Šta su backdoors i kako ih ukloniti. Šta su backdoor i kako ih ukloniti Preuzmite uslužni program za uklanjanje Backdoor od ruske kompanije Security Stronghold

Čitanje članka će potrajati: 3 min.

Pronalaženje tuđe lozinke nije laka stvar, osim ako njena kombinacija nije banalni “qwerty”. I uzalud, korisnici interneta koji aktivno koriste internet bankarstvo proklinju nepoznate hakere koji su ukrali novčanice iz njihovih elektronskih novčanika pogađajući znakove lozinke. Sve je mnogo jednostavnije - lutajući RuNetom, opljačkani korisnici su nesvjesno preuzeli dodatak za datoteke koje ih zanimaju, bilo da se radi o muzici, videu ili nečem drugom. Skinuli su špijunski program BackDoor i onda je sve počelo...

U mom slučaju, učenje o backdoorima palo mi je na glavu kao snijeg u julu. Nakon dugog razmišljanja, odlučio sam da pređem sa dial-up interneta na 3G, kupovinom modema i saobraćaja od Beeline-a. Vrativši se kući sa novokupljenim modemom, instalirajući njegov softver na računar, krenuo sam u bjesomučno surfanje internetom - brzina je trebala premašiti dial-up brzinu najmanje 50 puta. nisam mogao pristupiti internetu sa mog PC-a, penjao se po nepoznatim programima... Ne obraćajući dužnu pažnju na radnje upravo ovih programa i isključivši kompjuter do sljedećeg dana, sutradan sam otkrio da antivirus Dr. Internet je nestao i ne želi da lovi viruse.

Zadnja vrata do računara za hakera

Kakva je ovo zvijer BackDoor i kako ga ne dobiti, kako ga ukloniti? „Backdoor“, kako je backdoor preveden s engleskog, kreira haker i distribuira u programima i datotekama popularnim među korisnicima, ili putem e-pošte (rjeđe) - njegov kod im pripisuje haker-distributer. Stoga ga preuzimamo sami i dobrovoljno! Kada se nađe na računaru korisnika, BackDoor virus se upisuje u Windows root folder i gomilu drugih mesta, blokira rad antivirusa i stalno šalje vlasniku informacije o lozinkama i korisničkim nalozima ovog računara. Osim toga, ovaj špijunski virus se aktivno širi sa kompjutera koji je zarobio, koristeći bilo koji vanjski kontakt - ICQ, email. mail, mail agent, Skype, društvene mreže, itd... Teško, jednom riječju.

Šta bi trebao učiniti običan korisnik, koji nije sofisticiran u odbijanju hakerskih napada? Nakon što ste otkrili BackDoor špijunski softver na svom računaru - ako nemate dobar firewall ili antivirus, bit će ga teško otkriti, tek nakon što su novčanice ukradene i računi ukradeni - nabavite specijalizirani antispyware antispyware program. Na primjer, imam Ad-Aware SE Personal, iako je sa starim bazama podataka iu besplatnoj verziji i dalje efikasan. Zatim ga upotrijebite da izbacite šupak backdoor iz ključnih unosa registra, brzo ponovo instalirate antivirus i ažurirate njegove baze podataka - postavite potpuno skeniranje odmah nakon ažuriranja i pričekajte da se završi, bez obzira koliko dugo traje!

Općenito govoreći, backdoors su specifični trojanci, virusi, keyloggeri, špijunski softver i alati za udaljenu administraciju. One rade na isti način kao i pomenute virusne aplikacije. Međutim, njihove funkcije i opterećenja su složenije i opasnije, zbog čega se svrstavaju u jednu posebnu kategoriju.

Kako se distribuiraju backdoors?

Koje rizike može izazvati ova kompjuterska infekcija?

Kada backdoor pronađe put do sistema, on izaziva sljedeće radnje:

  • Omogućava napadaču da kreira, izbriše, preimenuje, kopira ili uredi bilo koju datoteku, izvrši razne komande, promijeni sve sistemske postavke, modificira Windows registar, pokrene, nadgleda i eliminiše aplikacije i instalira drugi softver.
  • Dozvoljava hakeru da kontroliše hardverske uređaje računara, menja postavke vezane za gašenje ili ponovno pokretanje računara bez dozvole.
  • Krade lične podatke, vrijedne dokumente, lozinke, prijave, podatke o identitetu, dnevnike aktivnosti korisnika i prati navike pretraživanja weba.
  • Pritiskom na dugme za snimanje i snimanje ekrana. Osim toga, šalje prikupljene podatke na određene adrese e-pošte, postavlja ih na određeni FTP server ili ih prenosi preko internetske veze udaljenim hostovima.
  • Inficira datoteke, instalirane aplikacije i oštećuje cijeli sistem.
  • Distribuira zaražene datoteke na udaljene računare sa određenim sigurnosnim propustima, izvodi napade na hakere na udaljenim hostovima.
  • Instalira skriveni FTP server koji napadači mogu koristiti u razne nezakonite svrhe.

Backdoorme - uslužni program za automatsko kreiranje backdoor-a

Backdoorme je moćan uslužni program koji može kreirati mnoge backdoor na Unix mašinama. Backdoorme koristi poznati metasploit interfejs sa neverovatnom proširivosti. Backdoorme se oslanja na postojeću SSH vezu ili vjerodajnice žrtve za prijenos i iskorištavanje bilo kojeg backdoor-a. Molimo koristite Backdoorme sa otvorenim dopuštenjem.

Skriveno od gostiju


Backdoorme odmah dolazi sa određenim brojem ugrađenih backdoor-a, modula i pomoćnih modula. Backdoor su specifične komponente za kreiranje i implementaciju potrebnog backdoor-a, kao što je netcat backdoor ili msfvenom backdoor. Moduli se mogu primijeniti na bilo koji backdoor i koriste se da bi backdoor bili moćniji, skriveni ili brži za onemogućavanje. Pomoćne jedinice su korisne operacije koje se mogu izvoditi kako bi se održala trajnost.

Još malo o backdoorima: Da biste pokrenuli backdoorme, provjerite imate li potrebne ovisnosti.

$python dependencies.py

Pokreni backdoorme:

$ python master.py

Backdoors

Da biste koristili backdoor, jednostavno pokrenite ključnu riječ "use".

>> koristite shell/metasploit + Koristeći trenutni cilj 1. + Koristeći pozadinska vrata Metasploit... (msf) >>

Odatle možete postaviti opcije koje odgovaraju stražnjim vratima. Pokrenite ili "show options" ili "help" da vidite listu opcija koje se mogu konfigurisati.

Kao i metasploit, backdoors su organizirani u kategorije.

  • Auxiliary
    • keylogger– Dodaje keylogger sistemu i stavlja vam na raspolaganje opciju slanja rezultata poštom;
    • simplehttp– Instalira python SimpleHTTP server na klijentu.
    • korisnik– Dodaje novog korisnika na cilj.
    • web– Instalira Apache server na klijentu.
  • Eskalacija
    • setuid– SetUID backdoor radi tako što postavlja setuid bit na izvršnu datoteku, što implicira da korisnik ima root pristup. Stoga, kada ovaj izvršni fajl kasnije pokrene korisnik koji nema root pristup, datoteka se izvršava s root pristupom. Podrazumevano, ovaj backdoor prebacuje setuid bit na nano, tako da ako se root pristup izgubi na neki način, napadač se može ponovo prijaviti na SSH kao neprivilegirani korisnik i još uvijek može pokrenuti nano (ili bilo koju odabranu binarnu datoteku) kao root. ("nano /etc/shadow"). Imajte na umu da je za implementaciju ovog backdoor ekstenzije potreban root pristup na samom početku.
    • školjka– ljuska backdoor je privilegovana pozadinska ekstenzija, slična (ali konkretnija) njenom srodnom ekstenziju SetUID. Duplicira bash shell u skrivenu binarnu datoteku i postavlja SUID bit. Imajte na umu da je inicijalno potreban root pristup za implementaciju ovog backdoor ekstenzije. Da biste koristili ovaj backdoor dok SSH koristite kao neprivilegirani korisnik, jednostavno pokrenite ".bash -p" i imat ćete root pristup.
  • školjka (kategorija školjke)
    • bash– koristi jednostavnu bash skriptu za povezivanje na određenu kombinaciju IP-a i porta i prosljeđivanje rezultata bash-u.
    • bash2– malo drugačiji (i sigurniji) bash backdoor opisan gore, koji ne zahtijeva lozinku na strani klijenta.
    • metasploit– koristi msfvenom za kreiranje reverse_tcp binarne datoteke na cilju, zatim pokreće binarnu datoteku da se poveže sa ljuskom meterpreter.
    • netcat– koristi netcat za prosljeđivanje standardnog ulaza i izlaza u /bin/sh, pružajući korisniku interaktivnu ljusku.
    • netcat_traditional– koristi netcat-traditional -e za kreiranje obrnute ljuske.
    • perl- skripta napisana u perl-u koja preusmjerava rezultat na bash i preimenuje proces kako bi izgledao manje uočljivo.
    • php– pokreće php backdoor koji šalje rezultat u bash. Ne instalira automatski web server, već umjesto toga koristi web modul.
    • pupy– koristi n1nj4sec Pupy backdoor, koji se nalazi na

