Back Orifice: живая легенда 9 лет спустя
Без преувеличения будь сказано: с азартным трепетом и чувством глубокого уважения к создателям рассмотрим «анатомию» самой известной и нашумевшей в свое время утилиты — Back Orifice. Подобно тому, как засекреченные документы времен железного занавеса ныне становятся общедоступны, на справедливый суд и критику читателей автор статьи с большим удовольствием представляет сей мануал.
С чего же все началось? Наверняка история создания знаменитого BO была бы неполной без упоминания ее создателей — известнейшей хакерской группы Cult of the Dead Cow (cDc). Основанная в середине 80-х, команда с достоинством прошла огонь, воду и медные трубы и до сих пор процветает и здравствует. В 1993 г. один из участников группы — Drunkfix — создал официальный сайт в сети Интернет, после чего известность хакер-группы начала распространятся не только через BBS. Большую заслугу в обретении широкой известности cDc внес один из участников группы — Ratte, — который играл роль своеобразного пресс-атташе. 1 августа 1998 г. на конференции Defcon один из членов группы Sir Dystic представил Back Orifice широкой публике. Как заявил автор, его детище — это лишь подтверждение того, насколько уязвимой может быть MS Windows.
Back Orifice работал (и работает ;)) по принципу клиент/сервер и позволял удаленно администрировать ПК, на котором предварительно установлена серверная часть… Очень скоро BO приобрел статус троянского коня: антивирусные базы пополнились записями типа BackDoor.BOrifice, Trojan.Bo, чему, собственно, удивляться особенно и не приходится, ведь BO с успехом можно использовать и для удаленного управления чужим ПК. Графический интуитивно понятный интерфейс программы и ее внушительные возможности произвели настоящий фурор, после чего в известных кругах установка BO на чужой ПК превратилась во что-то вроде увлекательного соревнования. С выходом в свет новой версии Back Orifice 2000, которая, помимо Win95 и Win98, поддерживала Windows NT и имела открытый код, популярность «народного любимца» достигла своего апогея.
продвигаемся вглубь
Являясь достаточно мощной утилитой удаленного администрирования, Back Orifice позволяет пользователю контролировать компьютеры при помощи обычной консоли или графической оболочки. А теперь внимание: крылатая фраза, которая весьма емко отражает возможности программы: «В локальной сети или через Internet BO предоставляет пользователю больше возможностей на удаленном Windows-компьютере, чем имеет сам пользователь этого компьютера»;)). Согласно классификации "Лаборатории Касперского", BO могла вовсе и не попасть в «черный список», если бы не одно но: при запуске серверной части отсутствуют какие-либо предупреждения о запуске: «продвигаясь вглубь», троянец незаметно устанавливает себя в системе и затем берет ее полностью под свой контроль, при этом жертве не выдается никаких сообщений о действиях троянца в системе. Более того, в списке активных приложений ссылка на BO отсутствует.
Распространяется BO как пакет, включающий в себя серверную часть (BOSERVE.EXE или bo2k.exe — возможны вариации), клиентскую часть (bo2kgui.exe) и файл конфигурации сервера (bo2kcfg.exe). В дополнение к трем перечисленным компонентам пакет может содержать плагины и документацию. Все три компонента программы написаны на C++ и откомпилированы Microsoft Visual C++. Все программы имеют формат Portable Executable и могут выполняться только в среде Win32.
Рис. 1. Так выглядит программа конфигурации сервера BO.
Как вы уже поняли, основной программой в пакете является BOSERVE.EXE, он же bo2k.exe. Следует отметить, что при установке на целевой ПК сервер можно обнаружить под другими именами вплоть до system, explore и др. в зависимости от фантазии того, кто конфигурировал сервер. Вторым файлом является BOCONFIG.EXE, он же bo2kcfg.exe, назначение которого — первичная настройка сервера. Программа конфигурации позволяет производить самые разнообразные настройки вплоть до склейки сервера с каким-либо другим исполняемым файлом. Зачем это нужно, думаю, объяснять не стоит. И, наконец, то, посредством чего осуществляется удаленное управление серверной частью — клиентская часть — bo2kgui.exe. При запуске серверной части происходит инициализация сокетов Windows, в результате чего открытым оказывается (по умолчанию) UDP-порт 31337. Кстати, цифра 31337 известна не только благодаря тому, что порт 31337 является дефолтовым портом BO — в околохакерских кругах 31337 означает "элита" /* На хакер-скрипте (элит- скрипте) многие буквы принято заменять на похожие по внешнему виду цифры, а сами слова коверкать на манер современных «падонкаф». В данном случае тройка предполагает букву E, единица – l, а семерка - T. Все вместе выглядит как ElEET, то есть исковерканное ELITE. – прим. ред. */ Следует учесть, что при заражении BO 31337 порт может молчать, ведь никто не мешает сервер на прослушивание другого порта. При заражении в системном каталоге Windows появляется файл WINDLL.DLL. Далее троян определяет адреса нескольких Windows API, ищет свою копию в памяти и выгружает ее, если обнаружена старая версия утилиты — попросту говоря, сам себя обновляет. После вышеперечисленного BO, как и любой уважающий себя троян, копируется в системный каталог Windows (c:\windows\system), прописывая себя на автозапуск в следующем ключе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices.
