهایی وجود دارد که مهاجمان با استفاده از آنها این راهکارهای امنیتی را دور زده و در صورتی که موفق به این کار شود می تواند به سیستم قربانی دسترسی یابد.
سازنده ای ممکن است backdoor ای ایجاد کند تا از طریق آن بتواند به سیستم برای رفع مشکل و پشتیبانی فنی اقدام کنند. اما مهاجمان اغلب از backdoorها برای شناسایی و نصب بدافزار به عنوان بخشی از فرآیند بهره برداری استفاده کنند. در موارد مشابهی worm یا ویروسی طراحی می شود تا از backdoorای که قبلا ایجاد شده در حملات استفاده کنند.
حملات backdoor
حملات backdoor زمانی رخ می دهد که مهاجمان با ایجاد و استفاده از یک backdoor به سیستم قربانی از راه دور دسترسی پیدا می کنند. این حملات به مهاجم اجازه کنترل منابع سیستم، شناسایی شبکه و نصب انواع مختلف بدافزار را میدهد. در برخی موارد مهاجم worm یا ویروسی را طراحی می کند تا از backdoor موجود یا جدیدی که ایجاد شده، استفاده کند.
برای درک بهتر اینکه backdoorها چطور سیستم امنیتی را دور می زند، می توان بانکی را در نظر گرفت که با لایه های امنیتی مختلفی حفاظت شده است. تعدادی نیروی حفاظتی جلوی در مستقر هستند، مکانیزم های فقل اختصاصی و کنترلهای دسترسی بیومتریک دارد که امکان دسترسی بدون احراز هویت را غیرممکن می کند. اما در هر صورت امکان دور زدن آنها از طریق دریچه سیستم تهویه وجود داشته و آن را در برابر حمله آسیب پذیر می کند.
اقدامات مخرب مهاجمان زمانی که دسترسی به یک سیستم را پیدا می کنند، شامل موارد زیر است:
- سرقت اطلاعات حساس
- اجرای تراکنشهای جعلی
- نصب جاسوس افزار، keylogger و تروجانها.
- استفاده از rootkitها.
- حملات DoS
- سرقت سرور
- بهم ریختن وبسایتها
عواقب حمله backdoor متفاوت خواهد بود. در مواردی آنها می تواند سریع باشند و سرقت اطلاعاتی که با سازمان و مشتریان آسیب می زدند، انجام میدهد. در موارد دیگری اثر حمله بعدا مشخص میشود و مهاجم در ابتدا backdoor را شناسایی کرده و بعدا برای انجام حمله جدی تر باز میگردد.
حملات backdoor می تواند در مقیاس بزرگ اجرا شده و زیر ساختهای بزرگ و دولتی را هدف خود قرار دهد. اما حملات کوچکتر نیز میتوانند کاربران و سیستم های شخصی را هدف حملات خود قرار دهند.
APTها نوع خاصی از حملات هستند که میتوانند از backdoor برای حمله به یک سیستم استفاده کنند. در این نوع از حملات backdoorها در سیستم برای مدت طولانی باقی می مانند.
Backdoor چطور کار می کند؟
Backdoorها ماکانیزمهایی مخفی بوده که مهاجم برای دسترسی بدون احراز هویت به سیستم از آنها استفاده می کند. گاهی برخی از سازندگان backdoorهای قانونی ای برای اهداف مشخص و قانونی، مثل بازنشانی رمز عبورهای فراموش شده، یا دسترسی سازمانهای دولتی و خاص به داده های رمزنگاری شده ایجاد می کنند. سایر backdoorها توسط مهاجمان ایجاد و نصب می شوند. توسعه دهندگان گاهی از backdoor در طول فرآینده توسعه استفاده می کنند و آنها را حذف نمی کنند، باقی ماندن آنها در یک اپلیکیشن یک نقطه آسیب پذیری محسوب می شود.
