Содержание статьи
Что такое бэкдор
Бэкдор - это тип вредоносного ПО, которое отменяет обычные процедуры аутентификации для доступа к системе. В результате удаленный доступ предоставляется к ресурсам в приложении, таким как базы данных и файловые серверы, что дает злоумышленникам возможность удаленно выполнять системные команды и обновлять вредоносное ПО.
Установка бэкдора достигается за счет использования уязвимых компонентов в веб-приложении. После установки обнаружение затруднено, поскольку файлы имеют тенденцию быть сильно запутанными.
Бэкдоры веб-серверов используются для ряда вредоносных действий, в том числе:
Установка бэкдора трояна
Наиболее распространенный метод установки бэкдора включает в себя удаленное включение файлов (RFI), вектор атаки, использующий уязвимости в приложениях, которые динамически ссылаются на внешние сценарии. В сценарии RFI функция ссылки обманом загружает троян-бэкдор с удаленного хоста.
Бэкдор-троян, установленный с удаленного хоста. Пример панели управления бэкдором с возможностью выполнения команд.
Злоумышленники обычно идентифицируют цели с помощью сканеров, которые обнаруживают веб-сайты, на которых установлены неустановленные или устаревшие компоненты, которые позволяют внедрять файлы. Успешный сканер затем злоупотребляет уязвимостью, чтобы установить бэкдор на нижележащий сервер. После установки к нему можно получить доступ в любое время, даже если уязвимость, делающая возможным его внедрение, с тех пор исправлена.
Backdoor троян инъекции часто делается в двухступенчатом процессе обхода правил безопасности , предотвращающих загрузку файлов выше определенного размера. Первый этап включает установку дроппера - небольшого файла, единственной функцией которого является получение файла большего размера из удаленного места. Он инициирует вторую фазу - загрузку и установку на сервер сценария бэкдора.
Проблема удаления оболочки бэкдора
После установки бэкдоры очень сложно отсеять. Традиционно для обнаружения используются программные сканеры для поиска известных сигнатур вредоносных программ в файловой системе сервера. Однако этот процесс подвержен ошибкам. Файлы оболочки бэкдора почти всегда маскируются с помощью псевдонимов и, что более важно, обфускации кода (иногда даже нескольких уровней шифрования).
Обнаружение еще более усложняется, поскольку многие приложения построены на внешних платформах, использующих сторонние плагины; они иногда содержат уязвимости или встроенные бэкдоры. Сканеры, использующие эвристические правила и правила на основе сигнатур, могут быть не в состоянии обнаружить скрытый код в таких средах.
Даже если бэкдор обнаружен, обычные методы смягчения (или даже переустановка системы) вряд ли позволят удалить его из приложения. Это особенно верно для бэкдоров, постоянно присутствующих в перезаписываемой памяти.
Снижение атак через бэкдор-оболочку
В Imperva мы используем комбинацию методов для предотвращения установки бэкдора, а также для обнаружения и карантина существующих оболочек бэкдора.
С одной стороны, брандмауэр облачных веб-приложений (WAF) использует комбинацию правил безопасности по умолчанию и правил безопасности, определяемых пользователем, для предотвращения взлома RFI-атак на ваше приложение. WAF развертывается как безопасный прокси-сервер на границе вашей сети, гарантируя, что вредоносные запросы блокируются до того, как они смогут взаимодействовать с вашим приложением. В результате ваш сайт будет защищен с того момента, как вы подключитесь к нашему сервису.
Если ваш веб-сервер уже был взломан перед подключением, решение защиты от бэкдора позволяет обнаруживать и удалять оболочки из вашей файловой системы.
В решении используется новый подход к перехвату запросов на подключение к вредоносным оболочкам - предпочтительная альтернатива сканированию сервера на наличие файлов бэкдора. В отличие от файлов бэкдора, которые легко скрыть, запросы на подключение не могут быть обфусцированы, чтобы скрыть их злонамеренные намерения.
Отслеживая такие попытки связи, облачная служба Imperva может идентифицировать любую оболочку бэкдора, даже если ее исходный код был зашифрован, чтобы избежать сканирования.
