Friday, May 11, 2007

Back Orifice a NetBus

Ačkoli jsou oba tyto nástroje graficky orientované (NetBus dokonce poskytuje jednoduché řízení deskopu), využívají spíše vzdálené volání funkcí Windows API. Měly by tedy bát spíše klasifikované jako zadní vrátka založena na volání vzdálených procedur než řídící grafické utility. Nyní se soustředíme na skrytá místa, do kterých je může případný útočník nainstalovat.. Původní Back Orifice sever (BO) může být nakonfigurován tak, aby se instaloval a spouštěl jako soubor libovolného jména (implicitně [mezera].exe). Aby byl zajištěn jeho start po restartu systému, přida záznam do HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices. Po spuštění naslouchá implicitně na port 31337.. Ted vyšla nová verze Back Orifice 2000 kterou najdete v Downloadech na http://hackchat.podebrady.net má všecky funkce jako originál,, ale navíc ji lze provozovat i na Windows 2000 a je pro ni dostupný vývojový kit. Lze taky vytvořit mnoho variant programu, jehož detekce (například antivirovým programem) je pak velmi složitá. V implicitní konfiguraci naslouchá na TCP portu 54320 nebo UDP portu 54321 a kopíruje se do adresáře %systemroot%pod jménem UMGR32.EXE.