Backdoor là gì? Cách phát hiện và phòng tránh Backdoor – Cuongquach.com | Backdoor là khái niệm dùng để chỉ một loại Trojan, được tích hợp vào nhân phần mềm với nhiều mục đích khác nhau. Thường thì việc xác định một phần mềm có an toàn hay không vốn đã rất khó khăn, để tìm và phát hiện Backdoor lại là vấn đề nan giải gấp bội.
1. Khái niệm Backdoor
Backdoor là một cách vượt qua các hàng rào bảo mật để xâm nhập vào thiết bị, phần mềm nào đó. Sau khi Backdoor được cài đặt, một cổng dịch vụ sẽ tự động mở ra, cho phép người tạo Backdoor kết nối từ xa tới thiết bị, từ đó thiết bị sẽ nhận và thực hiện lệnh được đưa ra.
Tùy vào mục đích sử dụng, Backdoor được chia thành hai loại: Backdoor có hại và Backdoor vô hại.
2. Backdoor vô hại
Các nhà sản xuất phần mềm hoặc phần cứng thường cài đặt Backdoor vào sản phẩm [một cách không công khai] để theo dõi, cập nhật phần mềm từ xa, tìm nguyên nhân lỗi và thực hiện bảo trì bảo dưỡng.
Trong doanh nghiệp, Backdoor thường được cài vào máy tính và điện thoại [công] của nhân viên với cùng mục đích nêu trên. Nhưng điều này cần được nêu trong hợp đồng lao động hoặc quy định của doanh nghiệp, và được thực hiện dưới sự đồng ý của người nhân viên.
3. Backdoor gây hại
Loại Backdoor này chính là một chương trình gián điệp thực thụ. Một khi xâm nhập vào thiết bị, nó sẽ thực hiện các truy cập bất hợp pháp, đánh cắp thông tin người dùng [tin nhắn, thẻ tín dụng, các thông tin nhạy cảm khác]. Đôi khi nó còn mở “cửa hậu” để tuồn các mã độc khác vào nhằm chiếm quyền điều khiển từ người dùng.
Không dễ gì phát hiện được Backdoor vì chúng có phương thức hoạt động rất kín đáo. Backdoor được đánh giá là mối đe dọa có độ nguy hiểm và mức phổ biến đứng thứ trong các loại mã độc.
4. Lịch sử của Backdoor
- Từ những năm 80 của thế kỷ 20, cộng đồng đã bắt đầu tranh luận về Backdoor. Trong bộ phim khoa học viễn tưởng WarGames [1983], nhân vật chính là một hacker tuổi teen do Matthew Broderick thủ vai đã sử dụng Backdoor để truy cập vào siêu máy tính được quân đội thiết kế để mô phỏng cuộc chiến tranh hạt nhân.
- Năm 1993, NSA đã phát triển một con chip mã hóa có tích hợp Backdoor nhằm giúp các cơ quan thực thi pháp luật thu thập và giải mã giọng nói cũng như dữ liệu được truyền qua điện thoại và máy tính. Chip Backdoor này có lợi thế hơn so với Backdoor phần mềm vì chúng khó gỡ bỏ – trừ khi bạn tách hẳn chúng ra. Tuy nhiên, vì những quan ngại về quyền riêng tư, dự án này đã không được tiếp tục triển khai.
- Năm 2005, Sony BMG bắt đầu tham gia cuộc chơi. Hãng này đã phát hành hàng triệu đĩa CD ca nhạc với bộ rootkit kèm theo để theo dõi thói quen nghe nhạc của khách hàng, đồng thời ngăn họ sao chép lại đĩa. Hậu quả là, Sony BMG đã trả hàng triệu đô la để giải quyết các vụ kiện liên quan đến rootkit và thu hồi số đĩa CD đã phát hành trên.
- Năm 2014, các nhà phát triển Android của Google đã phát hiện ra Backdoor trên các sản phẩm của Samsung, bao gồm cả loạt điện thoại Galaxy. Tuy nhiên, Samsung đã gọi Backdoor này là một “tính năng” và “không có rủi ro bảo mật”.
