O que é um backdoor? Definição, Exemplos, Ataques de Backdoor

Um backdoor é uma técnica na qual um mecanismo de segurança do sistema é contornado de forma indetectável para acessar um computador. Por exemplo, com um trojan de backdoor, usuários não autorizados podem contornar medidas de segurança específicas e obter acesso de usuário de alto nível a um computador, rede ou software.

Você pode estar interessado em dar uma olhada em nossas outras ferramentas antivírus:
Trojan Killer, Trojan Scanner and Online Virus Scanner.

O que é Backdoor? Como prevenir ataques de backdoor (2024) | Gridinsoft

O que é Backdoor?

October 06, 2023

Uma Backdoor não é a melhor maneira de invadir a casa de alguém para roubar uma bicicleta? O mesmo vale para os computadores. Nada pode ser tão eficaz para roubo de dados, injeção remota de malware e outras ações descoordenadas.

Backdoors é uma grande subespécie de vírus, que é usada para diferentes alvos nos últimos 10 anos. É claro que os exemplos de malware que supostamente tinham as mesmas funções dos backdoors apareceram ainda mais cedo, mas ninguém os classificou exatamente como backdoors. Por sua natureza, os backdoors são malwares universais que podem agir de maneira diferente de um caso para outro. Assim, aqui está a explicação de como um único vírus pode ser tão onipotente.

Hierarquia de anéis de proteção
Anéis de proteção na CPU

O vírus Backdoor se integra intensamente ao sistema da vítima. Ao contrário da maioria dos outros vírus, os backdoors se infiltram no computador como um driver. De acordo com o sistema de anel hierárquico, os drivers estão localizados no Anel 2 e executados com prioridade maior que o sistema operacional. Qualquer coisa que seja executada no Anel 2 pode controlar todos os processos localizados no Anel 3 e Anel 4, onde o SO e o software instalado são executados. Portanto, integrar um vírus em um nível tão profundo significa obter o controle de todo o sistema. Backdoors são apenas um exemplo de uma dúzia de outros vírus que exploram essa capacidade. Um exemplo perfeito de um riskware que se integra em nível de driver é uma ferramenta de hack Mimikatz.

Então, o que os backdoors podem fazer?

Você já viu que o ponteiro do mouse se move sem o seu comando? Você fez isso enquanto permitia que o administrador do sistema configurasse seu computador por meio de uma ferramenta de acesso remoto. Então imagine que alguém pode se conectar ao seu PC sem a sua intenção e fazer o que quiser. Hackers podem obter qualquer arquivo armazenado em seu computador, suspender e iniciar qualquer processo - ele pode se sentir como um dono de PC. Em alguns casos, os cibercriminosos podem até mesmo iniciar seu PC remotamente, então você não deve ligá-lo sozinho.

Portanto, os fraudadores que controlam o vírus podem gerenciar seu computador remotamente da maneira que desejarem. Não há um cenário estrito de como será a situação. Backdoors, especialmente as variantes leves, são frequentemente usados ​​para desdobrar a botnet. Computadores infectados com o vírus backdoor estão sendo executados em um chamado “modo zumbi”: eles são usados ​​normalmente por seus verdadeiros donos até receberem um comando do servidor de controle. Em seguida, essas máquinas iniciam spam ou ataques DDoS, usando a conta de seu legítimo proprietário como disfarce. Você certamente ficará surpreso por ser banido em sites ou fóruns online que nunca visitou.

A capacidade de usar um computador permite que você instale os programas desejados. Assim, os ladrões cibernéticos costumam usar o backdoor atualmente ativo para injetar vários outros malwares em seu sistema. Isso não significa que cada caso de backdoor levará a outra injeção de vírus, mas a possibilidade sempre existe.

Ataques de backdoors em 2024:



Como funciona o vírus backdoor?

Como você já pode concluir, todos os backdoors possuem detalhes semelhantes com ferramentas de administração remota. Exatamente, algumas das ferramentas remotas ilegais são detectadas por antivírus como backdoors. Eles concedem acesso às pessoas que o controlam, mas o fazem de maneira diferente das ferramentas de administração remota. O malware usa explorações em vários elementos do sistema para realizar essa ação. Infelizmente, o Windows está cheio de várias vulnerabilidades, portanto, criminosos podem invadir seu sistema mesmo se você tiver os últimos patches de segurança instalados.

Após ser injetado, o backdoor ajusta o sistema para tornar o “ambiente” mais confortável para uso futuro. Para isso, o vírus adiciona uma conexão específica enviando o comando pela linha de comando, altera as chaves do registro e modifica as configurações de segurança. Embora o primeiro ato seja bastante fácil de entender, a chave do registro e as alterações de segurança devem ser explicadas.

Existe um recurso obsoleto no Windows que permite editar o registro do computador remoto. Essa capacidade é uma fonte perfeita para exploração, portanto, os fraudadores raramente esquecem de ativá-la. A edição remota do registro permite que os fraudadores adicionem suas chaves de registro e editem as existentes mesmo sem entrar no modo de acesso remoto - eles podem usar um prompt de comando.

A segurança é uma das partes mais exploráveis ​​do Windows. Embora a maioria dos antivírus sejam apenas aplicativos, o Microsoft Defender é uma parte profundamente integrada do sistema. O sistema operacional o gerencia por meio das regras definidas nas Diretivas de Grupo. Ele pode ser desativado por meio dessas configurações em vários cliques, e os criadores de vírus sabem dessa capacidade. O malware impede o Defender de impedir o alarme - um antivírus incorporado possui bancos de dados de detecção muito bons, apesar de ser extremamente não confiável. Um dia, você pode descobrir que seu Defender está "adormecido" e nada pode acordá-lo.

Posso detectar o vírus backdoor sozinho?

Você mal entenderá se o seu computador está infectado quando o backdoor for bem projetado e usado corretamente. A única chance é quando os criminosos que gerenciam o vírus se conectam ao seu PC e iniciam ações. Você verá as janelas do console abrindo caoticamente, movimentos de ponteiro e aplicativos abrindo sem intenção. Mas, na maioria dos casos, os fraudadores esperam uma semana antes de usar um computador recém-infectado para seus propósitos. Por meio desse termo, eles coletam informações sobre as horas de atividade do usuário que possui este PC.

No entanto, se falarmos sobre os backdoors que adicionam o PC da vítima ao botnet, você não verá sintomas. Esses vírus são furtivos o suficiente para funcionar simultaneamente com a atividade usual. O único sinal que você verá é provavelmente uma lentidão do PC. No entanto, a maioria dos usuários não dá muita atenção à lentidão - eles provavelmente culparão o Windows.

A melhor maneira de detectar um vírus tão imprevisível é usar um software antimalware. Exemplos como o Microsoft Defender não são adequados pelos motivos mencionados. No entanto, detectar vírus de backdoor é difícil e nem todas as soluções antivírus estão prontas. Para obter a melhor proteção, você provavelmente precisará ter um mecanismo de detecção heurística em sua ferramenta de segurança e obter atualizações nos bancos de dados de detecção com a maior frequência possível. O GridinSoft Anti-Malware pode oferecer esses dois privilégios: seus bancos de dados são atualizados a cada hora e possui um recurso de proteção On-Run, que usa o mecanismo heurístico para detectar malware.