• Категории
  • Подписка
  • Разместить статью
17/11/09 2 6693 Обеспечение безопасности ИТ
-

Back Orifice: утилита на все времена

С чего же все началось? Наверняка история создания знаменитого BO была бы неполной без упоминания ее создателей — известнейшей хакерской группы Cult of the Dead Cow (cDc). Основанная в середине 80-х, команда с достоинством прошла огонь, воду и медные трубы и до сих пор процветает и здравствует. В 1993 г. один из участников группы — Drunkfix — создал официальный сайт в сети Интернет, после чего известность хакер-группы начала распространятся не только через BBS. Большую заслугу в обретении широкой известности cDc внес один из участников группы — Ratte, — который играл роль своеобразного пресс-атташе. 1 августа 1998 г. на конференции Defcon один из членов группы Sir Dystic представил Back Orifice широкой публике. Как заявил автор, его детище — это лишь подтверждение того, насколько уязвимой может быть MS Windows.

Back Orifice работал (и работает ;)) по принципу клиент/сервер и позволял удаленно администрировать ПК, на котором предварительно установлена серверная часть… Очень скоро BO приобрел статус троянского коня: антивирусные базы пополнились записями типа BackDoor.BOrifice, Trojan.Bo, чему, собственно, удивляться особенно и не приходится, ведь BO с успехом можно использовать и для удаленного управления чужим ПК. Графический интуитивно понятный интерфейс программы и ее внушительные возможности произвели настоящий фурор, после чего в известных кругах установка BO на чужой ПК превратилась во что-то вроде увлекательного соревнования. С выходом в свет новой версии Back Orifice 2000, которая, помимо Win95 и Win98, поддерживала Windows NT и имела открытый код, популярность «народного любимца» достигла своего апогея.

Являясь достаточно мощной утилитой удаленного администрирования, Back Orifice позволяет пользователю контролировать компьютеры при помощи обычной консоли или графической оболочки. А теперь внимание: крылатая фраза, которая весьма емко отражает возможности программы: «В локальной сети или через Internet BO предоставляет пользователю больше возможностей на удаленном Windows-компьютере, чем имеет сам пользователь этого компьютера»;)). Согласно классификации «Лаборатории Касперского», BO могла вовсе и не попасть в «черный список», если бы не одно но: при запуске серверной части отсутствуют какие-либо предупреждения о запуске: «продвигаясь вглубь», троянец незаметно устанавливает себя в системе и затем берет ее полностью под свой контроль, при этом жертве не выдается никаких сообщений о действиях троянца в системе. Более того, в списке активных приложений ссылка на BO отсутствует.

детский конструкторРаспространяется BO как пакет, включающий в себя серверную часть (BOSERVE.EXE или bo2k.exe — возможны вариации), клиентскую часть (bo2kgui.exe) и файл конфигурации сервера (bo2kcfg.exe). В дополнение к трем перечисленным компонентам пакет может содержать плагины и документацию. Все три компонента программы написаны на C++ и откомпилированы Microsoft Visual C++. Все программы имеют формат Portable Executable и могут выполняться только в среде Win32.

Как вы уже поняли, основной программой в пакете является BOSERVE.EXE, он же bo2k.exe. Следует отметить, что при установке на целевой ПК сервер можно обнаружить под другими именами вплоть до system, explore и др. в зависимости от фантазии того, кто конфигурировал сервер. Вторым файлом является BOCONFIG.EXE, он же bo2kcfg.exe, назначение которого — первичная настройка сервера. Программа конфигурации позволяет производить самые разнообразные настройки вплоть до склейки сервера с каким-либо другим исполняемым файлом. Зачем это нужно, думаю, объяснять не стоит. И, наконец, то, посредством чего осуществляется удаленное управление серверной частью — клиентская часть — bo2kgui.exe. При запуске серверной части происходит инициализация сокетов Windows, в результате чего открытым оказывается (по умолчанию) UDP-порт 31337. Кстати, цифра 31337 известна не только благодаря тому, что порт 31337 является дефолтовым портом BO — в околохакерских кругах 31337 означает «элита» /* На хакер-скрипте (элит- скрипте) многие буквы принято заменять на похожие по внешнему виду цифры, а сами слова коверкать на манер современных «падонкаф». В данном случае тройка предполагает букву E, единица – l, а семерка — T. Все вместе выглядит как ElEET, то есть исковерканное ELITE. – прим. ред. */ Следует учесть, что при заражении BO 31337 порт может молчать, ведь никто не мешает сервер на прослушивание другого порта. При заражении в системном каталоге Windows появляется файл WINDLL.DLL. Далее троян определяет адреса нескольких Windows API, ищет свою копию в памяти и выгружает ее, если обнаружена старая версия утилиты — попросту говоря, сам себя обновляет. После вышеперечисленного BO, как и любой уважающий себя троян, копируется в системный каталог Windows (c:\windows\system), прописывая себя на автозапуск в следующем ключе реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices.

