Os Trojans Back Orifice e NetBus
O que e' Back Orifice?
BO nao e' um virus. E' um backdoor que pode ser
instalado em plataformas Windows 95/98. Uma vez instalado (o
servidor BO), ele permite a qualquer pessoa (que conheca de
antemao a porta em que ele "ouve" e a senha, nos casos
em que o servidor BO tenha sido configurado para requere-la)
acessar e controlar remotamente o sistema da maquina comprometida,
atraves de um programa especifico (cliente BO). As operacoes de
controle remoto que podem ser realizadas vao desde executar uma
simples listagem de arquivos ate' mesmo apagar arquivos ou
diretorios inteiros, ou ver as senhas, ler e-mails, executar
programas, etc.
O que e' NetBus?
NetBus tem funcionalidade similar ao BO e em alguns
casos e' mais avancado do que o BO. A principal vantagem do
NetBus e' que ele pode ser executado em plataformas Windows 95/98
e em plataformas NT.
Impacto:
Uma vez instalados, tanto o Back Orifice quanto o NetBus,
permitem a usuarios nao autorizados executar operacoes
privilegiadas na maquina comprometida.
Detectando a presenca
destes backdoors
Como detectar a
presenca do BO?
A instalacao do servidor BO inclue as etapas:
. instalacao de uma copia do servidor BO no diretorio do sistema
(C:\WINDOWS\SYSTEM), comumente com o nome ' .exe', mas o servidor
pode ser configurado para usar outro nome.
. criacao de uma chave de registro em:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
com o mesmo nome do servidor BO, acima mencionado. No campo de
descricao, por default, e' colocado "(Default)", mas o
servidor pode ser configurado para colocar um conteudo arbitrario.
. passa a ouvir, por default, a porta UDP 31337, mas o servidor
pode ser configurado durante a sua instalacao para "ouvir"
uma outra porta.
Portanto, para detectar a sua presenca, recomenda-se:
. Utilizando o programa C:\WINDOWS\REGEDIT.EXE, acessar a chave
de registro anteriormente mencionada, `a procura de arquivos
suspeitos.
. Execute o programa netstat `a procura de portas UDP abertas:
C:\WINSDOWS>netstat -an | find "UDP"
UDP 0.0.0.0:31337
Resultados que incluem uma linha como a acima mencionada, indicam
a presenca do BO. Como se mencionou anteriormente, BO pode ser
configurado para ouvir por uma outra porta diferente da default (31337),
portanto, se for detectado algum servico oferecido em alguma
outra porta suspeita, cheque a respectiva chave de registro.
Como detectar a presenca do NetBus?
A instalacao do servidor NetBus compreende:
. instalacao de uma copia do servidor NetBus no diretorio do
sistema (C:\WINDOWS\SYSTEM). Nas versoes 1.5x, o nome do servidor
normalmente e' 'SysEdit.exe', entanto que nas versoes 1.6x, o
nome comumente utilizado e' 'Patch.exe'. Em ambos os casos, eles
podem ser renomeados.
.se ele for executado com a opcao /add, ele iniciara' toda vez
que o Windows for inicializado. Neste caso, ele cria uma chave de
registro em: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
com o mesmo nome do servidor, mencionado anteriormente.
. usa sempre as portas TCP 12345 e 12346 para ouvir conexoes.
Portanto, para detectar a sua presenca, recomenda-se:
. Utilizando o programa C:\WINDOWS\REGEDIT.EXE, acessar a chave
de registro anteriormente mencionada, `a procura de arquivos
suspeitos.
. Execute o programa netstat `a procura das portas TCP que estao
sendo utilizadas.
C:\WINSDOWS>netstat -an | find "TCP"
TCP 0.0.0.0:12345
Resultados deste comando, que incluem uma linha como a acima
mencionada, indicam a presenca do NetBus.
. Certifique-se, se conectando `a porta 12345 da sua propria
maquina:
C:\WINDOWS>telnet localhost 12345
Se NetBus estiver instalado, aparecera' na tela algo do tipo: 'Netbus
1.53' ou 'Netbus 1.60 x'.
Retirando Back Orifice e
NetBus de maquinas comprometidas
Como retirar BO de uma
maquina comprometida?
O Back Orifice pode ser removido seguindo o procedimento
abaixo:
. Apagar a chave do registro com nome igual ao servidor BO.
