Was ist ein Backdoor-Angriff?

Topics DevSecOps Backdoor Attack

Definition

Eine Backdoor-Attacke (Angriff durch eine Hintertür) ist eine Technik, die Bedrohungsakteure nutzen, um einen versteckten Einstiegspunkt in einer Anwendung oder Umgebung zu schaffen, in der Regel durch das Einschleusen von Malware. Mit dieser Methode können Angreifer dauerhaften Fernzugriff auf ein System erlangen, den sie dann nutzen können, um den Angriff zu eskalieren, Daten zu exfiltrieren oder andere bösartige Aktivitäten durchzuführen.

Überblick über Backdoor-Attacken

Für betroffene Unternehmen sind alle Arten von Verstößen gegen die Cybersicherheit negativ. Aber besonders schädlich wird es, wenn Angreifer ohne ihr Wissen in ihre Systeme eindringen.
Genau das geschieht bei einem Backdoor-Angriff. Bei dieser Technik nutzen Bedrohungsakteure einen versteckten Zugangspunkt – den sie in der Regel für sich selbst schaffen, indem sie Malware in eine Anwendung oder auf einem Server einschleusen -, über den sie dann kontinuierlich in ein System eindringen können. Dadurch können sie dann weitere Angriffe durchführen, oft ohne dass das Unternehmen, in das eingedrungen wurde, dies bemerkt.
Da Backdoor-Angriffe zu dauerhaften Sicherheitsverletzungen werden können, die nur schwer zu erkennen sind, ist die Abwehr dieser Angriffe entscheidend. Hier erfahren Sie, wie Backdoor-Angriffe ablaufen und wie man Hintertüren vermeidet bzw. erkennt, wenn sie doch auftreten.

Das Ziel von Cyber-Angriffen durch die Hintertür

Aus der Sicht eines Angreifers bieten Backdoor-Angriffe zwei entscheidende Vorteile.

Zum einen ermöglichen sie den Zugriff, ohne dass Angreifer einen Weg finden müssen, um auf ein System zuzugreifen oder es zu kontrollieren, ohne die Standard-Zugriffskontrollen zu umgehen. Bei robusten Applikationen, die Methoden wie eine Multi-Faktor-Authentifizierung (MFA) verwenden, um unbefugten Zugriff zu verhindern, kann die Umgehung solcher Kontrollen nämlich schwierig sein. Eine Hintertür dagegen bietet eine Möglichkeit, auf das System zuzugreifen, bei der die standardmäßige Authentifizierung komplett umgegangen werden kann .

Zweitens sind Backdoor-Angriffe sehr schwer zu erkennen, eben auch weil sie keine standardmäßigen Zugriffskontrollen umfassen. Häufig werden nur Logs von Events der  standardmäßigen Authentifizierung erhoben, so dass festgestellt werden kann, wer sich von wo und zu welchem Zeitpunkt angemeldet hat. Mit diesen Infos können dann ungewöhnliche Zugriffsmuster erkannt werden, die auf einen Angriff hindeuten. Weil es bei einem Backdoor-Angriff, bei denen die Angreifer durch eine Hintertür in das System kommen, diese Art von Authentifizierungsdaten gar nicht zur Verfügung stehen, hilft eine Analyse dieser art von Daten auch wenig gegen eine Backdoor-Attacke.

Risiken durch Backdoor-Attacken

Die bislang gravierendste Backdoor-Attacke ist wohl der Angriff auf die Software-Lieferkette von SolarWinds. Bei diesem Vorfall schleusten die Angreifer bösartigen Code in ein beliebtes Software- Monitoring-Tool ein. Der Code schuf eine Hintertür, die es den Angreifern ermöglichte, auf die Systeme zahlreicher Unternehmen zuzugreifen, die die Software verwenden. In diesem Fall schadete der Angriff also nicht nur SolarWinds, sondern auch Tausenden seiner Kunden. Die finanziellen Folgen des Angriffs beliefen sich auf mindestens 18 Millionen US-Dollar – und das waren nur die Kosten für SolarWinds. Die finanziellen Auswirkungen für die Kunden von SolarWinds sind in dieser Zahl nicht enthalten.

Der SolarWinds-Angriff, der im Jahr 2019 begann, lenkte die breitere Aufmerksamkeit auf die Notwendigkeit, die Software-Lieferkette zu sichern, trotzdem bleiben Backdoor-Angriffe eine weit verbreitete Bedrohung. Erst vor kurzem fand ein größerer Backdoor-Angriff auf XZ utils statt, ein beliebtes Open-Source-Softwarepaket, das standardmäßig auf vielen Linux-Systemen installiert ist. Auch in diesem Fall verschaffte eine einzige Backdoor den Angreifern Zugang zu den Systemen einer Vielzahl von Unternehmen.