- Trong diễn biến tiếp theo, như đã đề cập, Apple, Google và Facebook kiên quyết không tạo Backdoor cho các sản phẩm của họ dù bị sức ép từ phía chính trị. Áp lực càng gia tăng sau vụ tấn công khủng bố San Bernardino năm 2015, khi FBI đã thu hồi được một chiếc iPhone thuộc sở hữu của một trong những kẻ nổ súng. Tuy nhiên, Apple một lần nữa từ chối yêu cầu mở Backdoor từ phía FBI. Thế cục căng thẳng này duy trì đến khi FBI rút lại yêu cầu vì họ đã hack được chiếc iPhone đời cũ kém bảo mật hơn này.
- Năm 2017 – 2018, “thị trường” Backdoor cũng nhộn nhịp không kém. Các hãng lớn được ghi nhận là nạn nhân của loại mã độc này bao gồm WordPress, Joomla, Drupal, NotPetya – đủ để biết nó nguy hiểm đến mức nào.
Tình huống cuối cùng có vẻ đi ngược lại với những câu chuyện kể trên – khi mà một công ty ước khi họ có Backdoor. Vào đầu năm 2019, người sáng lập sàn giao dịch tiền điện tử Canada QuadrigaCX đột ngột qua đời, mang theo tất cả mật khẩu điều hành công ty. Kết quả là, QuadrigaCX phải tuyên bố tất cả 190 triệu đô la tiền tiền điện tử của khách hàng bị đóng băng vĩnh viễn.
5. Phương thức lây nhiễm và hoạt động của Backdoor
Backdoor gây hại là những gián điệp cực kỳ tinh vi, sử dụng nhiều chiêu bài để thâm nhập vào thiết bị, chẳng hạn như đính kèm link trong email hoặc ẩn mình trong các file tải xuống. Để giải quyết bài toán “bảo tồn và duy trì nòi giống”, Backdoor tự sao chép và lây lan sang các hệ thống liên quan khác mà không cần bất kỳ lệnh bổ sung nào từ kẻ đã tạo ra chúng.
Một ví dụ phổ biến nhất về con đường thâm nhập của Backdoor độc hại đó là khi bạn tải một phần mềm vi phạm bản quyền [ví dụ bản crack của Adobe Photoshop], mã độc đã theo đó mở một Backdoor trên thiết bị của bạn và tùy ý làm mọi điều nó muốn mà chẳng sợ bị phát hiện.
Khả năng ẩn nấp tài tình này của Backdoor liên quan đến một gói phần mềm độc hại có tên là Rootkit. Một khi Backdoor đã “bước chân” vào nhà bạn, nó nhanh chóng kích hoạt Rootkit để giữ “cửa hậu” luôn mở. Hơn nữa, nó còn che giấu các hoạt động Internet bất thường để giúp Backdoor không bị người dùng và hệ điều hành họ đang sử dụng phát hiện.
Backdoor vô hại được xem như một thủ tục trong quá trình sản xuất của các nhà phát triển phần cứng, phần mềm. Ngoài các chức năng đã nêu ở phần đầu, Backdoor này đôi khi được tạo ra chỉ nhằm mục đích dự phòng. Nhưng cần lưu ý rằng, không ai chắc chắn Backdoor vô hại này có thể rơi vào tay bọn tội phạm mạng hay không?!
Đó cũng chính là lý do Apple, Facebook và Google đã từ chối lời yêu cầu của Five Eyes [Hiệp ước chia sẻ thông tin tình báo của 5 nước Hoa Kỳ, Anh, Canada , Úc và New Zealand] về việc mở Backdoor trong dịch vụ của họ, mặc dù các thuyết phục về lợi ích mà nó mang lại [ví dụ hỗ trợ thu thập bằng chứng trong quá trình điều tra tội phạm].
