Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Backdoor

Aanvallen

Een manier om via een omweg in een digitaal systeem te komen. Iemand heeft die omweg vaak met opzet gemaakt, en op zo'n manier dat anderen die niet kunnen zien.

Een backdoor is een verborgen toegangsweg tot een computersysteem, netwerk of applicatie die de normale authenticatie- en beveiligingsmechanismen omzeilt. Via een backdoor kan een aanvaller op afstand toegang krijgen tot een systeem zonder gebruik te maken van reguliere inlogprocedures. Backdoors worden bewust gecreeerd door aanvallers na een initieel compromis, maar kunnen ook door softwareontwikkelaars worden ingebouwd, soms voor onderhoudsdoeleinden, soms met kwaadwillige intentie. In alle gevallen vormt een backdoor een ernstig beveiligingsrisico omdat het onzichtbare, ongecontroleerde toegang biedt tot systemen en data.

Backdoors behoren tot de meest hardnekkige dreigingen in cybersecurity. Waar andere malware vaak snel wordt gedetecteerd door antivirussoftware of gedragsanalyse, zijn backdoors specifiek ontworpen om langdurig onopgemerkt te blijven. Ze bieden aanvallers persistente toegang, wat betekent dat de aanvaller kan terugkeren wanneer het uitkomt, zelfs nadat de oorspronkelijke kwetsbaarheid is gepatcht. In 2025 documenteerde CISA de BRICKSTORM-backdoor, gebruikt door Chinese staatshackers voor langdurige persistente toegang tot overheids- en IT-systemen. Eveneens in 2025 werd de Chrysalis-backdoor ontdekt in de supply chain van Notepad++, waardoor aanvallers via vertrouwde software-updates toegang kregen tot systemen.

Hoe werkt een backdoor?

Backdoors kunnen op verschillende manieren worden geimplementeerd. De meest voorkomende variant is een trojan horse: malware die zich voordoet als legitieme software en bij installatie een backdoor opent. De gebruiker installeert een ogenschijnlijk nuttig programma, terwijl op de achtergrond een communicatiekanaal wordt opgezet naar een command-and-control (C2) server van de aanvaller. Via dit kanaal kan de aanvaller commando's uitvoeren, bestanden downloaden of uploaden en aanvullende malware installeren.

Fileless backdoors zijn een geavanceerdere variant. Deze bestaan alleen in het werkgeheugen en maken gebruik van legitieme systeemtools zoals PowerShell, WMI of geplande taken om commando's uit te voeren. Deze techniek, bekend als "living off the land", maakt detectie bijzonder lastig omdat er geen verdachte bestanden op de schijf staan. De aanvaller misbruikt tools die standaard aanwezig zijn op het besturingssysteem en die beveiligingssoftware doorgaans niet blokkeert.

Hardware backdoors vormen een aparte categorie. Deze worden ingebouwd in chipsets, firmwarecomponenten of netwerkapparatuur tijdens het productie- of distributieproces. Ze zijn vrijwel onmogelijk te detecteren met conventionele beveiligingstools en bieden toegang op een niveau dat dieper ligt dan het besturingssysteem. Supply chain-aanvallen waarbij backdoors worden ingebouwd in vertrouwde software of hardware zijn een groeiende zorg in de cybersecurity-gemeenschap.

Backdoors communiceren doorgaans via versleutelde kanalen met de C2-infrastructuur van de aanvaller. Moderne backdoors gebruiken technieken om hun verkeer te verbergen, zoals het tunnelen van communicatie via DNS-verzoeken, HTTPS-verkeer naar legitiem ogende domeinen, of het gebruik van cloud-diensten als tussenstation. Dit maakt het voor SIEM-systemen en netwerkmonitoring moeilijker om de communicatie te onderscheiden van normaal verkeer.

Hoe herken je een backdoor?

Het detecteren van backdoors is uitdagend juist omdat ze ontworpen zijn om onzichtbaar te blijven. Toch zijn er indicatoren die kunnen wijzen op de aanwezigheid van een backdoor. Onverklaarbaar netwerkverkeer naar onbekende IP-adressen of domeinen, vooral buiten kantooruren, is een belangrijk signaal. Onverwachte wijzigingen in systeemconfiguraties, registersleutels of geplande taken kunnen duiden op persistentiemechanismen van een backdoor.

Endpoint detection and response (EDR) oplossingen monitoren systeemgedrag en kunnen afwijkende patronen detecteren, zoals het uitvoeren van ongebruikelijke commando's via PowerShell of het laden van verdachte DLL-bestanden. Netwerkdetectietools analyseren verkeerpatronen en kunnen beaconing-gedrag herkennen, het periodiek "thuisbellen" van een backdoor naar de C2-server. Regelmatige vergelijking van systeembestanden met bekende goede baseline-configuraties helpt bij het identificeren van ongeautoriseerde wijzigingen.

