NSA xakerlik vositalari tadqiqotchini orqa eshik yaratishga ilhomlantirdi.
SMBdoor operatsion tizimning antivirus dasturlari ko’rinmaydigan joylarida yashirinadi.
RiskSence kompaniyasining xavfsizlik bo’yicha tadqiqotchisi Sean Dillon 2017-yilda AQSh Milliy xavfsizlik agentligi tomonidan tarqalib ketgan zararli dasturdan ilhomlanib, eksperimental orqa eshik yaratdi. SMBdoor – bu Windows yadrosi drayveri bo’lib, u maqsadli tizimga o’rnatilgandan so’ng, o’zini qonuniy SMB ishlov beruvchisi sifatida ro’yxatdan o’tkazish uchun srvnet.sys jarayonida hujjatsiz API dan foydalanadi. Orqa eshik xavfsizlik yechimlarini chetlab o’tishga qodir, chunki u mavjud funksiyalardagi biron bir mahalliy soketlarga, ochiq portlarga yoki ilgaklarga tayanmaydi.
Dillonning SMBdoor dasturini yaratishi NSA tomonidan ishlab chiqilgan va kiberjinoyatchilar guruhi The Shadow Brokers tomonidan ommaga e’lon qilingan DoublePulsar va DarkPulsar orqa eshiklaridan ilhomlangan. Biroq, ulardan farqli o’laroq, SMBdoor zararli emas va real hayotdagi hujumlarda foydalanish uchun GitHub’dan yuklab olinmaydi, deb ta’kidlaydi tadqiqotchi.
Dillonning so’zlariga ko’ra, SMBdoor’ga kiritilgan cheklovlar uni kiberhujumlar uchun foydasiz qiladi va faqat ilmiy nuqtai nazardan qiziqish uyg’otadi. Shunga qaramay, bunday mahsulotlar xavfsizlik yechimlari sotuvchilari uchun ko’rib chiqishga arziydi.
SMBdoor’dan zararli maqsadlarda foydalanish uchun kiberjinoyatchilar ko‘plab cheklovlarni chetlab o‘tishlari kerak bo‘ladi. Bundan tashqari, Windows’ning zamonaviy versiyalari imzolanmagan yadro kodini bloklaydi.
Aniqlanishdan qochish qobiliyati va hujjatlashtirilmagan API dan foydalanishi tufayli, orqa eshik ko’plab xavfsizlik mutaxassislarining e’tiborini tortdi. DoublePulsar singari, u operatsion tizimning antivirus dasturi «ko’rinmaydigan» yashirin joylarida yashiringan.