6. Tội phạm mạng có thể làm gì khi đã mở được Backdoor?
Thông qua Backdoor, hacker có thể khai thác thông tin người dùng [thông tin cá nhân, sở thích truy cập Internet, tài khoản, mật khẩu, mã số thẻ,…, nói chung là bất kỳ thứ gì có giá trị với bọn chúng].
Hoặc phức tạp hơn, chúng sẽ dùng Backdoor làm bàn đạp để đưa các phần mềm độc hại khác vào [như Ransomware, Spyware, Cryptojacking,…]
7. Làm thế nào để ngăn chặn Backdoor?
- Thay đổi mật khẩu mặc định, kích hoạt xác thực đa yếu tố và sử dụng mật khẩu khác nhau cho từng ứng dụng và thiết bị.
- Giám sát hoạt động mạng, sử dụng tường lửa để theo dõi hoạt động từ các ứng dụng đã cài đặt.
- Cẩn thận khi cài đặt ứng dụng và plugin – hai nguồn phổ biến nhất mà Backdoor trà trộm vào. Người dùng Android và Chromebook nên tải ứng dụng từ cửa hàng Google Play, trong khi người dùng Mac và iOS nên sử dụng App Store của Apple.
- Sử dụng công cụ bảo mật chất lượng.
- Thường xuyên theo dõi tin tức công nghệ để cập nhật các thông tin mới nhất về Backdoor và an ninh mạng để chủ động phòng tránh kịp thời.
Nguồn: //cuongquach.com/
Backdoor là phần mềm gì? Tấn công backdoor và cách phòng chống
Backdoor là phần mềm gì?
Backdoor là phần mềm “cửa hậu” hay “lối vào phía sau”. Trong một hệ thống máy tính, “Backdoor” là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường từ phía backend, hoặc để giữ đường truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi việc giám sát thông thường.
Backdoor thường có chức năng gì?
Backdoor trong hệ thống thường là một cổng được tạo ra chủ động từ người giám sát mà không được thông báo rộng rãi, cho phép người quản trị login vào hệ thống để tìm nguyên nhân gây lỗi hoặc bảo dưỡng. Ngoài ra Backdoor cũng dùng để chỉ cổng bí mật mà hacker và gián điệp lợi dụng để truy cập bất hợp pháp.
Trên thực tế, Backdoor được sử dụng nhiều hơn cho một số hoạt động bất hợp pháp, bao gồm:
Backdoor được cài đặt bằng cách tận dụng lỗ hổng bảo mật hoặc thành phần dễ bị tấn công trong ứng dụng web. Sau khi cài đặt, việc phát hiện rất khó khăn vì các file có xu hướng bị xáo trộn cao.
Backdoor hoạt động như thế nào?
Malware, backdoor thường được phân loại là một Trojan. Trojan là một chương trình máy tính độc hại, nó đánh cắp dữ liệu hoặc mở backdoor trên hệ thống máy tính.
Trojan là một công cụ cực kỳ linh hoạt trong bộ công cụ toolkit của các hacker. Chúng có nhiều thủ thuật, như file đính kèm email hoặc file tải xuống và cung cấp nhiều phần mềm malware độc hại.
Phương pháp cài đặt backdoor phổ biến nhất liên quan đến Remote file inclusion [RFI], một vectơ tấn công nhằm khai thác các lỗ hổng trong các ứng dụng động với các tập lệnh tham chiếu bên ngoài. Trong một tình huống RFI, chức năng tham chiếu bị lừa tải xuống một trojan backdoor từ một hosting từ xa.
Hacker thường xác định các mục tiêu bằng cách sử dụng scan nhằm xác định các trang web có các thành phần unpatched hoặc outdate mà cho phép upload file vào. Sau đó, một máy scan sẽ lạm dụng lỗ hổng để cài đặt backdoor trên server bên dưới. Sau khi được cài đặt, nó có thể được truy cập bất cứ lúc nào, ngay cả khi lỗ hổng cho phép xâm nhập vào nó đã được patch [sửa].
