Бэкдор

Материал из Циклопедии
Перейти к навигации Перейти к поиску
Parrot-backdoors.png

Бэкд́ор (англ. Backdoor — «чёрный вход») — скрытый механизм, позволяющий получить несанкционированный доступ к компьютерной системе, программному обеспечению или устройству. Бэкдоры обычно создаются злоумышленниками для обхода стандартных методов аутентификации и авторизации, таких как пароли или биометрическая идентификация. Бэкдоры могут быть как намеренно внедрёнными злоумышленниками, так и случайно возникающими из-за ошибок в коде или уязвимостей в программном обеспечении[1].

История[править]

История бэкдоров уходит корнями в конец 1960-х годов, когда начали активно развиваться многопользовательские системы, связанные сетью. Впервые термин появился в научной работе, представленной на конференции AIPS в 1967 году, где описывалась угроза под названием «люк» (trapdoor). Этот термин обозначал точки проникновения в программное обеспечение, которые позволяли обходить стандартные механизмы авторизации. Сегодня для описания такой угрозы используется более распространённый термин — «бэкдор»[2].

Примеры использования бэкдоров можно найти не только в технической литературе, но и в фильмах. Например, в фильме 1983 года «Военные игры» (WarGames) разработчик военного суперкомпьютера WOPR внедрил в код пароль (имя своего умершего сына), который давал доступ к скрытым функциям системы, включая симуляции, напоминающие видеоигры, и прямое взаимодействие с искусственным интеллектом. Другой пример — телесериал «В поле зрения», где создатели искусственного интеллекта, известного как «Машина», использовали бэкдор для получения информации о людях, находящихся в опасности. Это стало отправной точкой всего сюжета[2].

Термин «установить бэкдор» обычно подразумевает не установку полноценного вредоносного ПО, а внесение изменений в легитимное программное обеспечение или систему для создания возможности обхода средств защиты и обеспечения скрытного доступа к данным, интересующим злоумышленников. Иногда даже стандартные пароли к программам и устройствам, если их не изменить, могут фактически представлять собой бэкдоры[2].

Существуют также специальные вредоносные программы, называемые бэкдорами или троянами-бэкдорами. Эти модули позволяют операторам получать несанкционированный доступ к заражённым системам. Их цель может заключаться в регулярной передаче данных или в превращении устройства в часть ботнета, используемого для рассылки спама или проведения DDoS-атак[2].

Описание[править]

Основная задача таких программ — обеспечение незаметного проникновения в систему с целью получения контроля над устройством или данными пользователя. Благодаря бэкдору киберпреступники получают полный контроль над заражённым устройством, что и владелец компьютера, но при этом могут управлять машиной удалённо. Функционал подобных угроз весьма широк: от копирования файлов и установки дополнительных программ до захвата скриншотов и перехвата конфиденциальной информации. При использовании интернет-банкинга или электронных платёжных систем, злоумышленники через бэкдор способны похитить денежные средства. Кроме того, заражённый компьютер может быть превращён в инструмент для атак на другие системы — например, банки или крупные серверы. В таком случае при расследовании правонарушения следы могут указать на владельца заражённого устройства, в то время как настоящие преступники останутся незамеченными[3].

Особую опасность представляет то, что бэкдоры могут длительное время оставаться незамеченными, не проявляя себя. Даже при их обнаружении определить источник угрозы или объём похищенных данных практически невозможно. При этом выявленные «чёрные ходы» в легальных программах разработчики часто объясняют случайными недочётами[4].

По архитектуре бэкдоры делятся на простые и продвинутые. Простые версии передают команды, поступающие с удалённого сервера, непосредственно интерпретатору операционной системы (например, cmd в Windows или bash/sh в Linux). Более совершенные варианты имеют собственные системы команд, позволяющие выполнять широкий спектр операций с файлами и самой ОС. Для скрытности обмен данных между бэкдором и сервером злоумышленников обычно шифруется[5].

Типы[править]

Бэкдоры делятся на два основных типа: аппаратные и программные. Первые функционируют на уровне оборудования, вторые — на уровне программного обеспечения.

Аппаратные бэкдоры[править]

Аппаратные бэкдоры интегрируются производителями прямо в прошивку устройства. Антивирусы и проверка кода не способны их обнаружить, а обновление или замена ПО не устраняет эти уязвимости. Методов их надёжного выявления пока не существует. Такие бэкдоры обычно создаются для облегчения технического обслуживания. Примером может служить случай с китайским производителем устройств ZTE, когда в двух моделях телефонов был обнаружен скрытый бэкдор, позволявший получать root-доступ через неизменяемый пароль производителя[3].