Unterm Strich heißt das: Trotz des weit reichenden Bewusstseins für die Gefahren von Backdoor-Angriffen stellen diese nach wie vor eine ernsthafte Bedrohung dar, und zwar nicht nur in Fällen, in denen Angreifer bösartigen Code direkt in die Codebasen eines Unternehmens einschleusen, sondern auch aufgrund von Sicherheitsproblemen in der Software-Lieferkette, die zu einem Vektor für die Verbreitung der Backdoors in den IT- Systemen von Unternehmen werden kann, die Software von Drittanbietern verwenden.

Wie funktionieren Backdoor-Angriffe?

Backdoor-Angriffe umfassen in der Regel die folgenden Schritte:

  1. Implementieren einer Hintertür: Zunächst erstellen oder entdecken die Angreifer eine Hintertür in einem Softwaresystem. In der Regel geschieht dies, weil die Angreifer absichtlich bösartigen Code in ein System einschleusen. In einigen Fällen finden sie jedoch einfach eine bereits vorhandene Backdoor und nutzen sie aus, z. B. einen Fernzugriffspunkt, den ein Hersteller zu Wartungszwecken eingerichtet hat und den er geheim halten wollte.
  2. Zugang erlangen: Über die Hintertür greifen die Angreifer auf das System zu, ohne dass ihre Aktivitäten durch den Standard-Authentifizierungsrahmen des Systems verfolgt werden können.
  3. Ausdehnung des Angriffs: Sobald die Angreifer in das System eingedrungen sind, können sie sensible Daten stehlen oder zerstören oder zusätzliche Malware einsetzen, die es ihnen ermöglicht, den Angriff auszuweiten (indem sie beispielsweise andere Anwendungen auf demselben Server oder im selben Netzwerk angreifen).

Arten von Backdoor-Angriffen

Broadly speaking, backdoor attacks can be divided into three main categories.

#1. Backdoor Trojaner

Die gängigste Form des Backdoor-Angriffs ist die Verwendung von Trojanern, d. h. Schadsoftware, die so konzipiert ist, dass sie legitim erscheint. Wenn beispielsweise Sicherheitsmängel im Softwareentwicklungszyklus (SDLC) den Quellcode für unbefugten Zugriff offenlegen, könnten Bedrohungsakteure einen Trojaner in eine Anwendung einschleusen und dann den Trojaner verwenden, um sich aus der Ferne mit der Anwendung zu verbinden, sobald sie läuft.

#2. Rootkits

Rootkits ähneln Trojanern insofern, als es sich um bösartige Software handelt, die in ein legitimes System eingeschleust werden kann. Während Trojaner jedoch als normale „Userspace“-Anwendungen ausgeführt werden, sind Rootkits in der Regel in das Betriebssystem eines Geräts eingebettet (oder genauer gesagt in dessen Kernel). Das bedeutet, dass Angreifer mit Rootkits keine Hintertür über eine bestimmte Anwendung oder einen bestimmten Dienst einrichten können, sondern eine Hintertür auf Ebene des Betriebssystems bekommen.

Weil Rootkits in das Betriebssystem eingebettet sind und in der Regel aktiv werden, sobald ein System hochgefahren ist, sind sie besonders schwer zu entdecken.

#3. Backdoors in Hardware

Bedrohungsakteure können aber nicht nur mit Hilfe von Software eine Hintertür schaffen, sondern über die Hardware eine Hintertür erstellen oder finden – einen Remote-Zugangspunkt, der über einen in ein Hardware-Modul (z. B. einen Server oder Netzwerk-Router) eingebetteten Code ermöglicht wird.

Einige Hardware-Backdoors entstehen, weil es Bedrohungsakteuren gelingt, den Herstellungsprozess der Hardware-Komponente zu infiltrieren und bösartigen Code in die Hardware zu schleusen, bevor diese ausgeliefert wird oder sie schaffen eine Backdoor durch eine  Modifizierung der Firmware eines Geräts.
Es kann aber auch sein, dass der Hardwarehersteller selbst absichtlich eine Hintertür eingebaut, um diese für Support- oder Wartungszwecke zu nutzen, die dann aber auch von Hackern entdeckt und missbraucht wird.

