Backdoor: Was ist das?
Zum Teil werden sie freiwillig installiert, um Remotebenutzern Zugriff zu gewähren. Wenn der Begriff jedoch für Malware verwendet wird, sind Backdoor-Viren solche, mit denen Hacker versuchen, unentdeckt auf die Funktionen eines Computers zuzugreifen und im Hintergrund zu operieren. Diese Viren sind in Wahrheit eine Kombination aus verschiedenen Sicherheitsbedrohungen, von denen sich einige fernsteuern lassen.
Wie verbreiten sie sich?
Backdoors werden häufig über andere schädliche Programme wie Trojaner, Viren oder auch spyware auf Systeme eingeführt. Sie erhalten Zugriff ohne Wissen der Administratoren und infizieren dann Sitzungen aller Benutzer des kompromittierten Netzwerks. Manchmal werden Bedrohungen von Benutzern mit Berechtigungen platziert, um sich zu einem späteren Zeitpunkt Zugriff zu verschaffen.
Einige Backdoors sind in bestimmte Anwendungen integriert. Teilweise weisen legitime Programme Schwachstellen auf, die nicht dokumentiert sind und Remotezugriff ermöglichen. In solchen Fällen benötigen Angreifer noch ein Mittel, um mit dem kompromittierten Computer in Kontakt zu treten und sich unbefugten Zugriff auf das System zu verschaffen.
Benutzer selbst können versehentlich Backdoors auf ihren Computern installieren. Ein Backdoor-Virus kann an Filesharing-Anwendungen oder E-Mails angehängt werden. Es kommen ähnliche Techniken wie bei Scareware und Ransomware zum Einsatz.
Manche Backdoors nutzen bestimmte Sicherheitslücken in Remotesystemen, entweder auf Computern oder im Netzwerk.
Welchen Schaden können sie anrichten?
Viren, die durch Backdoors eindringen, haben häufig zusätzliche zerstörerische Fähigkeiten, z. B. zum Erstellen von Screenshots, Ausführen von Keyloggern oder Infizieren und Verschlüsseln von Dateien. Über eine Backdoor kann ein Angreifer beliebige Dateien erstellen, löschen, umbenennen, bearbeiten oder kopieren, Befehle ausführen, Systemeinstellungen ändern, Windows-Registrierungseinträge löschen, Anwendungen ausführen, steuern und beenden oder neue Malware installieren.
Außerdem können Angreifer die Kontrolle über Hardwaregeräte übernehmen, verwandte Einstellungen ändern, einen Computer ohne Erlaubnis neu starten oder ausschalten und vertrauliche Daten, Kennwörter, Anmeldedaten, private Informationen und andere wichtige Dokumente stehlen.
Einige Backdoor-Angriffe profitieren davon, dass Bewegungen der Benutzer im Web und Surfgewohnheiten aufgezeichnet oder Dateien infiziert und das System sowie Anwendungen beschädigt werden.
Beispiele für Backdoor-Angriffe
Ein gutes Beispiel ist Sticky Attacks, ein Angriff, der 2017 von PandaLabs entdeckt wurde. In diesem Fall nutzten die Angreifer einen Brute-Force-Angriff auf einen Server mit aktiviertem Remotedesktopprotokoll (RDP) und schafften es, die Anmeldeinformationen für den Zugriff auf den Computer zu erlangen. Anschließend verwendeten die Cyberkriminellen Betriebssystemskripte und -tools, um unentdeckt zu bleiben und eine einfache Backdoor zu installieren.
Auch wenn Opfer bemerken, dass sie kompromittiert wurden, und die Kennwörter für den Remotedesktop ändern, können Angreifer mithilfe von Sticky Keys auf den Computer zugreifen, ohne die Anmeldeinformationen neu eingeben zu müssen.
Ein weiteres aktuelles Beispiel ist DoublePulsar, ein von der amerikanischen National Security Agency (NSA) entwickeltes Tool zur Implementierung von Backdoors, das von der Hackergruppe Shadow Brokers Anfang 2017 geleakt und eingesetzt wurde. Es wird behauptet, dass dieses Tool in nur wenigen Wochen mehr als 200.000 Microsoft Windows-Computer infiziert hat und im Mai 2017 zusammen mit EternalBlue beim WannaCry-Angriff zum Einsatz kam.
