Takaisin aukko
Kehittäjä | Kuolleen lehmän kultti |
---|---|
Kieli (kielet | Englanti |
Tyyppi | Rootkit |
Lisenssi | GNU General Public License -versio 2 ja GNU Lesser General Public License -versio 2.0 ( d ) |
Verkkosivusto | www.cultdeadcow.com/tools/bo.html |
Versioiden aikajärjestys
Back Orifice onasiakas- / palvelinohjelmistoWindows-käyttöjärjestelmää käyttävien koneiden hallintaan ja kauko-ohjaukseen ; se ei todellakaan ole virus, vaan pikemminkinrootkit.
Se luotiin ja jakamien hakkeri ryhmä , Cult of the Dead Cow (CDC), elokuussa 1998. pääkirjoittaja Back Suutin on "Sir Dystic"; ja BO2K: n nimi on "DilDog". Ohjelma on avoimen lähdekoodin GNU GPL -lisenssillä , sen lähdekoodi on saatavilla Sourceforgessa .
Sen nimi on innoittamana ohjelmisto back office yhtiön Microsoftin , sekä ilo sanaleikki (Teknisesti metaplasm ) verran tyylikäs, " back reikä " johtaa "takana reikä", eli " peräaukko .
Ohjelmisto keskittyy koneiden käyttöjärjestelmänä Windows 95 / 98 ja NT varten BO2K. Asiakas voi ajaa Windows 95/98 / NT- ja Unix-käyttöjärjestelmissä (vain konsoli). Ohjelma on itsenäinen: sen ei tarvitse asentaa muita työkaluja.
Kirjoittaja (Sir Dystic) täsmentää, että "BO: n kaksi laillista tavoitetta ovat [Microsoft-verkkojen] etähuolto ja ylläpito / seuranta".
Kirjoittaja pahoittelee BO2K: ta, että etäkäyttö, joka on hyvin yleistä Unix-tyyppisissä järjestelmissä ssh: n kautta , ei ole käytettävissä Windowsissa; tästä syystä he ovat parantaneet näiden järjestelmien hallinnointimahdollisuuksia. Hän "toivoo, että Microsoft tekee parhaansa varmistaakseen, että sen käyttöjärjestelmä on riittävän suunniteltu käsittelemään tehdyt parannukset".
Lehdistötiedotteessa todetaan, että BO2K "voisi painostaa Leviathania ottamaan käyttöön turvallisuusmallin käyttöjärjestelmässään" ja että "jos se epäonnistuu, heidän asiakkaansa ovat alttiita kekseille ".
Ohjelmiston alkuperäinen tarkoitus on kyseenalainen, sen kirjoittajat väittävät, että sen käyttö kaapattiin Troijan hevosen muodossa . Sen varkain käyttäytyminen ja erityisominaisuudet (kuten etäsalasanan palautus tai sisäänrakennettu näppäinlukija ) herättävät kuitenkin epäilyn tekijöiden todellisista motivaatioista. Siksi se on usein luokiteltu virukseksi tai matoksi, ja virustentorjuntaohjelmat tunnistavat sen usein vaaralliseksi .
Joka tapauksessa on selvää, että kyseessä on hyökkäys Microsoftia vastaan, joka käyttää tietoturvakäytännön puuttumista.
Tyypillinen selkäaukon ketju on *!*QWTY?. Hän käyttää satamaa 31337. Tämän valinnan syynä on se, että Leet puhuu , 31337lukee ELEET("eliitti"). Tämä portti on vaihdettavissa.
Hyökkääjän käyttämä asiakas on konfiguroitava, modulaarinen ja jopa skinnattava . Se sisältää kirjanmerkkijärjestelmän ja kirjaajan . Se voi muodostaa yhteyden useisiin palvelimiin samanaikaisesti.
Palvelin sisältää kuoren pääsyn telnetillä , näppäinloggerin , rekisterieditorin , HTTP-palvelimen , työkalut tiedostojen / ohjelmien siirtämiseen, poistamiseen ja asentamiseen etäyhteydellä, pääsyn Microsoft-verkkojen jakojärjestelmään, krakkausohjelman salasanan (NT / 95/98 ) ja jotain koneen uudelleenkäynnistämistä varten. Se tukee TCP-uudelleenohjauksia, DNS-tarkkuutta ja prosessinhallintaa (aloitus, lopetus, luettelointi). Se pystyy myös kaappaamaan järjestelmäviestit. Pääsy tähän kaikkeen tapahtuu osittain suoritettavaan tiedostoon sisältyvällä 8 kt: n dll : llä.
3DES ja lennon salaus , graafinen hallinta (työpöytä näppäimistöllä / hiirellä, rekisterieditori), UDP ja ICMP-tuki ovat myös käytettävissä.
"NOBO" -apuohjelmaa käytetään Back Orificen luoman verkkoliikenteen havaitsemiseen. Jos haluat poistaa BO: n, sinun tarvitsee vain poistaa palvelimen suoritettava tiedosto ja siihen liittyvä rekisteriavain ja käynnistää se sitten uudelleen.
Asennus tapahtuu yksinkertaisella ohjelman suorittamisella BOSERVE.EXE(122 kt): se nimeää itsensä uudeksi nimeksi .EXE(tiedoston nimi on välilyönti ) ja lisää tämän ohjelman polun rekisteriavaimeen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices. Palvelin toimii siis hiljaa joka kerta, kun kone käynnistetään; sitä ei myöskään näy suoritettujen prosessien luettelossa.
Graafisen asiakkaan käynnistää BOGUI.EXEja konsoliohjelman BOCLIENT.EXE.
Vuosi BO: n jälkeen Back Orifice 2000: n “ BO2K ” on BO: n kehitys, joka tuo joitain parannuksia ja erityisesti Windows NT: n tukea. Vuosi 2000 on myös viittaus Microsoftin tuotteisiin ( Windows 2000 ja Office 2000 ).