Wie man Backdoor-Angriffe entdeckt

Weil Backdoor- Attacken auf unterschiedliche Art und Weise erfolgen können, gibt es keine Patentlösung, um jede Backdoor-Attacke zu erkennen. Die beste Methode zur Erkennung eines Backdoor-Angriffs besteht darin, eine Reihe unterschiedlicher Techniken anzuwenden, darunter:

  • Tracking der Auslastung von Ressourcen: Ungewöhnliche Spitzen in CPU- oder Speicherauslastung von Anwendungen oder der Infrastruktur können ein Zeichen dafür sein, dass ein Angreifer über eine Hintertür in Ihr System eingedrungen ist.
  • Identifizierung ungewöhnlicher Prozesse: Dabei kann es sich entweder um die Backdoor selbst handeln oder um einen Hinweis darauf, dass die Angreifer versuchen Malware zu installieren, nachdem sie über die Backdoor Zugang erhalten haben.
  • Monitoring  der Netzwerkaktivität:  Untypische Verbindungen, wie z. B. ein anhaltender Datenfluss zwischen einem unbekannten Endpunkt und einer Anwendung, lassen auf die Existenz einer Hintertür schließen.

Best Practices um Backdoor-Attacken zu verhindern und zu entschärfen

Die oben beschriebenen Techniken sind hilfreich, um Backdoor-Angriffe zu erkennen. Noch besser als die Erkennung ist es jedoch, solche Angriffe mit Hilfe folgender Methoden von vornherein zu verhindern:

  • Überwachung der Applikation: Während des Software Lebenszyklus sollten Teams Anwendungen und Code-Repositories auf ungewöhnliche Änderungen überwachen, die auf Versuche von Angreifern hindeuten könnten, bösartigen Quellcode in eine Anwendung einzuschleusen.
  • SCA-Scans nutzen: Durch Software Composition Analysis (SCA Scans) lässt sich die Herkunft von Drittanbietersoftware innerhalb einer Anwendung überprüfen. Auf diese Weise lässt sich auch sicherstellen, dass der Code, den Sie bereitstellen, keine Malware enthält.
  • Software Artefakt Management: Eine sorgfältige Verwaltung aller Softwarepakete und -artefakte (z. B. durch die Verwendung von Prüfsummen zur Nachverfolgung von Binärdateien) verhindert, dass Angreifer Ihre legitimen Applikationen durch verseuchte Binärdateien ersetzen, die Backdoors enthalten.
  • Hardware-Monitoring: Ein Check der Herkunft Ihrer Hardwarekomponenten und ein sicheres Setup physischer Geräte verhindern die Installation bösartiger Firmware, mit der ein Hardware-Backdoor-Angriff gestartet werden kann.
  • Blockieren ungenutzter Netzwerk-Ports und -Services: In manchen Fällen sind Angriffer darauf angewiesen, dass bestimmte Ports oder Dienste offen sind, so dass deren Sperrung zusätzlichen Schutz bietet.
  • Kernel Hardening: Kernel-Hardening-Frameworks wie SELinux bieten ebenfalls einen gewissen Schutz vor Backdoor-Angriffen. Auch wenn solche Kernel-Patches Backdoor-Angriffe nicht vollständig verhindern können, können sie den potenziellen Schaden mindern, da sie Aktionen und Ressourcen einschränken, die böswilligen Benutzern zur Verfügung stehen, sobald sie sich in einem System befinden.

Abwehr von Backdoor-Attacken mit JFrog

Die JFrog Software Supply Chain Plattform bietet den Überblick, den Unternehmen brauchen, um Backdoor-Angriffen einen Schritt voraus zu sein. Durch die Möglichkeit Softwarepakete und Artefakte über alle Phasen des SDLC mit Artifactory sicher zu verwalten und Anwendungen mittels Xray zu scannen, können Sie sicherstellen, dass Ihr Code tatsächlich der Code ist, der er sein soll – und dass er nicht von Angreifern manipuliert wurde, die es auf eine Backdoor abgesehen haben.

In Kombination mit anderen Techniken zur Abwehr von Hintertüren, wie z. B. Laufzeit-Überwachung, gibt Ihnen JFrog die Gewissheit, dass Ihre Software-Systeme frei von unbeabsichtigten Hintertüren sind.

Mehr zum Thema DevSecOps

JFrog Xray

Eine universelle Software Composition Analysis-Lösung, für die proaktive Identifizierung von Schwachstellen.

JFrog Xray entdecken

JFrog Curation

Verwenden Sie Open-Source-Software ohne Bauchweh, indem Sie nur zugelassene Komponenten verwenden und schädliche Pakete blockieren.

JFrog Curation entdecken

JFrog Advanced Security

Eine einheitliche Sicherheitslösung, die Software-Artefakte vor Bedrohungen schützt, die von Einzeltools nicht erkannt werden können.

Jfrog Advanced Security entdecken

Release Fast Or Die