De 8 backdoor-technieken die cybercriminelen gebruiken om bedrijfsdata te stelen

backdoorWanneer je onbeveiligde computer aanvallen is met backdoor malware, kan je er zeker van zijn dat jouw systemen volledig kunnen worden bestuurd door iemand van buiten jouw publieke-, thuis- of bedrijfsnetwerk. In de meeste gevallen gebruiken cybercriminelen backdoors om deze computers te kunnen besturen en zo gegevens te stelen door bijvoorbeeld online conversaties te kopiëren, gesprekken op te nemen, wachtwoorden te kopiëren.
Voor IT-managers betekent dit dat cybercriminelen op deze manier kritische informatie kunnen verzamelen waarmee toegang tot het bedrijfsnetwerk verkregen kan worden. Eenmaal binnen, zetten cybercriminelen vaak een volgende stap in het uitvoeren van een gerichte aanval, namelijk het oprichten van een command-and-control systeem. Trend Micro-onderzoekers deden onderzoek naar verschillende soorten backdoor-malware en hoe deze cybercriminelen helpen hun activiteiten uit te voeren. Onderstaand een overzicht van de acht meest gebruikte technieken om jouw computer op afstand te kunnen aansturen.

  1. Backdoors communicate or “bind” with your ports
    Met het zogenaamde ‘port binding’, kunnen cybercriminelen eenvoudig uitdokteren hoe jij communiceert met jouw netwerk om je zo aan te vallen wanneer zij denken dat je het meest kwetsbaar bent.
  1. Backdoors remotely target other computers by connecting back
    Door gebruik te maken van deze ‘connect back’-techniek proberen cybercriminelen toegang krijgen tot een andere computer in het netwerk om zo een kwetsbaar proces dat draait op het netwerk aan te vallen en het eventueel te verbinden aan hun command-and-control (C&C)-server.
  1. Backdoors check for available connections and transfer files
    Vaak gebruiken aanvallers backdoors ook om beschikbare connecties te checken en Intrusion Dectection Systemen (IDS) te omzeilen. Als dit succesvol is kunnen aanvallers ook tijdelijk verbinding maken met systemen om andere dingen, zoals het verzenden van bestanden, uit te voeren.
  1. Backdoors connect to C&C information in legitimate social platforms
    In dit geval kunnen backdoors worden geprogrammeerd door ze te verbinden aan legitieme pagina’s of online opslagdiensten waar de aanvallers C&C-informatie hosten..
  1. Backdoors connect targets to attackers via common web services
    Backdoors staan erom bekend dat ze informatie rapporteren aan de aanvallers vanuit het netwerk door het verzenden van berichten door gebruik te maken van normale service-protocollen die ook worden gebruikt door bijvoorbeeld Gmail of Windows Live Messeger.
  1. Backdoors can be set to change protocols they connect to
    Backdoors kunnen zo worden geprogrammeerd dat ze de protocollen die gebruikt worden om contact te maken met de C&C-servers, kunnen aanpassen. Zoals een PlugX-variant die eerder werd gevonden. Deze variant gebruikte een UDP-protocol ipv een TCP-protocol.
  1. Backdoors use custom DNS lookup to web services to connect to C&C servers
    Een manier voor cybercriminelen om blacklisting-maatregelen te omzeilen is door het activeren van een normale DNS lookup voor web services die het verkeer doorschakelt naar het echte C&C-IP. De aanvaller kan de C&C DN blokkering omzeilen door het activeren van een dns lookup query van externe webservices en vervolgens het resultaat van deze query verbinden met de echte C&C IP.
  1. Backdoors reuse ports to listen in a network
    Backdoors die zijn ontworpen om speciale privileges van het operating system binnen te komen zorgen ervoor dat aanvallers reeds geopende poorten kan openen vanaf de aangevallen machine.

Gezien de grote diversiteit van technieken die aanvallers gebruiken voor een cyberaanval is het absoluut noodzakelijk dat IT-managers precies in de gaten houden wat er op hun netwerk gebeurt. Dat kan enerzijds door het gebruiken van de juiste technieken, maar anderzijds door de juiste expertise om precies de zwakke plekken in je systeem constant in de gaten te houden.

Meer weten? Lees dit whitepaper.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.