      Skriveno od gostiju

      .
    • python– koristi kratku python skriptu za izvršavanje naredbi i slanje rezultata nazad korisniku.
    • web– šalje web server do cilja, zatim preuzima msfvenom php reverse_tcp backdoor i povezuje se na host. Iako je ovo još uvijek php backdoor, nije isto što i php backdoor opisan gore.
  • Pristup
    • remove_ssh– uklanja ssh server na klijentu. Vrlo je zgodno koristiti na kraju backdoor sesije za uklanjanje svih tragova.
    • ssh_key– kreira RSA ključ i kopira ga na cilj za povezivanje bez ssh lozinke.
    • ssh_port– Dodaje novi port za ssh.
  • Windows (Windows kategorija)
    • prozori– Koristi msfvenom za kreiranje Windows backdoor-a.
Moduli

Svaki backdoor ima mogućnost primanja dodatnih modula, koji se koriste da bi backdoor učinili snažnijim. Da biste dodali modul, jednostavno koristite ključnu riječ "dodaj".

(msf) >> dodaj otrov + dodan modul za otrov

Svaki modul ima dodatne opcije koje se mogu konfigurirati i ako ponovo pokrenete "help", možete vidjeti ili postaviti sve dodatne opcije.

Trenutno dostupni moduli uključuju:

  • Otrov
    • Izvodi trovanje kante na ciljnom računaru – kompajlira izvršnu datoteku da pozove sistemski uslužni program i postojeći backdoor.
    • Na primjer, ako se modul za trovanje kante pokrene uz "ls", on će kompajlirati i prenijeti binarnu datoteku pod nazivom "ls" koja će pokretati i postojeći backdoor i originalni "ls", čime se onemogućava korisniku da češće pokreće backdoor .
  • Cron
    • Dodaje postojeći backdoor u crontab root korisnika za pokretanje na navedenoj frekvenciji.
  • Web
    • Instalira web server i hostira web stranicu koja pokreće backdoor.
    • Jednostavno ode na lokaciju sa otvorenim slušaocem i backdoor se pokrene.
  • Korisnik
    • Dodaje novog korisnika na cilj.
  • Startup
    • Omogućava vam da kreirate backdoor sa bashrc i init datotekama.
  • Bijela lista
    • Stavlja na bijelu listu IP tako da se samo ova IP adresa može povezati na backdoor.
prijevod:

Backdoorme - uslužni program za automatsko kreiranje backdoor-a

Backdoorme je moćan uslužni program koji može kreirati mnoge backdoor na Unix mašinama. Backdoorme koristi poznati metasploit interfejs sa neverovatnom proširivosti. Backdoorme se oslanja na postojeću SSH vezu ili vjerodajnice žrtve za prijenos i iskorištavanje bilo kojeg backdoor-a. Molimo koristite Backdoorme sa otvorenim dopuštenjem.

Skriveno od gostiju


Backdoorme odmah dolazi sa određenim brojem ugrađenih backdoor-a, modula i pomoćnih modula. Backdoor su specifične komponente za kreiranje i implementaciju potrebnog backdoor-a, kao što je netcat backdoor ili msfvenom backdoor. Moduli se mogu primijeniti na bilo koji backdoor i koriste se da bi backdoor bili moćniji, skriveni ili brži za onemogućavanje. Pomoćne jedinice su korisne operacije koje se mogu izvoditi kako bi se održala trajnost.

Još malo o backdoorima: Da biste pokrenuli backdoorme, provjerite imate li potrebne ovisnosti.

$python dependencies.py

Pokreni backdoorme:

$ python master.py

Backdoors

Da biste koristili backdoor, jednostavno pokrenite ključnu riječ "use".

>> koristite shell/metasploit + Koristeći trenutni cilj 1. + Koristeći pozadinska vrata Metasploit... (msf) >>

Odatle možete postaviti opcije koje odgovaraju stražnjim vratima. Pokrenite ili "show options" ili "help" da vidite listu opcija koje se mogu konfigurisati.

Kao i metasploit, backdoors su organizirani u kategorije.

