Quando acompanhamos as últimas evoluções e ocorrências em ciberameaças, é comum nos depararmos com o termo “backdoor”. Frequentemente, a expressão se refere a um método malicioso para que hackers acessem o sistema, seja para espionagem ou execução de crimes cibernéticos. Mas afinal, como podemos definir um malware backdoor?
A seguir, esclarecemos as principais dúvidas sobre o tema, incluindo a confusão com o conceito de trojans, as características da vulnerabilidade e como se proteger de maneira eficiente de um ataque backdoor.
Vamos lá?
Malware backdoor: o que é e quais são suas características?
Em linhas simples, o malware backdoor é um tipo de malware que nega os procedimentos normais de autenticação para acessar um sistema. Em outras palavras, é uma forma de permitir que os cibercriminosos acessem computadores de forma remota.
Nesse sentido, é possível acessar os recursos dentro de uma aplicação, tais como bases de dados e servidores de arquivos, permitindo inclusive que os hackers consigam manipular comandos do sistema e fazer o update de códigos maliciosos.
Os programas de backdoor, vale lembrar, podem ser instalados tanto em componentes de software quanto de hardware. Além disso, podem ser disseminados via apps maliciosos em dispositivos móveis e inteligentes (como os smartwatches).
Para se ter uma ideia, em 2016, smart TVs baseadas em Android foram afetadas por um malware backdoor que se instalou nos aparelhos e permitiram o download de outros malwares.
De forma geral, podemos dizer que o malware backdoor é um tipo de trojan que possibilita infectar e acessar um sistema e seu controle remoto. A partir daí, o invasor pode mudar ou até mesmo apagar arquivos, além de executar programas, enviar e-mails em massa e instalar ferramentas criminosas.
Principais atividades maliciosas do malware backdoor
Uma vez instalada, esse tipo de ameaça pode ser aplicada para diversas atividades cibercriminosas, tais como:
- Roubo de dados;
- Desconfiguração de sites;
- Lançamento de ataques distribuídos de negação de serviço (DDoS);
- Sequestro de servidores;
- Infecção de visitantes de websites (watering hole attacks);
- Ataques de ameaças avançadas persistentes (APTs).
Afinal, malware backdoor e trojans são a mesma coisa?
Há pouco, mencionamos uma definição que conceitua o backdoor como um “tipo de trojan” – e esse é um ponto que gera dúvidas em muitas pessoas. Então os termos são sinônimos?
Não! Na prática, trata-se de dois malwares diferentes. Entretanto, vale destacar que atualmente muitos trojans ou cavalos de troia incorporam habilidades do malware backdoor com o objetivo de acessar os computadores e dispositivos infectados, permitindo aos cibercriminosos executar ações maliciosas.
Para entender bem a diferença, vale dizer que os backdoors podem já estar instalados previamente no aplicativo ou sistema utilizado pelas vítimas (seja por intenção dos desenvolvedores ou mesmo por esquecimento).
Nesse cenário, os backdoors podem ser comparados a “portas secretas” para um local guardado. Essas passagens ocultas, no entanto, são conhecidas por algumas poucas pessoas que podem se aproveitar das mesmas para se esgueirar no local e dar cabo às suas ações, sem despertar suspeitas.
Já os trojans ou cavalos de troia são malwares que têm passagem permitida nos sistemas e dispositivos dos usuários porque aparentam ser uma outra coisa (como acontece na mitologia grega). Dessa forma, ao se disfarçarem de jogos, músicas baixadas ou outros programas legítimos, conseguem penetrar no computador das vítimas e aplicar golpes.
Atenção: backdoors nem sempre são maliciosos
Aqui, é importante apontar que existe uma diferença entre o backdoor enquanto malware e aquele que se caracteriza como um método de permitir o acesso remoto a sistemas e aplicações.
Já mencionamos, por exemplo, que muitos desenvolvedores os instalam intencionalmente, em geral com a intenção de realizar atualizações ou manutenção nos dispositivos. De fato, se o backdoor passar por boas configurações e habilitar somente o acesso de usuários permitidos e legítimos, não há com o que se preocupar.
Para se ter uma boa ideia desse cenário, basta pensar em dispositivos inteligentes de Internet of Things, como a famosa Alexa, da Amazon. Muitas vezes, dispositivos do tipo contam com a instalação prévia de backdoors para permitir que um técnico estabeleça acesso remoto e solucione possíveis problemas, se for necessário.