. Reinicializar o sistema
. Apagar o servidor de BO do diretorio do sistema C:\WINDOWS\SYSTEM
Ferramentas:
Recentemente, tem surgido algumas ferramentas que
detectam e removem BO de maquinas comprometidas, dentre elas:
BODetect, BackOrifice Elimitator, Antigen, Toilet Paper. BODetect
parece ser o mais conceituado (http://www.spiritone.com/~cbenson/current_projects/
backorifice/bodetect.htm).
OBS: TOME CUIDADO COM OS "TROJANS"!!
Em particular, surgiu um programa chamado BOSNIFFER,
distribuido publicamente com os nomes de bosniffer.exe e
bosniffer.zip, que proclama ser uma ferramenta para "detectar
e retirar Back Orifice" da maquina comprometida.
O CAIS adverte que o BoSniffer e' um trojan, este programa nada
mais e' do que o proprio servidor Back Orifice com o "SpeakEasy",
um plug-in do BO. Se executado, este programa nao somente instala
o servidor BO na maquina, como tambem tenta acessar o canal #BO_OWNED
de um servidor IRC predefinido, com o intuito de anunciar o IP da
mais recente vitima.
O BoSniffer NAO deve ser
usado!
Como retirar NetBus de
uma maquina comprometida?
. Para versoes 1.5x, siga
o procedimento em:
http://members.spree.com/NetBus/remove_1.html
. Para versoes 1.6x, siga
o procedimento em:
http://members.spree.com/NetBus/remove_2.html
Acoes recomendadas:
. Siga os procedimentos descritos acima para detectar a
presenca do Back Orifice e do NetBus na sua maquina. Se ele for
detectado, siga os procedimentos indicados para retira-lo da
maquina comprometida.
. Caso voce tenha sido uma vitima, assuma que a sua maquina pode
ter sido comprometida de diversas formas, pois ela foi invadida.
Mesmo depois de ter retirado completamente o backdoor,
recomendamos que tome algumas precaucoes adicionais, tais como:
procurar por possiveis virus instalados, providenciar que as
senhas sejam trocadas pois elas podem ja' ter sido reveladas, etc.
. Para BO ter sido instalado em uma determinada maquina, ele deve
ter sido deliberadamente instalado por algum usuario ou o usuario
ter sido induzido a instala-lo.
Neste ultimo caso, o BO pode chegar "disfarcado" como
um componente de qualquer instalacao de software. Por isso,
recomenda-se muito cuidado ao baixar "utilitarios" da
rede se a fonte do programa nao for reconhecidamente confiavel.
Outra maneira muito em volga de passar o cavalo de troia e'
atraves de attachments, recomenda-se cuidado ao clicar em
executaveis que venham como attachments.
. Finalmente, em contrapartida, tentando evitar que sua rede
sirva de base de ataques deste tipo (acesso atraves de backdoors),
a recomendacao do CAIS e' que sejam colocados filtros barrando a
saida de pacotes udp destinados `a porta default do BO (31337) e
pacotes tcp destinados `a porta default do NetBus (12345).
Seguindo esta recomendacao, voce consegue, ao menos, evitar os
ataques de "lammers", que, geralmente, nao fazem
modificacoes nos programas de hackers e os utilizam nas suas
configuracoes default.
Conclusoes
Back Orifice e NetBus permitem, muito facilmente, a
instalacao de backdoors em maquinas Windows 95/98/NT. Embora eles
possam ser detectados e retirados da maquina comprometida com
certa facilidade, cabe ao administrador do sistema tentar se
prevenir contra este tipo de ataques. Mas os usuarios devem ser
conscientizados dos perigos que representam os cavalos de troia
existentes na internet.
Se por um lado, Back Orifice e NetBus podem ser consideradas
ferramentas de administracao remota para administradores, estas
ferramentas muito facilmente podem (e na verdade e' isto que vem
acontecendo) ser utilizadas por usuarios mal-intencionados.
-----------------------------------------------------------------
Leitura adicional :
Cult of the Dead Cow Back Orifice Backdoor
http://www.iss.net/xforce/alerts/advise5.html
Windows Backdoors Update
http://www.iss.net/xforce/alerts/advise8.html
The Back Orifice "Backdoor"
Program
http://www.nwi.net/~pchelp/bo.html
Fonte: Centro de Atendimento a Incidentes de Seguranca (CAIS/RNP)