بدافزار همچنین می تواند به عنوان یک backdoor عمل کند. در برخی موارد، بدافزار مرحله اول backdoor است که شرایطی را برای دانلود سایر ماژول های بدافزار فراهم می کند و حمله اجرا می شود. با این نوع از حمله مهاجم یک پوسته وب برای مستقر کردن backdoor در سیستم های هدف نصب می کند و دسترسی از راه دور به سرور ممکن می شود. مهاجم دستوراتی را از طریق backdoor ارسال می کند تا داده های حساس را به سرقت برده یا سایر اقدامات مخربی که مدنظر دارد را انجام دهد.
الگوریتم های رمزنگاری و پروتکل های شبکه می توانند در برگیرنده backdoor باشند. برای مثال در سال 2016 محققان توضیح دادند که چطور چند الگوریتم اصلی می توانند استفاده شده و به مهاجم اجازه شکستن رمزنگاری را میدهد.
انواع حملات backdoor
انواع مختلفی از بدافزارها در حملات backdoor استفاده می شوند:
Cryptojacking : زمانی رخ میدهد که از منابع محاسباتی قربانی برای استخراج ارز دیجیتال استفاده می شود. این حملات تمامی دستگاهها و سیستم ها را هدف قرار میدهد.
حملات DoS سرورها، سیستم ها و شبکه ها را با ترافیک احراز هویت نشده بهم میریزد و بنابراین کابران عادی و قانونی امکان دسترسی نخواهند داشت.
Ransomware بدافزاری است که از دسترسی کاربر به سیستم و فایل های درون آن را جلوگیری می کند. مهاجمان معمولا درخواست پرداخت باج برای رمزگشایی فایل و سیستم می کنند.
Spyware بدافزاری است که اطلاعات حساس را دزدیده و بدون اطلاع کاربر آنها را برای دیگران ارسال می کند. این بدافزار می تواند اطلاعات کارتهای اعتباری، اطلاعات ورود به حساب کاربری و اطلاعات مکانی را به سرقت ببرد.
Keyloggerها نوعی از جاسوس افزارها هستند که برای ثبت کلیکها و موارد تایپ شده توسط کاربر استفاده می شوند و پسوردها و سایر اطلاعات حساس آنها را می دزدند.
Trojan برنامه مخربی است که اغلب از طریق backdoor نصب می شود و بنظر بی ضرر می آید. یک backdoor Trojan شامل backdoorی است که کنترل مدیریتی از راه دور را در سیستم هدف ممکن می سازد.
انواع روشهای نصب backdoor:
Federated learning: این روش برگرفته از machine learning بوده و مدلهای دستگاههای edge محلی را یاد گرفته و اطلاعات هدف را جمع آوری می کند.
دستگاههای edge دارای ارتباطات محدودی با سرور مرکزی هستند. این ارتباط به مهاجم اجازه آلوده کردن مجموعه ای از داده ها را داده و backdoor را زمانی که سرور با دستگاههای edge ارتباط می گیرد، در سرور مرکزی تعبیه میکند.
سخت افزار: مهاجمان از chips، پردازشگرها، هارد درایوها و USB ها برای ایجاد backdoor استفاده می کنند.
IoT: کامپوننت های این سیستمها مثل دوربین های امنیتی، درون ها و ترموستات های هوشمند، می توانند به عنوان backdoor عمل کرده و آسیب پذیری امنیتی محسوب شوند. دستگاههای IoT اغلب از پسوردهای پیش فرض استفاده می کنند که این خود یک راه backdoor می باشد. ادمین ها معمولا چنین پسوردهایی را تغییر نمیدهند و هکر به راحتی آنها را پیدا می کند.
Island Hopping: این نوع حملات شعب و زیر مجموعه های سازمانها را هدف قرار داده تا بتوانند دسترسی احراز هویت نشده به سازمان اصلی داشته باشند. زنجیره های ارتباطی سازمان ها از این طریق به خطر می افتد.
Phishing: ایمیل هایی با ظاهری قانونی هستند که کاربر را وارد می کنند که اطلاعات حساس خود را وارد کرده و هکرها از طریق آن می توانند بدافزار backdoor را نصب نمایند.