Программные бэкдоры[править]

Программные бэкдоры представляют собой код, внедрённый непосредственно в ПО. Их могут создавать как разработчики (для технического обслуживания), так и злоумышленники, используя уязвимости в операционных системах, таких как Windows, Linux, Android. Киберпреступники используют программные бэкдоры для установки троянов, руткитов, кейлоггеров и червей. Для обеспечения связи между вредоносной программой и злоумышленником используются различные протоколы и методы подключения. Один из наиболее распространенных —TCP-протокол, который позволяет организовать прямую передачу данных между заражённым устройством и сервером управления[3].

Существует два основных способа организации соединения:

  1. Bind: в этом случае вредоносное ПО «захватывает» определённый сетевой порт на заражённом устройстве и ожидает входящего подключения. Зная IP-адрес инфицированного устройства и номер занятого порта, злоумышленник может управлять вредоносом через удалённую командную оболочку (RCE). Однако этот метод имеет существенный недостаток — если межсетевой экран или маршрутизатор блокируют доступ к порту или его перенаправление, установить соединение становится невозможно[3].
  2. Back-connect (обратное подключение): при этом методе сама вредоносная программа подключается к серверу злоумышленника. При создании агента преступник задает IP-адрес и порт своего сервера. После успешной интеграции в систему вредонос отправляет запрос по указанному адресу и порту, что позволяет установить надёжное соединение. Этот метод более эффективен, так как он обходит большинство ограничений межсетевых экранов и NAT[3].

Применение бэкдоров[править]

Бэкдор-технологии нашли применение во многих видах вредоносного ПО. Современные вредоносы представляют собой комплексные решения, объединяющие различные модули: от удалённых инструментов доступа (RAT) до кражи данных (стилеры), шифрования файлов (шифровальщики) и скрытого управления системой (руткиты и буткиты). Такое разнообразие позволяет злоумышленникам максимально эффективно использовать захваченный контроль над устройством жертвы[3].

Одной из ключевых сфер применения бэкдоров является создание ботнетов — сетей заражённых устройств. Для их функционирования необходимо обеспечить централизованное управление всеми узлами. Это достигается путем интеграции вредоносного кода в легитимные приложения с помощью специализированных инструментов (например, Shellter). В результате получается, что вредоносный код выполняется одновременно с оригинальным, создавая скрытое обратное соединение с сервером злоумышленников[3].

Знаменитый пример использования бэкдора — атака на компанию SolarWinds. Злоумышленники получили доступ к системе непрерывной интеграции и доставки (CI/CD) SolarWinds, а именно к инструменту TeamCity. Используя контроль над TeamCity, они внедрили вредоносный код в процесс обновления продукта Orion Platform. Результатом стало распространение вредоносного DLL-компонента (получившего название Sunburst или Solorigate) через регулярные обновления ПО. Когда клиенты устанавливали новую версию Orion Platform, они неосознанно загружали бэкдор на свои системы, что привело к масштабной компрометации множества организаций, использующих продукты SolarWinds[3].

Примечания[править]


Знание.Вики

Одним из источников, использованных при создании данной статьи, является статья из википроекта «Знание.Вики» («znanierussia.ru») под названием «Бэкдор», расположенная по следующим адресам:

«https://baza.znanierussia.ru/mediawiki/index.php/Бэкдор»
«https://znanierussia.ru/articles/Бэкдор»

Материал указанной статьи полностью или частично использован в Циклопедии по лицензии CC-BY-SA 4.0 и более поздних версий.

Всем участникам Знание.Вики предлагается прочитать материал «Почему Циклопедия?».

  1. Бэкдор. SecurityLab.ru. Проверено 8 февраля 2025.
  2. 2,0 2,1 2,2 2,3 Ilyin, Yuri С чёрного входа: смысл термина Backdoor. Kaspersky daily (2014-07-23). Проверено 8 февраля 2025.
  3. 3,0 3,1 3,2 3,3 3,4 3,5 3,6 3,7 Бэкдоры (backdoors): для чего они используются и как от них защититься. BI.ZONE (2024-06-10). Проверено 8 февраля 2025.
  4. Бэкдоры (backdoors). Anti-malware. Проверено 8 февраля 2025.
  5. Холмогоров В. PRO ВИРУСЫ. — СПб: Страта, 2020. — С. 39. — ISBN 978-5-907314-12-2.
Источник — http://cyclowiki.org/w/index.php?title=Бэкдор&oldid=2414412