После того, как троянец закрепляется в системе, он находится в памяти Windows как скрытое приложение (то есть без активного окна и ссылки в списке приложений). После того, как сервер получил команды от клиента, на машине жертвы возможно развитие следующего сценария:

— сервер высылает своему истинному хозяину различную информацию о системе: тип процессора, размер памяти, версия системы, установленные устройства и т.п.;

— сервер расшаривает диски, делая их видимыми из сети.

Таким образом, удаленный пользователь получает полный доступ к зараженной системе: операции удаления, копирования и т.п. вплоть до
форматирования становятся настолько же реальными, как если бы вы работали за своим собственным ПК;). Помимо перечисленного, удаленный пользователь имеет возможность отключать текущего пользователя от сети, подвешивать систему, убивать процессы, получать и отправлять кэшированные пароли, выводить текстовые сообщения, проигрывать звуковые файлы и т.д., и т.п. Вышеперечисленные возможности отнюдь не являются верхом того, на что способен BO: для того, чтобы расширить список функций, достаточно скачать пару новых плагинов.

Да, выход ВО – как первого, так и второго – пришлось на время настоящего бума всякой такой «хакерской» активности населения сети. Только ленивый не подсуетил копию ВО паре-тройке своих знакомых – просто по приколу или выгоды для. законы были другие, и многое, что нынче расценивается как преступление, тогда воспринималось невинной забавой.

Так или иначе, а на сегодняшний день знаменитый Back Orifice классифицируется как самый настоящий троян, а его распространение, соответсвенно, «распространение вредоносных программ». Сегодня наш герой в базах данных различных антивирусных компаний выглядит следующим образом: Backdoor.Win32.BO.a («Лаборатория Касперского»), известен также как Backdoor.BO.a («Лаборатория Касперского»), Orifice.svr (McAfee), W32.HLLP.Clay.dr (Symantec), BackDoor.BOrifice (Doctor Web), Troj/Orifice-A (Sophos), Backdoor:Win32/BOClay (RAV), BKDR_BO.58880 (Trend Micro), Boserve-01 (H+BEDV), W32/Back_Orifice.124928 (FRISK), Win32:Trojan-gen. (ALWIL), BackDoor.BackOrifice (Grisoft), Backdoor.BackOrifice.A (SOFTWIN), Trojan.Bo (ClamAV), Trj/BOr (Panda), Back_Orifice.Dropper (Eset).

PS: Кого интересует Back Orifice 2000 в научных целях, на почту уже не скидываю, есть на EX.UA, ключик (588222999281), просьба сначало открывать новую вкладку, а там ручками в адресной строке ex.ua, дабы не передавать в referer мой сайт. Если архивчик удалят, ну уж простите, админы тоже кушать хотят и свой хлеб отрабатывают! :) До того как поступила жалоба о распространении вредоносного ПО с этой страницы, я удалил линк :)


2 комментария на «“Back Orifice: утилита на все времена”»

  1. Brabus09 82:

    скинь мне на brabus09.82@mail:twitter .ru
    ]

  2. carerakjan:

    ой, ребята, не могу я ее скинуть, не хочу чтоб почтовик в бан попал за распространение вирусов (архив сразу сканируется и распознается как вирус, они ж там всякие касперы да веберы поставили), сейчас почтовые сервисы очень щепетильно относятся к содержимому писем, да и к тому же от них не скроешь ничего, а специальный для этой цели тож в лом делать, в общем такая петрушка..

Добавить комментарий

Яндекс.Метрика