Tilbake Åpning
Utviklet av | Cult of the Dead Cow |
---|---|
Språk | Engelsk |
Type | Rootkit |
Tillatelse | GNU General Public License versjon 2 og GNU Lesser General Public License versjon 2.0 ( d ) |
Nettsted | www.cultdeadcow.com/tools/bo.html |
Kronologi av versjoner
Back Orifice er enklient- / serverprogramvarefor administrasjon og fjernkontroll av maskiner som brukerWindows-operativsystemet ; det er egentlig ikke et virus, men heller etrootkit.
Den ble opprettet og distribuert av en hackergruppe , Cult of the Dead Cow (cDc), i august 1998. Hovedforfatteren av Back Orifice er "Sir Dystic"; og det til BO2K er "DilDog". Programmet er åpen kildekode under GNU GPL- lisensen , kildekoden er tilgjengelig på Sourceforge .
Navnet er inspirert av programvarens back office til selskapet Microsoft , så vel som gleden av et ordspill (teknisk sett en metaplasma ) noe saftig, " bakhull " som resulterer i "bak hull", dvs. ' anus .
Programvaren fokuserer på maskiner ved hjelp av et operativsystem Windows 95 / nittiåtte og NT for BO2K. Klienten kan kjøre under Windows 95/98 / NT og Unix (kun konsoll). Programmet er autonomt: det trenger ikke å installere ekstra verktøy.
Forfatteren (Sir Dystic) spesifiserer at “de to legitime målene for BO er fjernvedlikehold og vedlikehold / overvåking [av Microsoft-nettverk]”.
For BO2K beklager forfatteren at ekstern tilgang, som er veldig vanlig i Unix-systemer via ssh , ikke er tilgjengelig under Windows; det er derfor de har "forbedret administrasjonsmulighetene" til disse systemene. Han "håper at Microsoft vil gjøre sitt beste for å sikre at operativsystemet er godt nok til å håndtere forbedringene som er gjort."
I pressemeldingen heter det at BO2K "kan legge press på Leviathan for å få på plass en sikkerhetsmodell i operativsystemet" og at "hvis det mislykkes, vil kundene deres være sårbare for kjeks ".
Det opprinnelige formålet med denne programvaren er tvilsom, forfatterne hevdet at bruken av den ble kapret i form av en trojansk hest . Imidlertid setter den skjult oppførselen og spesialfunksjonene (som ekstern passordgjenoppretting eller den innebygde nøkkelloggeren ) tvil om gjerningsmannens virkelige motivasjon. Det har således ofte blitt klassifisert som et virus eller en orm, og dets signatur blir ofte anerkjent som farlig av antivirusprogramvare .
Uansett er det klart at dette er et angrep mot Microsoft som bruker fraværet av en sikkerhetspolicy.
Den karakteristiske kjeden til Back Orifice er *!*QWTY?. Han bruker havnen 31337. Dette valget tilskrives det faktum at i Leet snakker , 31337leser ELEET("elite"). Denne porten kan endres.
Klienten, som brukes av angriperen, er konfigurerbar, modulær og til og med skinnbar . Den inkluderer et bokmerkesystem og en logger . Den kan koble til flere servere samtidig.
Serveren inkluderer skalltilgang via telnet , en nøkkellogger , en registerredigerer , en HTTP-server , verktøy for å overføre, slette og installere filer / programmer eksternt, tilgang til delingssystemet til Microsoft-nettverk, et cracker-passord (NT / 95/98 ) og noe å starte maskinen på nytt. Den støtter TCP-viderekoblinger, DNS-oppløsning og proseskontroll (start, stopp, oppføring). Det er også i stand til å kapre systemmeldinger. Tilgang til alt dette gjøres delvis av en 8 kb dll som er inkludert i den kjørbare filen.
3DES og on-the-fly- kryptering , grafisk kontroll (skrivebord med tastatur / mus, registerredigerer), UDP og ICMP-støtte er også tilgjengelig.
"NOBO" -verktøyet brukes til å oppdage nettverkstrafikk generert av Back Orifice. For å slette BO er alt du trenger å gjøre å slette den kjørbare serveren og den tilhørende registernøkkelen, og deretter starte på nytt.
Installasjonen gjøres ved en enkel kjøring av programmet BOSERVE.EXE(122kb): det vil gi nytt navn til .EXE(navnet på filen er et mellomrom ) og legge banen til dette programmet til registernøkkelen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices. Serveren vil derfor kjøre stille hver gang maskinen startes; dessuten er det ikke synlig i listen over utførte prosesser.
Den grafiske klienten startes av BOGUI.EXEog konsollklienten startes av BOCLIENT.EXE.
Ett år etter BO, " BO2K ", for " Back Orifice 2000 ", er en utvikling av BO som gir noen forbedringer og spesielt støtten fra Windows NT. 2000 er også en referanse til Microsoft-produkter ( Windows 2000 og Office 2000 ).