Com isso, ganha-se tempo e comodidade, uma vez que a ação dispensa a necessidade de configurações extensas por parte dos usuários.
Como funciona um ataque de backdoor (backdoor attack)?
Agora que exploramos a “face inofensiva” dos backdoors, vamos retomar a tática no contexto cibercriminoso. Afinal, como acontece um ataque do malware backdoor?
Em primeiro lugar, é importante frisar que esses códigos maliciosos são instalados através de componentes vulneráveis de uma aplicação web. O método mais frequente de instalação, nesse sentido, envolve a inclusão de arquivo remoto ou remote file inclusion (RFI), que explora vulnerabilidades em aplicações que executam scripts externos.
Nesse caso, a função desses recursos legítimos é “enganada” e induzida a fazer o donwload de um trojan backdoor a partir de uma fonte remota.
Vale acrescentar que os atacantes geralmente identificam alvos ou vítimas através de scanners, que identificam sites com componentes não corrigidos (sem patches) ou desatualizados que vão permitir a inclusão de arquivos maliciosos.
A partir daí, um scanner bem-sucedido se aproveita da brecha de segurança para instalar o backdoor no servidor. Uma vez instalada, a “porta secreta” pode ser acessada a qualquer momento, ainda que a vulnerabilidade que permitiu a ação hacker tenha sido corrigida pelos fabricantes.
Outro ponto relevante é que a inclusão ou injeção do trojan backdoor frequentemente é realizada em um processo de duas etapas para driblar as regras de segurança que impedem o upload de arquivos acima de um certo tamanho.
Na primeira etapa, há a instalação de um dropper (um pequeno arquivo cuja única função é recuperar um arquivo maior de uma locação remota). Por sua vez, a segunda etapa consiste no download e na instalação do script de backdoor no servidor.
Nessa perspectiva, é importante dizer que a falta de atualização de softwares (em computadores e aplicativos) pode abrir espaço para falhas na segurança, que podem ser aproveitadas para a instalação de backdoors. Uma outra técnica comum de invasão é o e-mail, que infecta os dispositivos através de mensagens maliciosas contendo malware.
Caso o processo seja bem-sucedido, os hackers podem se utilizar dos backdoors para instalar uma grande variedade de ameaças no computador, a exemplo de ransomware, spyware, cryptojacking e ataques DDoS.
Como evitar o ataque de um malware backdoor?
Para implementar medidas de proteção eficazes contra o malware, primeiro é preciso considerar a separação dos backdoors em dois tipos: aqueles que já vêm instalados nos sistemas/aplicativos (built-in) e os que tentam se instalar posteriormente, em especial através de trojans.
A má notícia é que os já instalados são muito mais difíceis de detectar e combater. Nessa situação, é preciso ter confiança na comunidade de usuários/fabricantes e nas revisões realizadas de forma periódica.
Por outro lado, o outro tipo de malware backdoor é relativamente simples de combater, tendo em vista que há boas práticas e soluções eficientes de segurança para evitá-lo. Confira:
- Monitore a atividade da rede: quaisquer picos anormais nos dados podem indicar que alguém está utilizando um backdoor no seu sistema. Portanto, é fundamental utilizar firewalls e ferramentas de rastreio para acompanhar as atividades de todas as aplicações utilizadas;
- Invista uma boa solução de cibersegurança: soluções anti-malware efetivas (a exemplo de antivírus e firewalls) são capazes de impedir que os cibercriminosos implementem trojans e outras ameaças para explorar as vulnerabilidades de backdoor;
- Aposte em senhas fortes: senhas fáceis e repetidas, dentro e fora das organizações, são verdadeiras criadoras indiretas de backdoors. Além de investir em uma senha para cada aplicação, é importante habilitar autenticação multifator;
- Cuidado ao escolher aplicações e plugins confiáveis: como mencionamos, um dos métodos mais frequentes para a instalação de backdoors é o uso de apps e plugins aparentemente legítimos. A melhor defesa, nesse sentido, é garantir a reputação confiável e verificada das aplicações utilizadas em todos os dispositivos, investindo também em treinamentos nas melhores práticas de cibersegurança.
E aí, gostou do conteúdo? Esperamos que tenha esclarecido suas dúvidas sobre o malware backdoor! Para saber mais sobre como adotar uma postura proativa em segurança da informação, confira as vantagens e as aplicações do security analytics!