Hoe bescherm je je tegen backdoors?

Bescherming tegen backdoors vereist een gelaagde aanpak. Houd alle software up-to-date, inclusief besturingssystemen, applicaties en firmware. Veel backdoors worden geinstalleerd via bekende kwetsbaarheden waarvoor patches beschikbaar zijn. Implementeer het principe van least privilege: geef gebruikers en applicaties alleen de minimale rechten die nodig zijn voor hun functie. Dit beperkt de mogelijkheden van een aanvaller die via een backdoor toegang krijgt.

Gebruik netwerksegmentatie om laterale beweging te bemoeilijken. Als een aanvaller via een backdoor toegang krijgt tot een segment, voorkomt segmentatie dat het volledige netwerk gecompromitteerd raakt. Implementeer application whitelisting om te voorkomen dat ongeautoriseerde software wordt uitgevoerd. Monitor uitgaand netwerkverkeer actief op verdachte patronen, met name DNS-verkeer en verbindingen naar onbekende domeinen.

Voer regelmatig threat hunting uit, proactief zoeken naar indicators of compromise die geautomatiseerde detectie mogelijk missen. Controleer de integriteit van je software supply chain door checksums en digitale handtekeningen te verifieren bij het installeren van updates. Bij kritieke systemen overweeg je het inzetten van gespecialiseerde firmware-analyse om hardware-level backdoors te detecteren.

Backdoors en supply chain-aanvallen

Een van de meest zorgwekkende trends in de cybersecurity is het inbouwen van backdoors via de software supply chain. Bij een supply chain-aanval compromitteert de aanvaller niet het doelwit zelf, maar een leverancier of softwarecomponent die het doelwit vertrouwt en gebruikt. De SolarWinds-aanval uit 2020 is hiervan het bekendste voorbeeld: aanvallers bouwden een backdoor in de Orion-software die vervolgens via reguliere updates werd verspreid naar duizenden organisaties, waaronder Amerikaanse overheidsinstellingen. In 2025 toonde de Chrysalis-backdoor in Notepad++ aan dat dit type aanval blijft evolueren.

Bescherming tegen supply chain-backdoors vereist een combinatie van leveranciersbeoordeling, software composition analysis en runtime monitoring. Verifieer de integriteit van software-updates via digitale handtekeningen en controleer of de signing keys niet zijn gecompromitteerd. Software Bill of Materials (SBOM) helpt bij het in kaart brengen van alle componenten in je softwarestack, zodat je bij een bekendgemaakte backdoor snel kunt bepalen of je getroffen bent.

Veelgestelde vragen over backdoors

Wat is het verschil tussen een backdoor en een trojan?

Een trojan is malware die zich voordoet als legitieme software om een systeem te infecteren. Een backdoor is de verborgen toegangsweg die de trojan vaak installeert. Een trojan is het bezorgmechanisme, de backdoor is het resultaat. Niet alle backdoors worden via trojans geinstalleerd en niet alle trojans installeren backdoors.

Kunnen legitieme backdoors bestaan?

Ja. Sommige softwareleveranciers bouwen bewust onderhoudstoegangen in hun producten voor remote support en updates. Dit zijn technisch gezien backdoors, hoewel ze een legitiem doel dienen. Het risico is dat deze toegangswegen ook door kwaadwillenden kunnen worden misbruikt als ze worden ontdekt of als de leverancier zelf gecompromitteerd raakt.

Hoe lang kan een backdoor onopgemerkt blijven?

Maanden tot jaren. Geavanceerde persistent threats (APT's) gebruiken backdoors die jarenlang actief blijven zonder gedetecteerd te worden. De gemiddelde detectietijd voor een geavanceerde inbraak bedraagt meer dan 200 dagen. Regelmatige threat hunting en gedragsanalyse verkorten deze tijd aanzienlijk.

Is een backdoor hetzelfde als een rootkit?

Nee, maar ze worden vaak samen ingezet. Een backdoor biedt ongeautoriseerde toegang. Een rootkit verbergt de aanwezigheid van malware, inclusief backdoors, op een gecompromitteerd systeem. Een rootkit maakt het dus moeilijker om de backdoor te detecteren, maar het zijn verschillende technieken met verschillende functies.

Wat doe je als je een backdoor ontdekt?

Isoleer het getroffen systeem direct van het netwerk om verdere schade te voorkomen. Maak een forensic image voor onderzoek. Identificeer hoe de backdoor is geinstalleerd en welke andere systemen mogelijk gecompromitteerd zijn. Herbouw het systeem vanuit een schone installatie. Rapporteer het incident conform je incident response plan.

Bescherm je organisatie tegen verborgen toegang. Vind de juiste aanbieder via Endpoint Detection en Response (EDR) op IBgidsNL.