Steganography: بدافزار در bitmap یک فایل عکس پنهان می شود. این فایل ها نرمال بنظر آمده و تهدید امنیتی محسوب نمی شوند ولی Steganography، آنها را تبدیل تهدید خواهند بود.
شناسایی و پیشگیری
Backdoorها طراحی شده اند تا از دید کاربر مخفی بمانند. آنها با استفاده از نامهای مستعار، مبهم سازی کد یا لایه های رمزنگاری چندگانه مخفی می شوند. به همین دلیل شناسایی آنها بسیار پیچیده است. روش های شناسایی و پیشگیری شامل ابزار و متودهای زیر هستند:
آنتی ویروس های معتبر با قابلیت شناسایی backdoorها: برخی از نرم افزارهای ضدبدافزار می توانند backdoor ها در زمان نصب شناسایی کرده و از آنها پیشگیری نمایند.
فایروال ها: استفاده از فایروال به تضمین امنیت شبکه کمک می کند. فایروالها می توانند از حملات backdoor با استفاده از محدودیت ترافیک پورتهای باز پیشگیری کند.
Honeypots: این مکانیزم امنیتی مهاجم را با یک هدف تقلبی، فریب می دهد. این روش برای حفاظت از شبکه واقعی و بررسی رفتار یک مهاجم بدون اطلاع آنها استفاده می شود.
نظارت بر شبکه با ابزارهای نظیر EDR، MDR یا XDR: متخصصین IT از ابزار نظارت بر پروتکل ها یا آنالیزهای شبکه برای ارزیابی شبکه استفاده می کنند. ترافیک مخرب می تواند شامل signatureهایی باشد که وجود یک backdoor را نشان میدهد و جهش های غیرعادی در ترافیک نیز می تواند نشان دهنده فعالیت های مشکوک باشد.
بهترین شیوه های امنیتی:
راهکارهای امنیتی استاندارد و استراتژی های امنیت سایبری چند لایه از ایجاد backdoor توسط مهاجمان پیشگیری می کند. اگر backdoorی برای هدفی قانونی ساخته شود، سطح حمله آن باید به حداقل برسد. همچنین باید مرتبا تحت نظارت بوده و زمانی که کار آن پایان یافت حذف شود.
لیست مجاز: استفاده از لیست مجاز برای پیشگیری از استفاده نرم افزارهای ناخواسته مناسب بوده و تنها کاربران قابل اعتماد اجازه دسترسی با احراز هویت متناسب خواهد داشت. برنامه ها و پلاگین ها با احتیاط انتخاب می شوند، چرا که مهاجمان سایبری اغلب backdoor ها در نرم افزارها و پلاگین ها رایگان مخفی می کنند.
حملات backdoor مشهور
تعدادی از حملات مشهور در سالهای اخیر:
SolarWinds: در اواخر سال 2020 شرکت امنیت سایبری FireEye backdoor خطرناکی که در به روز رسانی های SolarWinds Orion پنهان شده بودند. مهاجمان به طور مخفیانه نرم افزار SolarWinds را دستکاری کرده و بدافزار مدنظر خود را شبکه مشتریان این نرم افزار نصب نمودند.
در سال 2021 محققان امنیتی مایکروسافت یک بهره برداری backdoor شناسایی کردند که FoggyWeb نامیده می شود و توسط مهاجمان SolarWinds ایجاد شده بود. با استفاده از این بهره برداری مهاجم به سرور اکتیو دایرکتوری SolarWinds دسترسی پیدا کرده و اطلاعات اعتباری کاربر را به سرقت می برد.
Zyxel: در اواخر 2021 یک محقق امنیتی backdoorی در فایروالهای Zyxel و کنترل کننده های نقاط دسترسی (AP) کشف نمود. این اکانت مخفی به مهاجم مجوزهای مدیریتی مثل قابلیت تغییر تنظیمات فایروال و رهگیری ترافیک را میدهد. Backdoor از آسیب پذیری ای در مجوزهای مورد استفاده در به روز رسانی فایروال و فریم ورک های کنترل کننده های AP، بهره برداری می کند.
منبع: