Back Orifice
Back Orifice est un logiciel client/serveur d'administration et de prise de contrôle à distance de machines utilisant le système d'exploitation Windows ; il ne s'agit pas vraiment d'un virus, mais plutôt d'un rootkit.
Développé par | Cult of the Dead Cow |
---|---|
Langues | Anglais |
Type | Rootkit |
Licence | Licence publique générale GNU version 2 et licence publique générale limitée GNU version 2.0 (d) |
Site web | www.cultdeadcow.com/tools/bo.html |
Chronologie des versions
Il est créé et distribué par un groupe de hackers, Cult of the Dead Cow (cDc), en août 1998[1]. L'auteur principal de Back Orifice est « Sir Dystic »[2] ; et celui de BO2K est « DilDog »[3]. Le programme est open source sous licence GNU GPL, son code source est disponible sur Sourceforge[4].
Origine et cible
Son nom est inspiré par le logiciel Back Office de la société Microsoft ainsi que par le plaisir d'un jeu de mots (techniquement, un métaplasme) quelque peu grivois, « back orifice » se traduisant par « orifice de derrière », autrement dit l'anus.
Le logiciel s'attache aux machines utilisant un système d'exploitation Windows 95/98, et NT pour BO2K[3]. Le client peut s'exécuter sous Windows 95/98/NT et Unix (console uniquement)[5]. Le programme est autonome : il n'a pas besoin qu'on installe des outils annexes.
Finalité
L'auteur (Sir Dystic) précise que « les deux buts légitimes de BO sont la télémaintenance et la maintenance/surveillance [des réseaux Microsoft] »[2].
Pour BO2K, l'auteur regrette que l'accès à distance, chose très courante dans les systèmes de type Unix par le ssh, ne soit pas disponible sous Windows ; c'est pourquoi ils ont « amélioré les possibilités d'administration » de ces systèmes. Il « espère que Microsoft fera de son mieux pour s'assurer que son système d'exploitation est suffisamment bien conçu pour savoir gérer les améliorations apportées »[3].
Le communiqué de presse précise que BO2K « pourrait faire pression sur le léviathan [NdT: Microsoft] pour qu'il mette en place un modèle de sécurité dans son système d'exploitation » et qu'« en cas d'échec, leurs clients seront vulnérables aux crackers »[3].
La finalité originale de ce logiciel est douteuse, ses auteurs affirmant que son utilisation a été détournée sous forme de cheval de Troie. Toutefois, son comportement furtif et ses fonctionnalités spéciales (comme la récupération de mots de passe à distance, ou le keylogger intégré) laissent planer le doute sur les motivations réelles des auteurs. Il a ainsi souvent été classé comme virus ou ver et sa signature est fréquemment reconnue comme dangereuse par les logiciels antivirus.
En tout cas, il est clair qu'il s'agit d'une attaque contre Microsoft qui utilise l'absence de politique de sécurité[5].
Fonctionnement
La chaîne caractéristique de Back Orifice est *!*QWTY?
. Il utilise le port 31337
. On attribue ce choix au fait qu'en Leet speak, 31337
se lit ELEET
(« élite »). Ce port est modifiable[5].
Le client, utilisé par l'attaquant, est configurable, modulaire et même skinnable. Il comprend un système de marque-page et un logger. Il peut se connecter sur plusieurs serveurs à la fois[6].
Le serveur comprend un accès à un shell par telnet, un keylogger, un éditeur de registre, un serveur HTTP, des outils pour transférer, supprimer et installer des fichiers/programmes à distance, un accès au système de partage des réseaux Microsoft, un cracker de mot de passe (NT/95/98) et de quoi redémarrer la machine. Il supporte les redirections TCP, la résolution DNS et un contrôle des processus (démarrage, arrêt, listage)[6]. Il est aussi capable de détourner des messages système. L'accès à tout cela se fait en partie par une dll de 8ko incluse dans l'exécutable[5].
Des plug-ins de chiffrement 3DES et à la volée, de contrôle graphique (bureau avec clavier/souris, éditeur de registre), de support de l'UDP et de l'ICMP sont également disponibles[6].
L'utilitaire « NOBO » permet de détecter le trafic réseau généré par Back Orifice. Pour supprimer BO, il suffit de supprimer l'exécutable serveur ainsi que la clé de base de registre associée, puis de redémarrer[5].
Utilisation
L'installation se fait par une simple exécution du programme BOSERVE.EXE
(122ko) : celui-ci va se renommer en .EXE
(le nom du fichier est une espace) et ajouter le chemin de ce programme à la clé de base de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
. Le serveur s'exécutera ainsi silencieusement à chaque démarrage de la machine ; de plus, il n'est pas visible dans la liste des processus exécutés[5].
Le client graphique est lancé par BOGUI.EXE
et le client console par BOCLIENT.EXE
.
Commandes de base
- System Info : liste les informations système : processeur, RAM, disques durs et partitions...
- File view : affiche le contenu d'un fichier ;
- HTTP Enable : lance le serveur http intégré ;
- Process list : liste les processus en cours d'exécution ;
- Reg list values : pour voir des clés de base de registre ;
- System dialogbox : affiche sur le serveur un message personnalisé ;
- System Passwords : pour voir tous les mots de passe stockés sur la machine en clair.
BO2K
Un an après BO[3], « BO2K », pour « Back Orifice 2000 », est une évolution de BO apportant quelques améliorations et notamment le support de Windows NT. Le 2000 est aussi une référence aux produits de Microsoft (Windows 2000 et Office 2000).
Notes et références
- (en) « Whatis BO2K », sur bo2k.com (consulté le )
- (en) cDc, The Deth Vegetable, « Running a Microsoft operating system on a network? Our condolences. », sur cultdeadcow.com, (consulté le )
- (en) cDc, The Deth Vegetable, « BO2K Pressrelease », sur bo2k.com, (consulté le )
- (en) « Back Orifice XP », sur SourceForge (consulté le ).
- Jean-Claude Bellamy, « Tout ce que vous avez voulu savoir sur Back Orifice », (consulté le )
- (en) « Feature list », sur bo2k.com (consulté le )
Voir aussi
Articles connexes
Liens externes
- Portail de la sécurité informatique