Backdoor é uma “porta dos fundos” que permite a um invasor acessar o sistema operacional do computador, software ou servidor sem que os protocolos de segurança detectem sua presença.

Esse recurso é usado principalmente por criminosos para o vazamento de dados sigilosos, roubo de credenciais ou ataques coordenados em servidores. No entanto, profissionais de tecnologia também podem usar o recurso para fazer manutenção de dispositivos e programas que apresentam erros complexos.

A seguir, entenda em detalhes o que é backdoor, seu funcionamento e quais são os principais tipos. Explicaremos também como se proteger caso detecte uma invasão.

O que é backdoor?

Backdoor é uma técnica que permite acessar um computador, rede, sistema operacional ou software sem precisar passar por protocolos de segurança, como criptografia ou autenticação. Esse método cria um ponto de acesso “invisível” que busca contornar módulos responsáveis pela validação de cada tentativa de acesso de um usuário.

A técnica pode ser usada por profissionais de manutenção e engenheiros de software na resolução de problemas complexos de sistemas, ou por usuários mal-intencionados que buscam invadir computadores sem autorização.

Como funciona um backdoor?

O backdoor funciona alterando códigos de registro de um software, sistema ou uma rede, permitindo a criação de um ponto de acesso remoto permanente. Esses códigos podem ser alterados pelo próprio usuário de forma involuntária, ao baixar e executar um arquivo infectado, por exemplo.

Em seguida, pelo backdoor, é feita a alteração de arquivos de configuração para que o ponto de acesso se mantenha ativo mesmo com a reinicialização do sistema operacional. O criminoso, então, se conecta remotamente à porta recém-aberta sem precisar passar por módulos de segurança ou criptografia.

Dessa forma, o invasor consegue alterar permissões do sistema operacional, garantindo privilégios de root ou administrador sem que o usuário saiba, já que o tráfego de sua conexão é mascarado por novos protocolos de rede.

Tendo acesso total, o criminoso pode instalar novos malwares, roubar dados sigilosos, manipular arquivos e até inutilizar softwares ou sistemas.

Quais são os tipos de backdoor?

É possível encontrar diferentes tipos de backdoor, tendo propósitos, métodos e objetivos diferentes. Alguns são escondidos em sites, outros em arquivos infectados, podendo enganar o sistema das seguintes formas:

• Rootkits: os rootkits atuam no kernel do sistema operacional, utilizando técnicas para alterar dados e informações do núcleo, interceptando solicitações do sistema, ocultando arquivos e alterando chaves de registro. Os rootkits são projetados para serem invisíveis, tornando sua detecção extremamente difícil;
• Bootkits: os bootkits são uma evolução dos rootkits, afetando o boot do sistema operacional. Podem desativar mecanismos de segurança antes da inicialização do kernel, sendo os primeiros comandos a serem executados pelo processador;
• Cavalo de Troia: Cavalo de Troia é um trojan que tem um código malicioso inserido em um software legítimo, sendo indetectável por sistemas de segurança. É um dos tipos mais comuns, visto que podem estar disfarçados em jogos, arquivos ou softwares, executando funções silenciosas em segundo plano;
• Backdoor de firmware e hardware: atua em controladores de disco do sistema, chips da placa-mãe, além de outras peças físicas do computador. Esse backdoor não pode ser removido pela formatação ou na alteração do sistema operacional;
• Backdoor de rede: um backdoor de rede atua na exploração de protocolos de rede mal configurados, enviando comandos específicos para a abertura de portas de acesso remoto. São encontrados em roteadores e servidores, por exemplo, permitindo que o invasor se conecte através de portas ocultas e contornando firewalls de rede;
• Backdoor administrativo: tipo de backdoor que permite o acesso a sistemas sem autorização por meio de contas de usuário inseridas no código-fonte por desenvolvedores ou profissionais de manutenção. É basicamente uma “senha secreta” que foi inserida por alguém sem consentimento do usuário;
• Backdoor para cryptojacking: uso de poder de processamento do computador para a mineração de criptomoedas. Comandos são inseridos em softwares, que, ao serem instalados no computador, passam a utilizar o processamento de GPU e CPU para monetização, consumindo energia da vítima;

Quais são os riscos de um backdoor em computação?