  • Auxiliary
    • keylogger– Dodaje keylogger sistemu i stavlja vam na raspolaganje opciju slanja rezultata poštom;
    • simplehttp– Instalira python SimpleHTTP server na klijentu.
    • korisnik– Dodaje novog korisnika na cilj.
    • web– Instalira Apache server na klijentu.
  • Eskalacija
    • setuid– SetUID backdoor radi tako što postavlja setuid bit na izvršnu datoteku, što implicira da korisnik ima root pristup. Stoga, kada ovaj izvršni fajl kasnije pokrene korisnik koji nema root pristup, datoteka se izvršava s root pristupom. Podrazumevano, ovaj backdoor prebacuje setuid bit na nano, tako da ako se root pristup izgubi na neki način, napadač se može ponovo prijaviti na SSH kao neprivilegirani korisnik i još uvijek može pokrenuti nano (ili bilo koju odabranu binarnu datoteku) kao root. ("nano /etc/shadow"). Imajte na umu da je za implementaciju ovog backdoor ekstenzije potreban root pristup na samom početku.
    • školjka– ljuska backdoor je privilegovana pozadinska ekstenzija, slična (ali konkretnija) njenom srodnom ekstenziju SetUID. Duplicira bash shell u skrivenu binarnu datoteku i postavlja SUID bit. Imajte na umu da je inicijalno potreban root pristup za implementaciju ovog backdoor ekstenzije. Da biste koristili ovaj backdoor dok SSH koristite kao neprivilegirani korisnik, jednostavno pokrenite ".bash -p" i imat ćete root pristup.
  • školjka (kategorija školjke)
    • bash– koristi jednostavnu bash skriptu za povezivanje na određenu kombinaciju IP-a i porta i prosljeđivanje rezultata bash-u.
    • bash2– malo drugačiji (i sigurniji) bash backdoor opisan gore, koji ne zahtijeva lozinku na strani klijenta.
    • metasploit– koristi msfvenom za kreiranje reverse_tcp binarne datoteke na cilju, zatim pokreće binarnu datoteku da se poveže sa ljuskom meterpreter.
    • netcat– koristi netcat za prosljeđivanje standardnog ulaza i izlaza u /bin/sh, pružajući korisniku interaktivnu ljusku.
    • netcat_traditional– koristi netcat-traditional -e za kreiranje obrnute ljuske.
    • perl- skripta napisana u perl-u koja preusmjerava rezultat na bash i preimenuje proces kako bi izgledao manje uočljivo.
    • php– pokreće php backdoor koji šalje rezultat u bash. Ne instalira automatski web server, već umjesto toga koristi web modul.
    • pupy– koristi n1nj4sec Pupy backdoor, koji se nalazi na

      Skriveno od gostiju

      .
    • python– koristi kratku python skriptu za izvršavanje naredbi i slanje rezultata nazad korisniku.
    • web– šalje web server do cilja, zatim preuzima msfvenom php reverse_tcp backdoor i povezuje se na host. Iako je ovo još uvijek php backdoor, nije isto što i php backdoor opisan gore.
  • Pristup
    • remove_ssh– uklanja ssh server na klijentu. Vrlo je zgodno koristiti na kraju backdoor sesije za uklanjanje svih tragova.
    • ssh_key– kreira RSA ključ i kopira ga na cilj za povezivanje bez ssh lozinke.
    • ssh_port– Dodaje novi port za ssh.
  • Windows (Windows kategorija)
    • prozori– Koristi msfvenom za kreiranje Windows backdoor-a.
Moduli

Svaki backdoor ima mogućnost primanja dodatnih modula, koji se koriste da bi backdoor učinili snažnijim. Da biste dodali modul, jednostavno koristite ključnu riječ "dodaj".

(msf) >> dodaj otrov + dodan modul za otrov

Svaki modul ima dodatne opcije koje se mogu konfigurirati i ako ponovo pokrenete "help", možete vidjeti ili postaviti sve dodatne opcije.

Trenutno dostupni moduli uključuju:

  • Otrov
    • Izvodi trovanje kante na ciljnom računaru – kompajlira izvršnu datoteku da pozove sistemski uslužni program i postojeći backdoor.
    • Na primjer, ako se modul za trovanje kante pokrene uz "ls", on će kompajlirati i prenijeti binarnu datoteku pod nazivom "ls" koja će pokretati i postojeći backdoor i originalni "ls", čime se onemogućava korisniku da češće pokreće backdoor .
  • Cron
    • Dodaje postojeći backdoor u crontab root korisnika za pokretanje na navedenoj frekvenciji.
  • Web
    • Instalira web server i hostira web stranicu koja pokreće backdoor.
    • Jednostavno ode na lokaciju sa otvorenim slušaocem i backdoor se pokrene.
  • Korisnik
    • Dodaje novog korisnika na cilj.
  • Startup
    • Omogućava vam da kreirate backdoor sa bashrc i init datotekama.
  • Bijela lista
    • Stavlja na bijelu listu IP tako da se samo ova IP adresa može povezati na backdoor.
prijevod:

POVEZANI ČLANCI