Was ist Backdoor?
October 06, 2023
Backdoors sind eine große Unterart von Viren, die in den letzten 10 Jahren für verschiedene Ziele verwendet wurden. Natürlich tauchten die Malware-Beispiele, die angeblich die gleichen Funktionen wie Backdoors hatten, noch früher auf, aber niemand hat sie genau als Backdoors klassifiziert. Backdoors sind von Natur aus universelle Malware, die sich von Fall zu Fall unterschiedlich verhalten kann. Daher hier die Erklärung, warum ein einzelner Virus so allmächtig sein kann.
Der Backdoor-Virus integriert sich intensiv in das System des Opfers. Im Gegensatz zu den meisten anderen Viren schleusen sich Backdoors als Treiber in den Computer ein. Gemäß dem hierarchischen Ringsystem befinden sich Treiber auf Ring 2 und werden mit einer höheren Priorität als das Betriebssystem ausgeführt. Alles, was auf Ring 2 läuft, kann alle Prozesse steuern, die sich auf Ring 3 und Ring 4 befinden, wo OS und installierte Software laufen. Die Integration eines Virus auf einer so tiefen Ebene bedeutet daher, die Kontrolle über das gesamte System zu erlangen. Backdoors sind nur ein Beispiel für ein Dutzend anderer Viren die diese Fähigkeit ausnutzen. Ein perfektes Beispiel für eine Riskware, die sich auf Treiberebene integriert, ist ein Mimikatz-Hacktool.
Was können Backdoors also tun?
Haben Sie jemals gesehen, dass sich Ihr Mauszeiger ohne Ihren Befehl bewegt? Sie haben dies getan, während Sie dem Systemadministrator erlaubt haben, Ihren Computer über ein Fernzugriffstool einzurichten. Stellen Sie sich dann vor, dass sich jemand ohne Ihre Absicht mit Ihrem PC verbinden und tun kann, was er will. Hacker können jede auf Ihrem Computer gespeicherte Datei abrufen, jeden Prozess anhalten und starten - er kann sich wie ein PC-Besitzer fühlen. In einigen Fällen können Cyberkriminelle Ihren PC sogar aus der Ferne starten, sodass Sie ihn nicht einmal selbst einschalten müssen.
Daher können Betrüger, die den Virus kontrollieren, Ihren Computer aus der Ferne verwalten, wie sie wollen. Es gibt kein genaues Szenario, wie die Situation sein wird. Backdoors, insbesondere die leichtgewichtigen Varianten von Backdoors, werden häufig verwendet, um das Botnetz zu entfalten. Computer, die mit dem Backdoor-Virus infiziert sind, laufen in einem sogenannten „Zombie-Modus“: Sie werden wie gewohnt von ihren wirklichen Besitzern verwendet, bis sie einen Befehl vom Kontrollserver erhalten. Dann starten diese Maschinen Spamming oder DDoS-Angriffe, wobei sie das Konto ihres rechtmäßigen Besitzers als Tarnung verwenden. Sie werden sicherlich überrascht sein, dass Sie auf Websites oder Online-Foren gebannt werden, die Sie noch nie besucht haben.
Die Fähigkeit, einen Computer zu verwenden, ermöglicht es Ihnen, die gewünschten Programme zu installieren. Daher verwenden Cyber-Einbrecher häufig die derzeit aktive Backdoor, um verschiedene andere Malware in Ihr System einzuschleusen. Das bedeutet nicht, dass jeder Backdoor-Fall zu einer weiteren Vireninjektion führt, aber die Möglichkeit besteht immer.
Backdoor-Angriffe im Jahr 2024:
- XZ Utils Backdoor Discovered, Threating Linux Servers
- BianLian Exploits TeamCity Vulnerability to Deploy Backdoors
- LitterDrifter - Russia’s USB Worm Targeting Ukrainian Entities
- Mirai variant "Pandora" infects Android TV for DDoS attacks.
- Gozi and IcedID Trojans Spread via Malvertising
- FIN8 Updated Sardonic Backdoor to Deliver Noberus Ransomware
- Trojanized TeamViewer Installer Spreads njRAT
- TeamTNT Group Returns with Silent Bob Campaign
Wie funktioniert der Backdoor-Virus?
Wie Sie bereits feststellen können, haben alle Backdoors ähnliche Details mit Remote-Verwaltungstools. Genau, einige der illegalen Remote-Tools werden von Antivirenprogrammen als Backdoor erkannt. Sie gewähren den Personen, die sie kontrollieren, Zugriff, tun dies jedoch anders als Remote-Administrationstools. Malware verwendet Exploits in verschiedenen Systemelementen, um diese Aktion auszuführen. Leider ist Windows voller verschiedener Sicherheitslücken, sodass Gauner in Ihr System eindringen können, selbst wenn Sie die letzten Sicherheitspatches installiert haben.
Nach der Injektion passt die Backdoor das System an, um die „Umgebung“ für die zukünftige Nutzung angenehmer zu gestalten. Zu diesem Zweck fügt der Virus eine bestimmte Verbindung hinzu, indem er den Befehl über die Befehlszeile sendet, ändert Registrierungsschlüssel und modifiziert die Sicherheitseinstellungen. Während der erste Akt recht einfach zu verstehen ist, sind Registrierungsschlüsseländerungen und Sicherheitsänderungen Dinge, die erklärt werden müssen.
Es gibt eine veraltete Funktion in Windows, mit der Sie die Registrierung vom Remote-Computer aus bearbeiten können. Diese Fähigkeit ist eine perfekte Quelle für Ausbeutung, sodass Betrüger selten vergessen, sie einzuschalten. Die Remote-Bearbeitung der Registrierung ermöglicht es den Betrügern, ihre Registrierungsschlüssel hinzuzufügen und die vorhandenen zu bearbeiten, sogar ohne in den Fernzugriffsmodus zu wechseln - sie können eine Eingabeaufforderung verwenden.
Sicherheit ist einer der am stärksten angreifbaren Teile von Windows. Während die meisten Antivirenprogramme nur Apps sind, ist Microsoft Defender ein tief integrierter Bestandteil des Systems. Das Betriebssystem verwaltet es durch die in Gruppenrichtlinien festgelegten Regeln. Er kann durch diese Einstellungen mit mehreren Klicks deaktiviert werden, und Virenersteller wissen um diese Fähigkeit. Malware hindert den Defender daran, den Alarm zu verhindern – ein eingebettetes Antivirus verfügt über recht gute Erkennungsdatenbanken, obwohl es äußerst unzuverlässig ist. Eines Tages stellen Sie vielleicht fest, dass Ihr Defender „schläft“ und nichts ihn aufwecken kann.
Kann ich den Backdoor-Virus selbst erkennen?
Sie werden kaum verstehen, ob Ihr Computer infiziert ist, wenn die Backdoor gut entworfen und richtig verwendet wird. Die einzige Chance besteht, wenn sich die Kriminellen, die den Virus verwalten, mit Ihrem PC verbinden und Aktionen starten. Sie werden sehen, wie sich die Konsolenfenster chaotisch öffnen, sich der Zeiger bewegt und Apps ohne Ihre Absicht geöffnet werden. In den meisten Fällen warten Betrüger jedoch eine Woche, bevor sie einen frisch infizierten Computer für ihre Zwecke verwenden. Durch diesen Begriff sammeln sie Informationen über die Aktivitätsstunden des Benutzers, dem dieser PC gehört.
Wenn wir jedoch über die Backdooren sprechen, die den PC des Opfers in das Botnet einfügen, werden Sie keine Symptome sehen. Diese Viren sind heimlich genug, um gleichzeitig mit der üblichen Aktivität zu arbeiten. Das einzige Anzeichen, das Sie erkennen werden, ist wahrscheinlich eine Verlangsamung des PCs. Nichtsdestotrotz schenken die meisten Benutzer der Verlangsamung nicht viel Aufmerksamkeit - sie werden wahrscheinlich Windows die Schuld geben.
Der beste Weg, einen solchen unvorhersehbaren Virus zu erkennen, ist die Verwendung von Anti-Malware-Software. Beispiele wie Microsoft Defender passen aus den genannten Gründen nicht. Das effektive Erkennen von Backdoor-Viren ist jedoch eine schwierige Aufgabe, und nicht jede Antivirenlösung ist dafür geeignet. Um den besten Schutz zu erhalten, benötigen Sie wahrscheinlich einen heuristischen Erkennungsmechanismus in Ihrem Sicherheitstool und erhalten so oft wie möglich Updates für Erkennungsdatenbanken. GridinSoft Anti-Malware kann Ihnen beide Privilegien bieten: seine Datenbanken werden stündlich aktualisiert und es verfügt über eine On-Run-Schutzfunktion, die den heuristischen Mechanismus verwendet, um Malware zu erkennen.