• Exposição a ataques: ter um backdoor instalado no computador permite que o invasor acesse seu dispositivo quando quiser;
• Vazamento de dados: um backdoor pode realizar roubo de dados e o vazamento de informações sigilosas de empresas ou governos, por exemplo;
• Transformação em Botnet: Botnet é a criação de uma rede de dispositivos “zumbis”, com a intenção de realizar golpes e ataques cibernéticos por meio do controle do sistema via backdoor;
• Espionagem: um hacker pode acessar seu sistema sem intenção de modificar configurações, instalar softwares ou roubar dados. Por serem indetectáveis, alguns tipos de backdoor permitem que o golpista apenas o observe durante dias, meses ou anos;
• Movimentação Lateral: ao acessar um sistema via backdoor, o criminoso pode se “movimentar” em servidores, atingindo todos os dispositivos que estiverem conectados a uma mesma rede;
• Controle total remotamente: a partir da instalação de um backdoor, o invasor pode ter controle total do sistema remotamente, podendo alterar configurações, desativar softwares de segurança e executar programas maliciosos sem a sua permissão.

Como se proteger contra um backdoor?

A melhor forma de se proteger de um ataque de backdoor é a identificação de atividades suspeitas e a prevenção. Realize auditorias de sistema e redes regularmente para verificar se há algum arquivo malicioso sendo executado em segundo plano.

É comum que um backdoor aumente o processamento de GPU, CPU ou tráfego de rede repentinamente. Assim, o uso de ferramentas de monitoramento é crucial para detecção. Outra maneira de se proteger desse tipo de ataque é verificando a existência de portas TCP/UDP abertas sem motivo.

Usuários avançados de tecnologia e cibersegurança também podem implementar soluções de EDR (Endpoint Detection and Response) e honeypots. Um EDR monitora os nós da rede em busca de comportamentos de persistência, comuns em backdoors. Ou seja, caso um arquivo malicioso tente alterar chaves de registro ou realizar a abertura de portas, o sistema irá bloquear a ação.

Já honeypot é um sistema desprotegido criado para funcionar como uma armadilha para invasores. Ao ter esse sistema invadido por uma porta oculta, o usuário é alertado sobre a possibilidade do sistema verdadeiro também ser comprometido, podendo interromper o acesso previamente.

É possível remover um backdoor no sistema?

Sim, mas o método varia de acordo com o tipo de backdoor. Em rootkits, é necessário executar ferramentas específicas para encontrar os arquivos maliciosos presentes no kernel do sistema operacional, já em bootkits é preciso usar o disco de recuperação do Windows ou Linux para reconstruir as instruções de boot do sistema.

No caso do Cavalo de Troia ou do criptojacking, o usuário deverá encontrar o arquivo malicioso e limpá-lo da memória do PC para que não inicialize novamente, fazendo a desinstalação, caso necessário.

Backdoor de firewall e hardware podem ser considerados os mais difíceis de remover, já que o invasor infectou chips internos e peças físicas. Em casos extremos, será necessário substituir os componentes.

Já em um backdoor de rede, reinicializar o servidor ou roteador — fazendo a alteração de credenciais — pode resolver o problema. Enquanto que, em um backdoor administrativo, o usuário deve verificar se existem usuários ocultos com permissão de acesso ao seu sistema operacional.

Backdoor é considerado um vírus?

Não, já que o vírus cria cópias de si mesmo para infectar outros arquivos, enquanto que o backdoor é apenas um caminho de acesso livre criado por um invasor. Ou seja, um criminoso pode usar um backdoor para atacar o sistema operacional com um vírus, ou usar um vírus para a criação de um backdoor.

Qual é a diferença entre backdoor e trojan?

Backdoor é um recurso que possibilita a invasão em um computador, infraestrutura, sistema ou programa malicioso ignorando barreiras de proteção, como autenticação e criptografia, por exemplo.

Já o trojan é uma modalidade de software malicioso que se mascara como um item legítimo para convencer o usuário a baixá-lo em seu aparelho. Ao ser acionado pelo indivíduo, ele permite monitorar o comportamento, subtrair informações e baixar outros vírus, embora não possua a capacidade de se propagar para os demais arquivos do sistema.

Qual é a diferença entre backdoor e malware?

O backdoor é uma funcionalidade que viabiliza o acesso a uma máquina, rede, sistema operacional ou aplicação burlando protocolos rígidos de segurança. É por meio de um backdoor que malwares são instalados em sistemas ou servidores para roubo de dados, por exemplo.

Malwares são programas mal-intencionados desenvolvidos para comprometer ou tirar proveito de um dispositivo ou infraestrutura digital. Suas atividades abrangem desde a subtração de informações até a paralisação de serviços, prejudicando os alvos de diferentes formas.

O que é backdoor em computação? Saiba como a vulnerabilidade funciona e os riscos