Os Trojans Back Orifice e NetBus

O que e' Back Orifice?

BO nao e' um virus. E' um backdoor que pode ser instalado em plataformas Windows 95/98. Uma vez instalado (o servidor BO), ele permite a qualquer pessoa (que conheca de antemao a porta em que ele "ouve" e a senha, nos casos em que o servidor BO tenha sido configurado para requere-la) acessar e controlar remotamente o sistema da maquina comprometida, atraves de um programa especifico (cliente BO). As operacoes de controle remoto que podem ser realizadas vao desde executar uma simples listagem de arquivos ate' mesmo apagar arquivos ou diretorios inteiros, ou ver as senhas, ler e-mails, executar programas, etc.

O que e' NetBus?

NetBus tem funcionalidade similar ao BO e em alguns casos e' mais avancado do que o BO. A principal vantagem do NetBus e' que ele pode ser executado em plataformas Windows 95/98 e em plataformas NT.

Impacto:

Uma vez instalados, tanto o Back Orifice quanto o NetBus, permitem a usuarios nao autorizados executar operacoes privilegiadas na maquina comprometida.


Detectando a presenca destes backdoors

Como detectar a presenca do BO?

A instalacao do servidor BO inclue as etapas:

. instalacao de uma copia do servidor BO no diretorio do sistema (C:\WINDOWS\SYSTEM), comumente com o nome ' .exe', mas o servidor pode ser configurado para usar outro nome.

. criacao de uma chave de registro em:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices com o mesmo nome do servidor BO, acima mencionado. No campo de descricao, por default, e' colocado "(Default)", mas o servidor pode ser configurado para colocar um conteudo arbitrario.

. passa a ouvir, por default, a porta UDP 31337, mas o servidor pode ser configurado durante a sua instalacao para "ouvir" uma outra porta.

Portanto, para detectar a sua presenca, recomenda-se:

. Utilizando o programa C:\WINDOWS\REGEDIT.EXE, acessar a chave de registro anteriormente mencionada, `a procura de arquivos suspeitos.

. Execute o programa netstat `a procura de portas UDP abertas:

C:\WINSDOWS>netstat -an | find "UDP"
UDP 0.0.0.0:31337

Resultados que incluem uma linha como a acima mencionada, indicam a presenca do BO. Como se mencionou anteriormente, BO pode ser configurado para ouvir por uma outra porta diferente da default (31337), portanto, se for detectado algum servico oferecido em alguma outra porta suspeita, cheque a respectiva chave de registro.


Como detectar a presenca do NetBus?

A instalacao do servidor NetBus compreende:

. instalacao de uma copia do servidor NetBus no diretorio do sistema (C:\WINDOWS\SYSTEM). Nas versoes 1.5x, o nome do servidor normalmente e' 'SysEdit.exe', entanto que nas versoes 1.6x, o nome comumente utilizado e' 'Patch.exe'. Em ambos os casos, eles podem ser renomeados.

.se ele for executado com a opcao /add, ele iniciara' toda vez que o Windows for inicializado. Neste caso, ele cria uma chave de registro em: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, com o mesmo nome do servidor, mencionado anteriormente.

. usa sempre as portas TCP 12345 e 12346 para ouvir conexoes.

Portanto, para detectar a sua presenca, recomenda-se:

. Utilizando o programa C:\WINDOWS\REGEDIT.EXE, acessar a chave de registro anteriormente mencionada, `a procura de arquivos suspeitos.

. Execute o programa netstat `a procura das portas TCP que estao sendo utilizadas.

C:\WINSDOWS>netstat -an | find "TCP"
TCP 0.0.0.0:12345

Resultados deste comando, que incluem uma linha como a acima mencionada, indicam a presenca do NetBus.

. Certifique-se, se conectando `a porta 12345 da sua propria maquina:
C:\WINDOWS>telnet localhost 12345

Se NetBus estiver instalado, aparecera' na tela algo do tipo: 'Netbus 1.53' ou 'Netbus 1.60 x'.


Retirando Back Orifice e NetBus de maquinas comprometidas

Como retirar BO de uma maquina comprometida?

O Back Orifice pode ser removido seguindo o procedimento abaixo:

. Apagar a chave do registro com nome igual ao servidor BO.