Chèn trojan backdoor thường được thực hiện theo quy trình hai bước nhằm vượt qua các quy tắc bảo mật ngăn chặn việc upload các file trên một kích thước nhất định. Giai đoạn đầu tiên liên quan đến việc cài đặt dropper — một file nhỏ có chức năng duy nhất là tải file lớn hơn từ một vị trí từ xa. Sau đó bắt đầu giai đoạn thứ hai – tải xuống và cài đặt tập lệnh backdoor trên server.
Tấn công backdoor là gì?
Ví dụ về việc tấn công backdoor
Worms [bọ máy tính]
Worm còn được gọi là bọ máy tính, chẳng hạn như Sobig và Mydoom, cài đặt một backdoor trên máy tính [thường là PC trên broadband chạy Microsoft Windows và Microsoft Outlook]. Các backdoor được cài đặt để những spammer có thể gửi e-mail rác từ các máy bị nhiễm Worm. Ngoài ra, chẳng hạn như bộ rootkit Sony / BMG, được đặt bí mật trên hàng triệu đĩa CD nhạc cho đến cuối năm 2005 để thu thập dữ liệu.
Một nỗ lực tinh vi nhằm tạo ra một backdoor trong kernel Linux, được tiết lộ vào tháng 11 năm 2003, đã thêm một sự thay đổi code nhỏ và tinh vi bằng cách lật đổ hệ thống kiểm soát sửa đổi. Trong trường hợp này, một thay đổi two-line đã xuất hiện để kiểm tra quyền truy cập root của người gọi function sys_wait4, nhưng vì nó sử dụng lệnh gán = thay vì kiểm tra như nhau ==, nó thực sự đã cấp quyền truy cập cho hệ thống. Sự khác biệt này rất dễ bị bỏ qua và thậm chí có thể được hiểu là một lỗi đánh máy vô tình, chứ không phải là một cuộc tấn công có chủ đích.
Object code backdoors
Sẽ khó phát hiện backdoor liên quan đến việc sửa đổi mã nguồn hơn, thay vì code nguồn – code object khó kiểm tra hơn nhiều, vì nó được thiết kế để máy tính đọc dữ liệu, không phải con người đọc. Các backdoor này có thể được chèn trực tiếp vào code object trên đĩa hoặc được chèn vào một thời điểm nào đó trong quá trình biên dịch
Cách ngăn chặn tấn công backdoor
Thay đổi mật khẩu mặc định: Những người làm việc trong công ty không bao giờ có ý định đặt mật khẩu có tính bảo mật. Nếu bạn để nguyên mật khẩu mặc định đó, bạn đã vô tình tạo một backdoor. Thay đổi nó càng sớm càng tốt và bật xác thực 2FA hoặc MFA khi bạn đang dùng bất kỳ tài khoản nào.
Giám sát hoạt động mạng: Bất kỳ sự tăng đột biến dữ liệu kỳ lạ nào có thể là có ai đó đang sử dụng backdoor trên hệ thống. Để ngăn chặn điều này, hãy sử dụng tường lửa firewall hoặc phần mềm giám sát lưu lượng mạng như wireshark để theo dõi hoạt động từ các ứng dụng khác nhau được cài đặt trên máy tính.
Chọn các ứng dụng và plugin một cách cẩn thận: Hacker thích ẩn backdoor bên trong các ứng dụng và plugin miễn phí. Cách bảo vệ tốt nhất ở đây là đảm bảo bất kỳ ứng dụng và plugin nào bạn chọn đều đến từ một nguồn có uy tín. Người dùng Android và Chromebook nên dùng các ứng dụng từ cửa hàng Google Play, trong khi người dùng Mac và iOS nên dùng với App Store của Apple.
Sử dụng một giải pháp an ninh mạng tốt: Bất kỳ giải pháp chống phần mềm độc hại nào tốt sẽ có thể ngăn chặn hacker triển khai Trojan và rootkit được sử dụng để mở các backdoor đó.
Nguồn: Backdoor là phần mềm gì? Tấn công backdoor và cách phòng chống
Bài viết này có hữu ích với bạn không?