Backdoor là phần mềm gì? Tấn công backdoor và cách phòng chống

Backdoor là phần mềm gì? Tấn công backdoor và cách phòng chống

Backdoor là phần mềm gì?

Backdoor là phần mềm “cửa hậu” hay “lối vào phía sau”. Trong một hệ thống máy tính, “Backdoor” là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường từ phía backend, hoặc để giữ đường truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi việc giám sát thông thường.

Backdoor thường có chức năng gì?

Backdoor trong hệ thống thường là một cổng được tạo ra chủ động từ người giám sát mà không được thông báo rộng rãi, cho phép người quản trị login vào hệ thống để tìm nguyên nhân gây lỗi hoặc bảo dưỡng. Ngoài ra Backdoor cũng dùng để chỉ cổng bí mật mà hacker và gián điệp lợi dụng để truy cập bất hợp pháp.

Trên thực tế, Backdoor được sử dụng nhiều hơn cho một số hoạt động bất hợp pháp, bao gồm:

• Trộm cắp dữ liệu
• Hủy hoại website
• Chiếm quyền điều khiển máy chủ (hijacking)
• Việc phát động các cuộc tấn công DDoS
• Các cuộc tấn công Advanced persistent threat (APT)

Backdoor được cài đặt bằng cách tận dụng lỗ hổng bảo mật hoặc thành phần dễ bị tấn công trong ứng dụng web. Sau khi cài đặt, việc phát hiện rất khó khăn vì các file có xu hướng bị xáo trộn cao.

Backdoor hoạt động như thế nào?

Malware, backdoor thường được phân loại là một Trojan. Trojan là một chương trình máy tính độc hại, nó đánh cắp dữ liệu hoặc mở backdoor trên hệ thống máy tính.

Trojan là một công cụ cực kỳ linh hoạt trong bộ công cụ toolkit của các hacker. Chúng có nhiều thủ thuật, như file đính kèm email hoặc file tải xuống và cung cấp nhiều phần mềm malware độc hại.

Phương pháp cài đặt backdoor phổ biến nhất liên quan đến Remote file inclusion (RFI), một vectơ tấn công nhằm khai thác các lỗ hổng trong các ứng dụng động với các tập lệnh tham chiếu bên ngoài. Trong một tình huống RFI, chức năng tham chiếu bị lừa tải xuống một trojan backdoor từ một hosting từ xa.

Hacker thường xác định các mục tiêu bằng cách sử dụng scan nhằm xác định các trang web có các thành phần unpatched hoặc outdate mà cho phép upload file vào. Sau đó, một máy scan sẽ lạm dụng lỗ hổng để cài đặt backdoor trên server bên dưới. Sau khi được cài đặt, nó có thể được truy cập bất cứ lúc nào, ngay cả khi lỗ hổng cho phép xâm nhập vào nó đã được patch (sửa).

Chèn trojan backdoor thường được thực hiện theo quy trình hai bước nhằm vượt qua các quy tắc bảo mật ngăn chặn việc upload các file trên một kích thước nhất định. Giai đoạn đầu tiên liên quan đến việc cài đặt dropper — một file nhỏ có chức năng duy nhất là tải file lớn hơn từ một vị trí từ xa. Sau đó bắt đầu giai đoạn thứ hai – tải xuống và cài đặt tập lệnh backdoor trên server.

Tấn công backdoor là gì?

Ví dụ về việc tấn công backdoor

Worms (bọ máy tính)

Worm còn được gọi là bọ máy tính, chẳng hạn như Sobig và Mydoom, cài đặt một backdoor trên máy tính (thường là PC trên broadband chạy Microsoft Windows và Microsoft Outlook). Các backdoor được cài đặt để những spammer có thể gửi e-mail rác từ các máy bị nhiễm Worm. Ngoài ra, chẳng hạn như bộ rootkit Sony / BMG, được đặt bí mật trên hàng triệu đĩa CD nhạc cho đến cuối năm 2005 để thu thập dữ liệu.

Một nỗ lực tinh vi nhằm tạo ra một backdoor trong kernel Linux, được tiết lộ vào tháng 11 năm 2003, đã thêm một sự thay đổi code nhỏ và tinh vi bằng cách lật đổ hệ thống kiểm soát sửa đổi. Trong trường hợp này, một thay đổi two-line đã xuất hiện để kiểm tra quyền truy cập root của người gọi function sys_wait4, nhưng vì nó sử dụng lệnh gán = thay vì kiểm tra như nhau ==, nó thực sự đã cấp quyền truy cập cho hệ thống. Sự khác biệt này rất dễ bị bỏ qua và thậm chí có thể được hiểu là một lỗi đánh máy vô tình, chứ không phải là một cuộc tấn công có chủ đích.

Object code backdoors

Sẽ khó phát hiện backdoor liên quan đến việc sửa đổi mã nguồn hơn, thay vì code nguồn – code object khó kiểm tra hơn nhiều, vì nó được thiết kế để máy tính đọc dữ liệu, không phải con người đọc. Các backdoor này có thể được chèn trực tiếp vào code object trên đĩa hoặc được chèn vào một thời điểm nào đó trong quá trình biên dịch

Cách ngăn chặn tấn công backdoor

Thay đổi mật khẩu mặc định: Những người làm việc trong công ty không bao giờ có ý định đặt mật khẩu có tính bảo mật. Nếu bạn để nguyên mật khẩu mặc định đó, bạn đã vô tình tạo một backdoor. Thay đổi nó càng sớm càng tốt và bật xác thực 2FA hoặc MFA khi bạn đang dùng bất kỳ tài khoản nào.

Giám sát hoạt động mạng: Bất kỳ sự tăng đột biến dữ liệu kỳ lạ nào có thể là có ai đó đang sử dụng backdoor trên hệ thống. Để ngăn chặn điều này, hãy sử dụng tường lửa firewall hoặc phần mềm giám sát lưu lượng mạng như wireshark để theo dõi hoạt động từ các ứng dụng khác nhau được cài đặt trên máy tính.

Chọn các ứng dụng và plugin một cách cẩn thận: Hacker thích ẩn backdoor bên trong các ứng dụng và plugin miễn phí. Cách bảo vệ tốt nhất ở đây là đảm bảo bất kỳ ứng dụng và plugin nào bạn chọn đều đến từ một nguồn có uy tín. Người dùng Android và Chromebook nên dùng các ứng dụng từ cửa hàng Google Play, trong khi người dùng Mac và iOS nên dùng với App Store của Apple.

Sử dụng một giải pháp an ninh mạng tốt: Bất kỳ giải pháp chống phần mềm độc hại nào tốt sẽ có thể ngăn chặn hacker triển khai Trojan và rootkit được sử dụng để mở các backdoor đó.

Nguồn: Backdoor là phần mềm gì? Tấn công backdoor và cách phòng chống