Tecnicas de criação de backdoor
CAPA
Passagem secreta
As backdoors oferecem aos invasores acesso irrestrito a um sistema zumbi. Para impedir que esse tipo de ameaça se instale, leia esta análise das ferramentas usadas pelos criminosos. por Amir Alsbih
A
pós efetuar um ataque com sucesso, um cracker não vai simplesmente relaxar e ver o que acontece. Explorar uma vulnerabilidade e obter acesso de root é apenas metade da história. Geralmente o invasor prefere continuar explorando a máquina, desferindo ataques a partir dela. Para facilitar, ele normalmente tenta manipulála após obter acesso inicial. O processo de invasão inclui cinco fases:
➧ O agressor explora uma falha de segurança local ou de rede para obter o controle do computador da vítima;
➧ Depois aumenta seus privilégios para ganhar status de administrador. Isso é necessário para que ele consiga apagar arquivos de registro ou instalar rootkits [1];
➧ Em seguida apaga todos os vestígios de seu ataque manipulando arquivos de registro, ou wtmp e utmp, e limpando o arquivo de histórico;
➧ Então instala rootkits que ajudam a manter o ataque oculto. Graças ao rootkit, os administradores da máquina comprometida perdem a capacidade de visualizar os processos, conexões e arquivos do invasor;
➧ Enfim, o último passo é instalar uma backdoor para facilitar o acesso. Ela mantém a máquina firmemente sob o domínio do agressor, mesmo que a brecha de segurança que permitiu o ataque já tenha sido corrigida.
As primeiras etapas desse ataque receberam atenção considerável, mas costuma ser difícil encontrar informações sobre a fase final (e crucial) da backdoor. O que significa um invasor instalar uma backdoor? Este artigo
34
examina técnicas para se construir uma porta de entrada para um sistema comprometido.
Processo
Após limpar o log e implementar utilitários de um rootkit com fins de ocultação, o agressor já pode prosseguir para o último passo: instalar uma backdoor.