После того, как троянец закрепляется в системе, он находится в памяти Windows как скрытое приложение (то есть без активного окна и ссылки в списке приложений). После того, как сервер получил команды от клиента, на машине жертвы возможно развитие следующего сценария:
- сервер высылает своему истинному хозяину различную информацию о системе: тип процессора, размер памяти, версия системы, установленные устройства и т.п.;
- сервер расшаривает диски, делая их видимыми из сети.
Таким образом, удаленный пользователь получает полный доступ к зараженной системе: операции удаления, копирования и т.п. вплоть до
форматирования становятся настолько же реальными, как если бы вы работали за своим собственным ПК;). Помимо перечисленного, удаленный пользователь имеет возможность отключать текущего пользователя от сети, подвешивать систему, убивать процессы, получать и отправлять кэшированные пароли, выводить текстовые сообщения, проигрывать звуковые файлы и т.д., и т.п. Вышеперечисленные возможности отнюдь не являются верхом того, на что способен BO: для того, чтобы расширить список функций, достаточно скачать пару новых плагинов.
было время, были люди...
Да, выход ВО – как первого, так и второго – пришлось на время настоящего бума всякой такой «хакерской» активности населения сети. Только ленивый не подсуетил копию ВО паре-тройке своих знакомых – просто по приколу или выгоды для. законы были другие, и многое, что нынче расценивается как преступление, тогда воспринималось невинной забавой.
Так или иначе, а на сегодняшний день знаменитый Back Orifice классифицируется как самый настоящий троян, а его распространение, соответсвенно, «распространение вредоносных программ». Сегодня наш герой в базах данных различных антивирусных компаний выглядит следующим образом: Backdoor.Win32.BO.a («Лаборатория Касперского»), известен также как Backdoor.BO.a («Лаборатория Касперского»), Orifice.svr (McAfee), W32.HLLP.Clay.dr (Symantec), BackDoor.BOrifice (Doctor Web), Troj/Orifice-A (Sophos), Backdoor:Win32/BOClay (RAV), BKDR_BO.58880 (Trend Micro), Boserve-01 (H+BEDV), W32/Back_Orifice.124928 (FRISK), Win32:Trojan-gen. (ALWIL), BackDoor.BackOrifice (Grisoft), Backdoor.BackOrifice.A (SOFTWIN), Trojan.Bo (ClamAV), Trj/BOr (Panda), Back_Orifice.Dropper (Eset).
Бойцев О.М., boyscout_zone@yahoo.com
С чего же все началось? Наверняка история создания знаменитого BO была бы неполной без упоминания ее создателей — известнейшей хакерской группы Cult of the Dead Cow (cDc). Основанная в середине 80-х, команда с достоинством прошла огонь, воду и медные трубы и до сих пор процветает и здравствует. В 1993 г. один из участников группы — Drunkfix — создал официальный сайт в сети Интернет, после чего известность хакер-группы начала распространятся не только через BBS. Большую заслугу в обретении широкой известности cDc внес один из участников группы — Ratte, — который играл роль своеобразного пресс-атташе. 1 августа 1998 г. на конференции Defcon один из членов группы Sir Dystic представил Back Orifice широкой публике. Как заявил автор, его детище — это лишь подтверждение того, насколько уязвимой может быть MS Windows.
Back Orifice работал (и работает ;)) по принципу клиент/сервер и позволял удаленно администрировать ПК, на котором предварительно установлена серверная часть… Очень скоро BO приобрел статус троянского коня: антивирусные базы пополнились записями типа BackDoor.BOrifice, Trojan.Bo, чему, собственно, удивляться особенно и не приходится, ведь BO с успехом можно использовать и для удаленного управления чужим ПК. Графический интуитивно понятный интерфейс программы и ее внушительные возможности произвели настоящий фурор, после чего в известных кругах установка BO на чужой ПК превратилась во что-то вроде увлекательного соревнования. С выходом в свет новой версии Back Orifice 2000, которая, помимо Win95 и Win98, поддерживала Windows NT и имела открытый код, популярность «народного любимца» достигла своего апогея.
продвигаемся вглубь
Являясь достаточно мощной утилитой удаленного администрирования, Back Orifice позволяет пользователю контролировать компьютеры при помощи обычной консоли или графической оболочки. А теперь внимание: крылатая фраза, которая весьма емко отражает возможности программы: «В локальной сети или через Internet BO предоставляет пользователю больше возможностей на удаленном Windows-компьютере, чем имеет сам пользователь этого компьютера»;)). Согласно классификации "Лаборатории Касперского", BO могла вовсе и не попасть в «черный список», если бы не одно но: при запуске серверной части отсутствуют какие-либо предупреждения о запуске: «продвигаясь вглубь», троянец незаметно устанавливает себя в системе и затем берет ее полностью под свой контроль, при этом жертве не выдается никаких сообщений о действиях троянца в системе. Более того, в списке активных приложений ссылка на BO отсутствует.