. Reinicializar o sistema

. Apagar o servidor de BO do diretorio do sistema C:\WINDOWS\SYSTEM


Ferramentas:

Recentemente, tem surgido algumas ferramentas que detectam e removem BO de maquinas comprometidas, dentre elas: BODetect, BackOrifice Elimitator, Antigen, Toilet Paper. BODetect parece ser o mais conceituado (http://www.spiritone.com/~cbenson/current_projects/ backorifice/bodetect.htm).

OBS: TOME CUIDADO COM OS "TROJANS"!!

Em particular, surgiu um programa chamado BOSNIFFER, distribuido publicamente com os nomes de bosniffer.exe e bosniffer.zip, que proclama ser uma ferramenta para "detectar e retirar Back Orifice" da maquina comprometida.

O CAIS adverte que o BoSniffer e' um trojan, este programa nada mais e' do que o proprio servidor Back Orifice com o "SpeakEasy", um plug-in do BO. Se executado, este programa nao somente instala o servidor BO na maquina, como tambem tenta acessar o canal #BO_OWNED de um servidor IRC predefinido, com o intuito de anunciar o IP da mais recente vitima.


O BoSniffer NAO deve ser usado!

Como retirar NetBus de uma maquina comprometida?

. Para versoes 1.5x, siga o procedimento em:
http://members.spree.com/NetBus/remove_1.html

. Para versoes 1.6x, siga o procedimento em:
http://members.spree.com/NetBus/remove_2.html


Acoes recomendadas:


. Siga os procedimentos descritos acima para detectar a presenca do Back Orifice e do NetBus na sua maquina. Se ele for detectado, siga os procedimentos indicados para retira-lo da maquina comprometida.

. Caso voce tenha sido uma vitima, assuma que a sua maquina pode ter sido comprometida de diversas formas, pois ela foi invadida. Mesmo depois de ter retirado completamente o backdoor, recomendamos que tome algumas precaucoes adicionais, tais como: procurar por possiveis virus instalados, providenciar que as senhas sejam trocadas pois elas podem ja' ter sido reveladas, etc.

. Para BO ter sido instalado em uma determinada maquina, ele deve ter sido deliberadamente instalado por algum usuario ou o usuario ter sido induzido a instala-lo.

Neste ultimo caso, o BO pode chegar "disfarcado" como um componente de qualquer instalacao de software. Por isso, recomenda-se muito cuidado ao baixar "utilitarios" da rede se a fonte do programa nao for reconhecidamente confiavel. Outra maneira muito em volga de passar o cavalo de troia e' atraves de attachments, recomenda-se cuidado ao clicar em executaveis que venham como attachments.

. Finalmente, em contrapartida, tentando evitar que sua rede sirva de base de ataques deste tipo (acesso atraves de backdoors), a recomendacao do CAIS e' que sejam colocados filtros barrando a saida de pacotes udp destinados `a porta default do BO (31337) e pacotes tcp destinados `a porta default do NetBus (12345). Seguindo esta recomendacao, voce consegue, ao menos, evitar os ataques de "lammers", que, geralmente, nao fazem modificacoes nos programas de hackers e os utilizam nas suas configuracoes default.

Conclusoes

Back Orifice e NetBus permitem, muito facilmente, a instalacao de backdoors em maquinas Windows 95/98/NT. Embora eles possam ser detectados e retirados da maquina comprometida com certa facilidade, cabe ao administrador do sistema tentar se prevenir contra este tipo de ataques. Mas os usuarios devem ser conscientizados dos perigos que representam os cavalos de troia existentes na internet.

Se por um lado, Back Orifice e NetBus podem ser consideradas ferramentas de administracao remota para administradores, estas ferramentas muito facilmente podem (e na verdade e' isto que vem acontecendo) ser utilizadas por usuarios mal-intencionados.


-----------------------------------------------------------------

Leitura adicional :

Cult of the Dead Cow Back Orifice Backdoor

http://www.iss.net/xforce/alerts/advise5.html

Windows Backdoors Update
http://www.iss.net/xforce/alerts/advise8.html

The Back Orifice "Backdoor" Program
http://www.nwi.net/~pchelp/bo.html

Fonte: Centro de Atendimento a Incidentes de Seguranca (CAIS/RNP)