Premessa

Questo è un articolo scritto e tratto dal Security FAQ - versione 4.0 Insmod
del mitico Massimiliano Baldinelli e Company :-))

Cos'e' Back Orifice (chiamato BO)?

E' un programma cosiddetto trojan, che permette intrusioni indesiderate
nel proprio computer. BO e' l'acronimo di Back Orifice, nome che irride il prodotto
Back Office di Microsoft, oltre ad essere molto esplicito sulla parte del corpo
che duole dopo esserselo installato :-))). Esso si compone di un client e di
un server, quest'ultimo dev'essere installato sul computer della vittima, dopodiche'
il client permette al "buon samaritano" che lo possiede, e a chiunque
abbia il client installato, di compiere varie operazioni sul computer "boservizzato"
(viene indicato in questo modo un computer che abbia installato il<>

Bo fa parte della categoria delle backdoor. In effetti, nel sito Web dei creatori
di Back Orifice (il gruppo Cult of the Dead Cow, http://www.cultdeadcow.com),
esso e' definito come un programma di controllo a distanza. Da notare che esso
funziona perfettamente sia sotto Windows 95 che sotto Windows 98, mentre non
se ne conosce ancora una versione per Windows NT.

Infettare con il Bo

Il veicolo di trasmissione di Bo e' un programma chiamato SilkRope. Esso
incapsula il server di Bo in un altro programma in maniera apparentemente invisibile,
a meno di non aprirlo con un editor, e lo installa quando il programma viene
eseguito (ecco il parallelo col Cavallo di Troia). E' questa caratteristica
che giustifica il fatto di considerare Back Orifice un trojan, oltre che una
backdoor.

Cosa si fa con BO

E' possibile eseguire operazioni remote sul computer boservizzato come se si
stesse operando direttamente su di esso. Bo mette in grado il suo utilizzatore
anche di conoscere eventuali password digitate, intercettando la tastiera (funzione
svolta dal file windll.dll). Si puo' anche aprire la porta 23 (telnet) sul PC
boservizzato. In tal caso e' possibile avere una shell sul computer della vittima,
proprio come se si telnettasse su sistemi Unix, utilizzando pero' in questo
caso il command.com del DOS invece delle shell Unix come bash.

Come faccio a sapere se ho il Bo?

Di certo non leggendo la finestra che appare premendo CTRL-ALT-DEL.
Bo usa una funzione dell'API di Windows che serve a nascondere il
processo che la chiama. "Nascondere" vuol dire appunto che non si
vede nella taskbar ne' nella finestra che appare premendo CTRL-ALT-DEL.
Mentre si e' in linea, aprite una finestra DOS e lanciate il comando
netstat -na. Questo mostrera' tutte le connessioni attive in quel
momento (aggiungere un numero per specificare un controllo periodico
ogni secondi): se fra esse ce n'e' una sulla porta 31337, e' lui!
Questo non esaurisce l'argomento, dato che la porta e' configurabile e
quindi puo' essere cambiata da chi tenta di introdursi nelle macchine
altrui. Naturalmente l'infame puo' decidere di manifestarsi apertamente,
con messaggi pop-up, e in tal caso non c'e' dubbio. Un programma utile
al controllo e' AVP System Watcher (http://www.avp.it, freeware), che
controlla il sistema alla ricerca di BO.

Antigen è un altro programma per eliminare il Boserve nella forma di
default. In ogni caso, anche se il Boserve che vi siete ritrovati
sull'HD ha nome e porta di comunicazione differenti, Antigen non
riesce a rimuoverlo ma vi rivela comunque la sua presenza e lo
disattiva sino al seguente reboot (non riesce a cancellare l'exe del
bo in versione non default e la seguente chiamata dal registro di Win).

Ho scoperto di avere Bo, come lo tolgo?

Si puo' fare anche a mano. Cercare e cancellare i file " .exe" (si',
il nome del file e' uno spazio) e windll.dll. Il primo e' il server
vero e proprio. Cercare comunque la stringa "bofilemap" nell'hard<>

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

dove sono i programmi lanciati all'avvio. Cancellare da tale chiave

qualunque cosa non sia di "sicura" provenienza (esempi di applicazioni
"sicure" sono la Barra di Office, antivirus, demone ICQ, ...).
Controllare anche

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce

Ma il file windll.dll non e' un file di sistema di Windows?

No. Il file windll.dll viene creato dal boserve.exe quando viene eseguito la
prima volta. Attenzione che il fatto di non averlo puo' non essere significativo:
il nome di questo file puo' essere facilmente modificato all'interno del file
boserve.exe usando un editor esadecimale. AVP System Watcher, quando deve rimuovere
la dll creata dal BO, prevede questa possibilita' ed e' in grado di eliminarla
anche se ha un altro nome.

Come possono interagire telnet e BO?

Per quanto riguarda una sessione telnet, la si può aprire, ma dal client
Bo. Il comando è App Add, si deve scrivere nella finestra exe.location
Command.com e scegliere una porta a piacere come listen port. Poi si fa telnet
all'indirizzo ip target sulla porta appena scelta... E' una vera e propria shell.
Per quanto riguarda invece il comunicare col server del BO tramite telnet, cioe'
collegarsi alla sua 31337 (o qualunque altra porta abbia configurato) con telnet,
non si puo' fare. Il motivo e' che BO usa UDP, mentre telnet usa TCP.

Se ho il client di una backdoor, la mia vittima potrebbe a sua volta entrarmi
nel computer?

No. Il BOGUI non "interpreta" e non "esegue" quello che
gli arriva dalla porta che tiene aperta. Pero' vuole un pacchetto UDP onesto,
questo si'. Se su quella porta arriva un nuke - BOGUI e' li' a pigliarselo.
Non puoi neanche usare NukeNabber... perche' altrimenti non funzionerebbe piu'
il BOGUI! 8-)

Leonardo

Ho messo sotto controllo la porta 31337. Sono al sicuro?

Non direi. Pe default, il BO apre in listening una sola porta TCP/UDP: la 31337
(in realta' sono due, dal momento che le porte TCP sono diverse da quelle UDP,
anche se hanno lo stesso indirizzo). Volendo e' possibile impedire/monitorare
il flusso di dati da certe porte, i firewall servono proprio a questo (ad es.,
Conseal o Green Dog). Il problema e' che il BO puo' essere configurato per "ascoltare"
anche da porte diverse da quella di default.

(P.Monti)