Черный ход и средства удаленного доступа

Back Orifice

Программа Back Orifice 2000 (BO2k) представляет собой следующее поколение утилит доступа с черного хода, которые следуют за Netbus. BO2k предоставляет великолепную функциональность для взломщика, а также обеспечивает расширение функций, поскольку разработан специально с возможностью добавления плагинов (дополнительных модулей). Поскольку обсуждение всех доступных плагинов займет слишком много времени, то мы остановимся только на базовых функциях BO2k. Программа размещается на большинстве сайтов, посвященных вопросам безопасности, включая такие как http://www.packetstormsecurity.com, http://www.tlsecurity.com и http://www.securityfocus.com. Поскольку разработали эту программу авторы - члены группы "Cult of the Dead Cow" (Культ мертвой коровы), то вы также можете найти эту программу на сайте http://www.cultdeadcow.com/, который переадресует вас к наиболее популярному репозиторию файлов.

Реализация

Программа BO2k обеспечивает большинство функций, поддерживаемых Netbus. Чтобы сделать BO2k -сервер подходящим для использования в качестве сервера черного хода на атакуемой машине, вы должны сконфигурировать его с использованием утилиты конфигурирования на атакуемой машине. Следующая последовательность действий позволяет подготовить сервер BO2k с использованием мастера конфигурирования, запускающегося при первом запуске BO2k.

1. Когда появится заставка мастера конфигурирования, щелкните на кнопке Next.
2. Мастер потребует у вас ввести название исполняемого модуля сервера, который будет редактироваться. Поскольку может быть доступно множество копий исполняемого модуля (по одному для каждой атакуемой машины), на этой странице должен быть выбран один из них.
3. BO2k - один из немногих пакетов программ, обеспечивающих доступ через черный ход, которые могут работать поверх TCP- и UDP-протоколов. Протокол TCP выбирается обычно, если устойчивость соединения не вызывает сомнений. UDP-протокол выбирается в том случае, если есть трудности в преодолении системы безопасности (например, системный администратор может случайно оставить один из UDP-портов открытым).
4. Поскольку большинство взломщиков хотели бы использовать протокол TCP для управления сервером BO2k, то в следующем окне представлен запрос на номер порта, который будет использоваться. Поскольку 80 порт обычно более доступен, чем любой другой, выберите его.
5. BO2k предоставляет возможность шифрования канала связи между клиентом и сервером. Версия, которую мы скачали, показана на следующей иллюстрации. Она предлагает только XOR-шифрование, которое известно как слабое, но все же лучше, чем простой текст.
   

   
   
6. На следующем экране введите пароль, который используется для доступа к серверу. Пароль для доступа с черного хода - отличная вещь для взломщика/аудитора, но если слово будет использоваться без подтверждения полномочий, то обычно это плохо.
7. Как только мастер закончит работу, будет загружена утилита настройки сервера.
8. Посмотрите, как проверить различные параметры настройки сервера, которые мастер заполнил на основании информации, полученной от вас.
   

   
   
9. Теперь убедитесь, что сервер загружен в директорию автозапуска. Это позволит серверу запускаться всякий раз после перезагрузки машины. Чтобы это сделать, выберите папку Startup на панели Option Variables слева внизу. Этот параметр обеспечит помещение исполняемого модуля сервера в директорию автозапуска.
   

   
   
10. Щелкните на кнопке Save Server после того, как завершите все изменения.

Сконфигурированный сервер готов к установке на атакуемую машину. На атакуемой машине может выполняться только файл bo2k.exe. Если этот файл будет запущен, он откроет сконфигурированный вами порт. На следующей иллюстрации обратите внимание, что на атакуемой машине 80 порт открыт.

увеличить изображение

Теперь соединимся с атакуемой машиной.

1. Запустите программу bo2kgui.exe.
2. В открытом окне следует выбрать File/Add Server, если созданного вами сервера нет в списке. Откроется диалоговое окно Edit Server Settings, и вы сможете ввести информацию для атакуемого сервера.
   

   
   
3. Как только вы закончите конфигурирование соединения, щелкните на кнопке OK.
4. Дважды щелкните на сервере BO2k, который вы только что открыли. Откроется диалоговое окно Server Command Client.
5. Щелкните на кнопке Connect to. Как только вы соединитесь, кнопка изменится на Disconnect, как это показано на следующем рисунке, и вы увидите версию сервера, напечатанную поверх результирующего диалогового окна.