- Back Orifice
-
Back Orifice est un logiciel client/serveur d'administration et de prise de contrôle à distance de machines utilisant le système d'exploitation Windows ; il ne s'agit pas vraiment d'un virus, mais plutôt d'un rootkit.
Il est créé et distribué par un groupe de hackers, Cult of the Dead Cow (cDc), en août 1998[1]. L'auteur principal de Back Orifice est « Sir Dystic »[2] ; et celui de BO2K est « DilDog »[3]. Le code source est open-source (GNU GPL) et disponible sur sourceforge.
Sommaire
Origine et Cible
Son nom est inspiré par le logiciel Back Office de la société Microsoft ainsi que par le plaisir d'un jeu de mots quelque peu grivois.
Le logiciel s'attache aux machines utilisant un système d'exploitation Windows 95/98, et NT pour BO2K[3]. Le client peut s'exécuter sous Windows 95/98/NT et Unix (console uniquement)[4]. Le programme est autonome : il n'a pas besoin qu'on installe des outils annexes.
Finalité
L'auteur (Sir Dystic) précise que « les deux buts légitimes de BO sont la télémaintenance et la maintenance/surveillance [des réseaux Microsoft] »[2].
Pour BO2K, l'auteur regrette que l'accès à distance, chose très courante dans les systèmes de type Unix par le ssh, ne soit pas disponible sous Windows ; c'est pourquoi ils ont « amélioré les possibilités d'administration » de ces systèmes. Il « espère que Microsoft fera de son mieux pour s'assurer que son système d'exploitation est suffisamment bien conçu pour savoir gérer les améliorations apportées »[3].
Le communiqué de presse précise que BO2K « pourrait faire pression sur le léviathan [NdT: Microsoft] pour qu'il mette en place un modèle de sécurité dans son système d'exploitation » et qu'« en cas d'échec, leurs clients seront vulnérables aux crackers »[3].
La finalité originale de ce logiciel est douteuse, ses auteurs affirmant que son utilisation a été détournée sous forme de cheval de Troie. Toutefois, son comportement furtif et ses fonctionnalités spéciales (comme la récupération de mots de passe à distance, ou le keylogger intégré) laissent planer le doute sur les motivations réelles des auteurs. Il a ainsi souvent été classé comme virus ou ver et sa signature est fréquemment reconnue comme dangereuse par les logiciels antivirus.
En tout cas, il est clair qu'il s'agit d'une attaque contre Microsoft qui utilise l'absence de politique de sécurité[4].
Fonctionnement
La chaîne caractéristique de Back Orifice est
*!*QWTY?
. Il utilise le port31337
. On attribue ce choix au fait qu'en Leet speak,31337
se litELEET
(« élite »). Ce port est modifiable[4].Le client, utilisé par l'attaquant, est configurable, modulaire et même skinnable. Il comprend un système de Marque-page et un logger. Il peut se connecter sur plusieurs serveurs à la fois[5].
Le serveur comprend un accès à un shell par telnet, un keylogger, un éditeur de registre, un serveur http, des outils pour transférer, supprimer et installer des fichiers/programmes à distance, un accès au système de partage des réseaux Microsoft, un cracker de mot de passe (NT/95/98) et de quoi redémarrer la machine. Il supporte les redirections TCP, la résolution DNS et un contrôle des processus (démarrage, arrêt, listage)[5]. Il est aussi capable de détourner des messages système. L'accès à tout cela se fait en partie par une dll de 8ko incluse dans l'exécutable[4].
Des plug-ins de cryptage 3DES et à la volée, de contrôle graphique (bureau avec clavier/souris, éditeur de registre), de support de l'UDP et de l'ICMP sont également disponibles[5].
L'utilitaire « NOBO » permet de détecter le trafic réseau généré par Back Orifice. Pour supprimer BO, il suffit de supprimer l'excécutable serveur ainsi que la clé de base de registre associée, puis de redémarrer[4].
Utilisation
L'installation se fait par une simple exécution du programme
BOSERVE.EXE
(122ko) : celui va se renommer en.EXE
(le nom du fichier est un espace) et ajouter le chemin de ce programme à la clé de base de registreHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
. Le serveur s'exécutera ainsi silencieusement à chaque démarrage de la machine ; de plus, il n'est pas visible dans la liste des processus exécutés[4].Le client graphique est lancé par
BOGUI.EXE
et le client console parBOCLIENT.EXE
.Commandes de base
- System Info : liste les informations système : processeur, RAM, disques durs et partitions...
- File view : affiche le contenu d'un fichier ;
- HTTP Enable : lance le serveur http intégré ;
- Process list : liste les processus en cours d'exécution ;
- Reg list values : pour voir des clés de base de registre ;
- System dialogbox : affiche sur le serveur un message personnalisé ;
- System Passwords : pour voir tous les mots de passe stockés sur la machine en clair.
BO2K
Un an après BO[3], « BO2K », pour « Back Orifice 2000 », est une évolution de BO apportant quelques améliorations et notamment le support de Windows NT. Le 2000 est aussi une référence aux produits de Microsoft (Windows 2000 et Office 2000).
Notes et références
- (en) Whatis BO2K sur bo2k.com. Consulté le 19 avril 2010
- (en) cDc, The Deth Vegetable, « Running a Microsoft operating system on a network? Our condolences. » sur cultdeadcow.com, 21 juillet 1998. Consulté le 19 avril 2010
- (en) cDc, The Deth Vegetable, « BO2K Pressrelease » sur bo2k.com, 10 juillet 1999. Consulté le 19 avril 2010
- Tout ce que vous avez voulu savoir sur Back Orifice », 1998. Consulté le 19 avril 2010 Jean-Claude Bellamy, «
- (en) Feature list sur bo2k.com. Consulté le 19 avril 2010
Voir aussi
Articles connexes
Liens externes
Catégories :- Logiciel pour Windows
- Hacking (sécurité informatique)
- Cheval de Troie
Wikimedia Foundation. 2010.