什么是后门?
May 03, 2023
后门是任何允许他人在未经您许可或知情的情况下远程访问您的设备的方法。利益相关者可以使用恶意软件,利用您软件中的漏洞,甚至直接在您的设备硬件/微码中安装后门来入侵您的设备。这些利益相关者可能是黑客、政府官员、IT专业人员等。由于他们在您不知情的情况下渗透到您的机器中,他们可以出于各种原因使用后门,例如监视、破坏、数据窃取、加密货币挖掘或恶意软件攻击。
后门特洛伊木马检测挑战
由于后门可以长时间处于不活跃状态,受害者甚至可能没有意识到其存在。即使检测到了后门,受害者也无法确定是谁实施了它或窃取了哪些信息。如果在合法程序中发现后门,则开发者可以将其伪装成意外的错误以掩盖其意图。虽然后门与远程管理工具和特洛伊木马有很多共同点,但它们更加危险和复杂。虽然它们都遵循类似的原理,但后门已被归类为一个单独的类别。
那么为什么有些后门会被杀毒软件识别为特洛伊木马,而有些不会呢?答案很简单:决定因素不是功能,而是安装顺序和在系统中的可见性。例如,安装完整的远程管理实用程序时,会出现许多许可协议对话框和过程的图形反映。相反,后门会默默地、不引人注意地进行安装。启动安装文件后,屏幕上不会出现任何指示正在进行安装的消息。
在运行时,后门不以任何方式显示其存在。你既找不到它在任务栏或系统托盘中的图标,也很难在活动进程列表中找到它。而对于诚实的“管理员”来说,他们总是以某种方式通知他们的工作。通常,这是在系统托盘或任务栏中的一个图标。你几乎总是可以在活动进程列表或服务列表中看到它们。最后,任何完整的产品都有卸载功能,在安装应用程序的列表中存在,用户可以随时使用。后门只能使用特殊软件或“手术”来移除。
2024年后门木马攻击的示例:
- XZ Utils Backdoor Discovered, Threating Linux Servers
- BianLian Exploits TeamCity Vulnerability to Deploy Backdoors
- LitterDrifter - Russia’s USB Worm Targeting Ukrainian Entities
- Mirai variant "Pandora" infects Android TV for DDoS attacks.
- Gozi and IcedID Trojans Spread via Malvertising
- FIN8 Updated Sardonic Backdoor to Deliver Noberus Ransomware
- Trojanized TeamViewer Installer Spreads njRAT
- TeamTNT Group Returns with Silent Bob Campaign
后门分类
后门可以安装在您系统的两个部分 - 软件和硬件。现在我们将更详细地查看每个选项:
1. 硬件/固件
可以提供远程访问设备的物理修改。硬件制造商可以在生产阶段中引入硬件类型的恶意对象(也称为硬件植入物)。这样的后门无法通过更换或更新软件来移除,并且不会被代码扫描或反病毒软件检测到。
2. 软件
这些通常是恶意文件,它们仔细隐藏它们的痕迹,以使您的操作系统不知道其他人可以访问您的设备。除了硬件后门之外,软件后门还可以从制造商的设计中进入(称为软件植入物)。但是,更常见的情况是直接涉及用户。
后门还因实现方法而异,其中我们可以区分以下几种:
1. 硬件后门
硬件后门包括修改后的计算机芯片或其他固件/硬件,允许对设备进行无控制访问。这些可以包括手机、物联网设备(例如恒温器、家庭安全系统和路由器)以及计算机。这些后门可以传输用户数据、提供远程访问或用于监视。硬件后门可以随产品一起发货(无论是由制造商非法提供还是出于某种恶意目的)或在设备被盗的情况下物理安装。
2. 加密后门
加密后门本质上是一个“主钥匙”,可以解锁使用特定加密协议的所有加密数据。由于加密标准(如AES)使用端到端加密,只有已经交换了随机生成的加密密钥的各方才能解密传输的信息。通过操纵特定加密协议的复杂数学,后门可以使外部用户访问各方之间的加密数据。
3. 后门木马