- Что такое бэкдор
- Установка бэкдора трояна
- Проблема удаления оболочки бэкдора
- Снижение атак через бэкдор-оболочку
Что такое бэкдор
Бэкдор - это тип вредоносного ПО, которое отменяет обычные процедуры аутентификации для доступа к системе. В результате удаленный доступ предоставляется к ресурсам в приложении, таким как базы данных и файловые серверы, что дает злоумышленникам возможность удаленно выполнять системные команды и обновлять вредоносное ПО.
Установка бэкдора достигается за счет использования уязвимых компонентов в веб-приложении. После установки обнаружение затруднено, поскольку файлы имеют тенденцию быть сильно запутанными.
Бэкдоры веб-серверов используются для ряда вредоносных действий, в том числе:
- Кража данных
- Удаление веб-сайта
- Взлом сервера
- Запуск распределенных атак типа «отказ в обслуживании» (DDoS).
- Заражение посетителей сайта (атаки wateringhole)
- Атаки с повышенной устойчивой угрозой (APT)
Установка бэкдора трояна
Наиболее распространенный метод установки бэкдора включает в себя удаленное включение файлов (RFI), вектор атаки, использующий уязвимости в приложениях, которые динамически ссылаются на внешние сценарии. В сценарии RFI функция ссылки обманом загружает троян-бэкдор с удаленного хоста.
Бэкдор-троян, установленный с удаленного хоста. Пример панели управления бэкдором с возможностью выполнения команд.
Злоумышленники обычно идентифицируют цели с помощью сканеров, которые обнаруживают веб-сайты, на которых установлены неустановленные или устаревшие компоненты, которые позволяют внедрять файлы. Успешный сканер затем злоупотребляет уязвимостью, чтобы установить бэкдор на нижележащий сервер. После установки к нему можно получить доступ в любое время, даже если уязвимость, делающая возможным его внедрение, с тех пор исправлена.
Backdoor троян инъекции часто делается в двухступенчатом процессе обхода правил безопасности , предотвращающих загрузку файлов выше определенного размера. Первый этап включает установку дроппера - небольшого файла, единственной функцией которого является получение файла большего размера из удаленного места. Он инициирует вторую фазу - загрузку и установку на сервер сценария бэкдора.
Проблема удаления оболочки бэкдора
После установки бэкдоры очень сложно отсеять. Традиционно для обнаружения используются программные сканеры для поиска известных сигнатур вредоносных программ в файловой системе сервера. Однако этот процесс подвержен ошибкам. Файлы оболочки бэкдора почти всегда маскируются с помощью псевдонимов и, что более важно, обфускации кода (иногда даже нескольких уровней шифрования).
Обнаружение еще более усложняется, поскольку многие приложения построены на внешних платформах, использующих сторонние плагины; они иногда содержат уязвимости или встроенные бэкдоры. Сканеры, использующие эвристические правила и правила на основе сигнатур, могут быть не в состоянии обнаружить скрытый код в таких средах.
Даже если бэкдор обнаружен, обычные методы смягчения (или даже переустановка системы) вряд ли позволят удалить его из приложения. Это особенно верно для бэкдоров, постоянно присутствующих в перезаписываемой памяти.
Снижение атак через бэкдор-оболочку
В Imperva мы используем комбинацию методов для предотвращения установки бэкдора, а также для обнаружения и карантина существующих оболочек бэкдора.
С одной стороны, брандмауэр облачных веб-приложений (WAF) использует комбинацию правил безопасности по умолчанию и правил безопасности, определяемых пользователем, для предотвращения взлома RFI-атак на ваше приложение. WAF развертывается как безопасный прокси-сервер на границе вашей сети, гарантируя, что вредоносные запросы блокируются до того, как они смогут взаимодействовать с вашим приложением. В результате ваш сайт будет защищен с того момента, как вы подключитесь к нашему сервису.
Если ваш веб-сервер уже был взломан перед подключением, решение защиты от бэкдора позволяет обнаруживать и удалять оболочки из вашей файловой системы.
В решении используется новый подход к перехвату запросов на подключение к вредоносным оболочкам - предпочтительная альтернатива сканированию сервера на наличие файлов бэкдора. В отличие от файлов бэкдора, которые легко скрыть, запросы на подключение не могут быть обфусцированы, чтобы скрыть их злонамеренные намерения.
Отслеживая такие попытки связи, облачная служба Imperva может идентифицировать любую оболочку бэкдора, даже если ее исходный код был зашифрован, чтобы избежать сканирования.