Распространяется BO как пакет, включающий в себя серверную часть (BOSERVE.EXE или bo2k.exe — возможны вариации), клиентскую часть (bo2kgui.exe) и файл конфигурации сервера (bo2kcfg.exe). В дополнение к трем перечисленным компонентам пакет может содержать плагины и документацию. Все три компонента программы написаны на C++ и откомпилированы Microsoft Visual C++. Все программы имеют формат Portable Executable и могут выполняться только в среде Win32.
Рис. 1. Так выглядит программа конфигурации сервера BO.
Как вы уже поняли, основной программой в пакете является BOSERVE.EXE, он же bo2k.exe. Следует отметить, что при установке на целевой ПК сервер можно обнаружить под другими именами вплоть до system, explore и др. в зависимости от фантазии того, кто конфигурировал сервер. Вторым файлом является BOCONFIG.EXE, он же bo2kcfg.exe, назначение которого — первичная настройка сервера. Программа конфигурации позволяет производить самые разнообразные настройки вплоть до склейки сервера с каким-либо другим исполняемым файлом. Зачем это нужно, думаю, объяснять не стоит. И, наконец, то, посредством чего осуществляется удаленное управление серверной частью — клиентская часть — bo2kgui.exe. При запуске серверной части происходит инициализация сокетов Windows, в результате чего открытым оказывается (по умолчанию) UDP-порт 31337. Кстати, цифра 31337 известна не только благодаря тому, что порт 31337 является дефолтовым портом BO — в околохакерских кругах 31337 означает "элита" /* На хакер-скрипте (элит- скрипте) многие буквы принято заменять на похожие по внешнему виду цифры, а сами слова коверкать на манер современных «падонкаф». В данном случае тройка предполагает букву E, единица – l, а семерка - T. Все вместе выглядит как ElEET, то есть исковерканное ELITE. – прим. ред. */ Следует учесть, что при заражении BO 31337 порт может молчать, ведь никто не мешает сервер на прослушивание другого порта. При заражении в системном каталоге Windows появляется файл WINDLL.DLL. Далее троян определяет адреса нескольких Windows API, ищет свою копию в памяти и выгружает ее, если обнаружена старая версия утилиты — попросту говоря, сам себя обновляет. После вышеперечисленного BO, как и любой уважающий себя троян, копируется в системный каталог Windows (c:\windows\system), прописывая себя на автозапуск в следующем ключе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices.
После того, как троянец закрепляется в системе, он находится в памяти Windows как скрытое приложение (то есть без активного окна и ссылки в списке приложений). После того, как сервер получил команды от клиента, на машине жертвы возможно развитие следующего сценария:
- сервер высылает своему истинному хозяину различную информацию о системе: тип процессора, размер памяти, версия системы, установленные устройства и т.п.;
- сервер расшаривает диски, делая их видимыми из сети.
Таким образом, удаленный пользователь получает полный доступ к зараженной системе: операции удаления, копирования и т.п. вплоть до
форматирования становятся настолько же реальными, как если бы вы работали за своим собственным ПК;). Помимо перечисленного, удаленный пользователь имеет возможность отключать текущего пользователя от сети, подвешивать систему, убивать процессы, получать и отправлять кэшированные пароли, выводить текстовые сообщения, проигрывать звуковые файлы и т.д., и т.п. Вышеперечисленные возможности отнюдь не являются верхом того, на что способен BO: для того, чтобы расширить список функций, достаточно скачать пару новых плагинов.
было время, были люди...
Да, выход ВО – как первого, так и второго – пришлось на время настоящего бума всякой такой «хакерской» активности населения сети. Только ленивый не подсуетил копию ВО паре-тройке своих знакомых – просто по приколу или выгоды для. законы были другие, и многое, что нынче расценивается как преступление, тогда воспринималось невинной забавой.
Так или иначе, а на сегодняшний день знаменитый Back Orifice классифицируется как самый настоящий троян, а его распространение, соответсвенно, «распространение вредоносных программ». Сегодня наш герой в базах данных различных антивирусных компаний выглядит следующим образом: Backdoor.Win32.BO.a («Лаборатория Касперского»), известен также как Backdoor.BO.a («Лаборатория Касперского»), Orifice.svr (McAfee), W32.HLLP.Clay.dr (Symantec), BackDoor.BOrifice (Doctor Web), Troj/Orifice-A (Sophos), Backdoor:Win32/BOClay (RAV), BKDR_BO.58880 (Trend Micro), Boserve-01 (H+BEDV), W32/Back_Orifice.124928 (FRISK), Win32:Trojan-gen. (ALWIL), BackDoor.BackOrifice (Grisoft), Backdoor.BackOrifice.A (SOFTWIN), Trojan.Bo (ClamAV), Trj/BOr (Panda), Back_Orifice.Dropper (Eset).
Бойцев О.М., boyscout_zone@yahoo.com
Сетевые решения. Статья была опубликована в номере 04 за 2007 год в рубрике save ass…