木马是恶意文件,冒充合法文件以获取访问您设备的权限。在获得必要的权限后,后门木马可以在您的设备上安装自身。此外,木马后门可以让攻击者访问您的文件或在您的设备上安装更严重的恶意软件。
根包
根包是更高级的恶意程序,能够隐藏其活动,使其不被操作系统发现,并赋予其安全权限(root访问权限)。根包可以让攻击者远程访问您的设备,修改文件,监视您的活动并损害您的系统。根包可以采用软件和物理更改计算机芯片的形式。
一旦进入系统,后门程序将为攻击者提供所需的数据并允许他控制计算机。这可以通过以下三种方式实现:
- BindShell - 恶意软件等待外部连接;
- Back Connect - 后门程序自己连接到黑客电脑;
- Middle Connect - 黑客和他的工具之间使用额外的服务器交换数据。
后门的目标是什么
后门的目标受众与其他恶意软件并无差别。攻击者通常对商业组织、政府机构、企业等的设备感兴趣,但普通用户的计算机也引起了他们的关注。由于难以检测,后门程序可以在系统中存在很长一段时间(几个月甚至几年),让黑客监视受害者、窃取其数据并利用其设备进行其他恶意活动。
在获取系统访问权限后,黑客可以深入了解用户的身份,并将此信息用于犯罪目的。因此,计算机可以从秘密文件、开发或文档以及商业机密中被盗取,这些机密可以被公司竞争对手使用或在合适的地方出售。后门的一个不好的特点是它与它可以放在设备上的有效负载一样危险。无论其任务是什么,在此之后,网络罪犯都可以删除受害者计算机上的所有文件或完全格式化硬盘。
威胁来源
系统中的后门可能是通过合法软件(包括操作系统)或无意中的漏洞出现的。此外,有物理访问计算机的个人可以在受害者计算机上安装后门。有时,开发人员会故意在软件和硬件中留下后门,以进行远程技术支持。但在大多数情况下,后门是由网络罪犯或侵入性政府安装以获取对受害者设备的访问权限。
在某些情况下,粗心的计算机用户可能会无意中从附加在电子邮件中的文件或与从文件共享服务下载的文件一起安装后门。欺诈者用具有暗示性的名称和文本来掩盖感染,诱使受害者打开或运行受感染的对象。此外,软件后门可以像蠕虫一样被其他恶意软件安装在计算机中,而设备所有者却毫不知情。这些恶意程序悄悄地通过信息系统传播,不显示任何警告或对话框,这可能会使用户产生怀疑。
如何防止后门攻击?
很遗憾,没有人能够免疫后门攻击。黑客们不断改进技术,并创建更为复杂的恶意文件,以获取用户设备的访问权限。但是,通过遵循以下指示,您可以降低成功感染后门的风险:
关闭未使用的网络端口。
网络上的开放端口可能会接收来自远程位置的流量,从而成为一个弱点。黑客通常会针对未使用的端口,以便安装后门并获取您的设备访问权限。没有软件会向您报告入侵。然而,对于大多数家庭用户来说,这不是问题,因为家用路由器端口默认关闭。然而,小企业主在打开端口时应当谨慎。
使用强密码。
不安全或默认密码是黑客访问您账户的绿灯。一旦他们破解了一个账户,他们就可以轻松地访问您的其他账户和设备。这就是黑客在2016年使用Mirai僵尸网络的方式,它影响了全球250万个物联网设备。它的设计是扫描互联网上未更改默认密码的物联网设备,然后侵入这些设备并使它们成为僵尸网络。我们建议只使用强密码,并使用MFA,以保护您的账户免受未经授权的访问。
保持软件更新。
黑客可以使用漏洞在用户设备上安装恶意软件。安装操作系统的更新可能会带来一些不便。但是,通过这种方式,开发人员可以修复系统中的漏洞,从而降低系统出现后门的风险。
谨慎下载文件。
大多数恶意软件攻击都是由用户引起的。如果您获得了一个免费程序(实际上需要付费),或通过种子下载了最新的漫威电影,然后突然安装了一个恶意文件,您的系统将变得容易受攻击。在从互联网下载任何文件时,请检查您是否只获取所需文件,或者是否还附带了恶意软件作为附加奖励。即使该文件的行为与您寻找的文件类似,它也可能是特洛伊木马。请始终从官方网站下载文件,避免盗版网站。
使用防火墙和杀毒软件。
始终使用先进的杀毒软件以及防火墙。这可以检测和预防恶意软件,包括特洛伊木马、加密挖矿程序、间谍软件和rootkits。防火墙对于防止后门非常重要,因为它可以监控您设备的入站和出站流量。如果您网络外的某个人试图访问您的设备,防火墙会阻止他们。杀毒软件可以检测到后门病毒并在感染您的计算机之前将其中和。