Backdoor là gì? Biện pháp phát hiện và ngăn chặn Backdoor hiệu quả (2024)

Chắc hẳn khi tìm hiểu về các mối đe doạ bảo mật hệ thống bạn sẽ gặp thuật ngữ Backdoor, đây là một mối đe doạ đang gia tăng và tạo ra sự đáng lo ngại cho bất kì quản trị viên hệ thống nào. Vậy nó là gì? Cùng đến với bài viết này và nắm được biện pháp phát hiện và ngăn chặn backdooor hiệu quả.

Mục lục

1. Backdoor là gì?

Backdoor là một phần mềm độc hại giúp xâm nhập hệ thống, tránh các quy trình xác thực bình thường để có thể truy cập trái phép vào hệ thống. Điều này cho phép kẻ tấn công kiểm soát tài nguyên của hệ thống, thực hiện cài đặt các loại phần mềm độc hại khác nhau.

2. Cách Backdoor hoạt động

Backdoor Malware thường được phân loại như một Trojan. Trojan là một phần mềm độc hại với mục đích cài đặt malware, đánh cắp dữ liệu hoặc mở một backdoor trong hệ thống của bạn nhưng được giấu đi và không gây sự chú ý cho người dùng.

Thông thường, những cách phổ biến nhất để có thể xâm nhập vào hệ thống là sử dụng phần mềm độc hại hoặc sử dụng phần mềm/phần cứng backdoor. Chúng xuất hiện dưới nhiều hình thức, có thể như là một tệp đính kèm trong email hoặc file tải xuống.

3. Phân loại Backdoor

Các loại phần mềm độc hại (Malware) được sử dụng cho các cuộc tấn công Backdoor bao gồm:

Cryptojacking xảy ra khi tài nguyên máy tính của nạn nhân bị chiếm đoạt để đào tiền điện tử. Các cuộc tấn công cryptojacking nhắm vào mọi loại thiết bị và hệ thống.
Cuộc tấn công DoS (tấn công từ chối dịch vụ) quá tải máy chủ, hệ thống và mạng với lưu lượng trái phép để người dùng hợp pháp không thể truy cập vào chúng.
Ransomware là phần mềm độc hại ngăn người dùng truy cập vào một hệ thống và các tệp tin chứa trong nó. Kẻ tấn công thường yêu cầu thanh toán một khoản tiền chuộc để mở khóa tài nguyên.
Spyware là phần mềm độc hại ăn cắp thông tin nhạy cảm và truyền nó cho người dùng khác mà không được sự đồng ý của chủ sở hữu thông tin. Nó có thể ăn cắp số thẻ tín dụng, dữ liệu đăng nhập tài khoản và thông tin vị trí. Keylogger là một hình thức của spyware được sử dụng để ghi lại các phím được nhấn bởi người dùng và ăn cắp mật khẩu và các dữ liệu nhạy cảm khác.
Trojan horse là một chương trình độc hại thường được cài đặt qua một lối sau và xuất hiện dưới hình thức vô hại. Một Trojan horse lối sau bao gồm một lối sau cho phép kiểm soát quản trị từ xa của một hệ thống mục tiêu. (Đọc thêm: Trojan Horse: Sự phá hoại trong im lặng)

Các phương thức tấn công đa dạng được sử dụng để cài đặt lối sau, như các phương thức sau:

Học liên kết (Federated learning): Phương pháp phân tán này của học máy đào tạo mô hình tại các thiết bị ngoại vi (edge devices) trong mạng, thay vì thu thập dữ liệu và đào tạo tại một vị trí tập trung. Các thiết bị ngoại vi có khả năng giao tiếp hạn chế với máy chủ tập trung. Điều này cho phép các tác nhân đe dọa làm nhiễm một bộ dữ liệu đào tạo và nhúng lối sau vào máy chủ tập trung khi nó liên lạc với thiết bị ngoại vi.
Phần cứng (Hardware): Kẻ tấn công sử dụng các vi mạch, bộ xử lý, ổ cứng và thiết bị USB đã sửa đổi để tạo ra các lối sau.
Internet of Things (IoT): Các thành phần của hệ thống IoT, chẳng hạn như camera an ninh, máy bay không người lái và bộ điều chỉnh nhiệt thông minh, có thể hoạt động như các lối sau và trở thành các lỗ hổng bảo mật. Các thiết bị IoT thường đi kèm với mật khẩu mặc định, chúng có vai trò như một lối sau. Người quản trị thường không thay đổi chúng và hacker có thể dễ dàng đoán được chúng.
Island hopping: Các cuộc tấn công này nhắm vào các đối tác kinh doanh của tổ chức để có quyền truy cập trái phép vào tổ chức lớn hơn đang được mục tiêu. Chuỗi cung ứng có thể bị đe dọa thông qua việc sử dụng island hopping.
Lừa đảo (Phishing): Các email có vẻ hợp pháp được sử dụng để lừa người dùng cung cấp thông tin nhạy cảm cho hacker và có thể được sử dụng để cài đặt phần mềm độc hại chứa lối sau.
Steganography: Phần mềm độc hại được ẩn trong tệp hình ảnh bitmap. Các tệp này thông thường không được coi là mối đe dọa bảo mật, nhưng steganography biến chúng thành một mối đe dọa.

4. Những cuộc tấn công Backdoor nổi tiếng

Có một số cuộc tấn công Backdoor nổi bật trong những năm gần đây, bao gồm các sự kiện sau đây:

SolarWinds: Vào cuối năm 2020, công ty bảo mật mạng FireEye đã phát hiện ra một backdoor nguy hiểm được ẩn trong các bản cập nhật cho phần mềm quản lý mạng Orion của SolarWinds. Cơ quan An ninh Mạng và Cơ sở hạ tầng của Hoa Kỳ cho biết cuộc tấn công đã bắt đầu từ tháng 3 năm 2020 và không phải tất cả các tổ chức bị ảnh hưởng đều bị kẻ tấn công thực sự mục tiêu để tiến hành các hành động tiếp theo.

Vào cuối năm 2021, các nhà nghiên cứu bảo mật của Microsoft đã xác định backdoor khai thác, có tên FoggyWeb, mà cho rằng các kẻ tấn công của SolarWinds đã tạo ra. Nó cho phép họ truy cập máy chủ Active Directory của SolarWinds và đánh cắp thông tin đăng nhập của người dùng.

Zyxel: Vào đầu năm 2021, một công ty bảo mật mạng Hà Lan đã phát hiện ra một tài khoản ẩn có backdoor được lập trình cứng trong các tường lửa và bộ điều khiển điểm truy cập (AP) của Zyxel. Tài khoản ẩn cho phép các kẻ tấn công cung cấp cho họ quyền quản trị, bao gồm khả năng thay đổi cài đặt tường lửa và chặn lưu lượng. Backdoor này đã lợi dụng một lỗ hổng trong thông tin đăng nhập được sử dụng để cập nhật firmware của tường lửa và bộ điều khiển AP.
Back Orifice: Nhóm hacker Cult of the Dead Cow đã tạo ra phần mềm độc hại này vào năm 1998 để tận dụng các lỗ hổng trong hệ điều hành Windows. Nó đã cài đặt lối sau cho phép điều khiển từ xa các máy tính chạy Windows.

Backdoor không luôn dựa vào phần mềm và không phải lúc nào cũng được tạo ra bởi những hacker mũ đen. Vào năm 2013, tờ báo Đức Der Spiegel đã báo cáo rằng đơn vị Tailored Access Operations của NSA (Cơ quan Thao tác theo Yêu cầu) duy trì một danh mục các lối sau để cài đặt trên các tường lửa, bộ định tuyến và các thiết bị khác được sử dụng ở nước ngoài. Cơ quan NSA cũng được cho là tích hợp khả năng backdoor vào các thành phần phần cứng cá nhân, chẳng hạn như ổ đĩa cứng và cáp USB.

5. Một số biện pháp phát hiện và ngăn chặn Backdoor

Backdoor được thiết kế để ẩn khỏi hầu hết người dùng. Chúng được ẩn bằng cách sử dụng tên giả, mã hóa mã và nhiều lớp mã hóa. Điều này làm cho việc phát hiện trở nên khó khăn. Các phương pháp phát hiện và ngăn chặn bao gồm các công cụ và chiến lược sau đây:

Kiểm tra tệp và hệ thống: Thường xuyên kiểm tra các tệp tin và hệ thống máy tính để phát hiện sự tồn tại của bất kỳ Backdoor nào.
Antimalware: Một số phần mềm chống malware có thể phát hiện và ngăn chặn việc cài đặt backdoor.
Tường lửa Firewall: Đảm bảo có một tường lửa bảo vệ mọi thiết bị trong mạng. Tường lửa ứng dụng và tường lửa ứng dụng web có thể giúp ngăn chặn các cuộc tấn công lối sau bằng cách giới hạn lưu lượng có thể chảy qua các cổng mở.
Honeypots: Các cơ chế bảo mật này thu hút các kẻ tấn công đến một mục tiêu giả mạo. Honeypots được sử dụng để bảo vệ mạng hệ thống và nghiên cứu hành vi của một kẻ tấn công.
Giám sát mạng: Các chuyên gia CNTT sử dụng một công cụ giám sát giao thức hoặc bộ phân tích mạng để kiểm tra các gói dữ liệu mạng. Lưu lượng độc hại có thể chứa chữ ký cho thấy sự hiện diện của bạckdoor và các đợt tăng lưu lượng không bình thường có thể báo hiệu về hoạt động đáng ngờ.
Tiến hành bảo mật: Các biện pháp bảo mật tiêu chuẩn và có chiến lược bảo mật mạng giúp ngăn chặn các kẻ tấn công tạo backdoor.
Allowlisting: Sử dụng danh sách allow để tránh phần mềm không tin cậy và chỉ cho phép truy cập của người dùng đáng tin cậy với xác thực đúng đắn. Hãy lựa chọn ứng dụng và plugin cẩn thận, vì tội phạm mạng thường ẩn lối sau trong các ứng dụng và plugin miễn phí.

Kết luận

Backdoor là một nguy cơ nghiêm trọng đối với bảo mật thông tin và quyền riêng tư của cá nhân và tổ chức. Việc hiểu và đối phó với Back Door là một phần quan trọng của việc duy trì một môi trường kỹ thuật số an toàn và tin cậy. Trong tương lai, nguy cơ backdoor có thể tăng lên do sự phát triển của công nghệ và mức độ kết nối mạng ngày càng phức tạp. Do đó, việc nắm bắt các biện pháp phát hiện và ngăn chặn là quan trọng để đối phó với sự trỗi dậy của các mối đe doạ này cho tương lai đối với hệ thống của bạn. Đọc thêm tại: