MANUAL BACK ORIFICE

MANUAL DE INSTRUCCIONES DEL BACK ORIFICE
-------------------------------------------------

By eL Qva$aR - {Q#}

0.- Indice.
------------

1.- Que es el BO?
2.- Caracteristicas del BO.
3.- Comandos.
4.- Consejillos.
5.- Detectores y avisadores.


1.- Que es el BO?

Pues resulta que el BO no es mas ni menos que un virus. Lo que ocurre es que
es un virus muy potente pero muy sencillo. Potente, porque un ordenador
infectado con el BO permite a cualquier persona (conectada a internet) entrar
y disponer del PC completamente. Sencillo, porque no se trata de un virus
convencional. No es un virus con efecto destructivo y de esos tan infecciosos
y escondidos que son tan complicados de desinfectar. Sencillamente se trata
de un troyano.

Un troyano es un virus que viene escondido en otro programa y que necesita ser
ejecutado por el usuario para instalarse en el sistema. No es infeccioso, es
decir no tiene un trozo de codigo destinado a que el virus infecte todo lo que
pilla, mas bien simpre forma parte del programa en el viene o fue puesto. No
contamina a otros programas. Cuando se ejecuta el file se instala y desaparece
dejando unicamente la huella de su efecto para el que fue dise¤ado.

Si es detectable, aunque por las caracteristicas del virus (troyano)la
malloria de los antivirus no lo detectan.

No trae efecto destructivo propiamente dicho. La 'destruccion' la causan los
espabilaos que se van colando en el ordenador y hacen de sus malas gracias.


2.- Caracteristicas del BO
----------------------------

El BO en verdad es un programa que establece una conexion cliente servidor
entre la victima y el espabilao.

El programa cliente forma parte del ordenata del agresor mientras el servidor
debe ser instalado en el ordenata de la victima. Por eso, la parte infecciosa
del virus no la trae el, sino que son las propias personas quienes lo
distribuyen por las ventajas que el propio virus facilita al agresor cuando
esta instalado.

Funciona en ventanukos95, osr2 y ventanukos98. Lo unico que hace en su
instalacion es modificar una DLL del ventanukos a la que a¤ade multitud de
nuevos comandos accesibles por el agresor desde su ordenador.

3.- Comandos del cliente
--------------------------


- App add - 

Sirve para asignar una aplicadion a un puerto y tener acceso a ella
a traves de ese puerto mediante via telnet. La mallor utilidad de
este comando es cargar el command.com y asignarle un puerto.

ejemplo: Exen location _parametres= c:\command.com
Port = 23

Ahora se le hace telnet a la victima y veremos como se convierte en un shell del dos. Esto abre oportunidades interesantes, como es ejecutar comandos de dos que desde otro lado no podiamos. Si sabemos que la victima ya tiene un atacante que ha abierto un HTTP server, le ejecutamos el comando netstat a la victima y averiguamos asi quien es el otro atacante.


- App del -

Cuando se abre una aplicacion se le coloca un ID (numero de
aplicacion abierta). Para borrar una aplicacion abierta necesitamos
ese ID. Es el primer nimero que sale cuando abrimos la aplicacion.

- Apps list -

Lista las aplicaciones abierta. Aunke las haya abierto otro
tambien las muestra. Esto tambien abre muchas oportunidades...
pensad pensad...

- Directory Create -

Crea directorio. MD del dos


- Directory List -

DIR del dos......lista directorios

- Directory remove -

Pues este borra los directorios...

- Exports add -

- Exports delete -

- Exports list -

- File copy -

Copia un fichero de un lugar a otro del ordenata de la victima.

- File delete -

Te cargas lo que le pongas.

- File find -

Busca un file en el ordenador de la victima. Es muy util cuando no
sabemos donde esta un fichero que hemos abierto o subido.
Ejemplo: cuando hacemos un keylog.

- File freeze -

Comprime ficherillo en el ordenata de la victima.

- File melt -

Lo descomprime.

- File view -

Es el TYPE del DOS. Muestra el contenido de un fichero (de texto).

- Http Disble -

Desactiva servidor HTTP

- Http enable -

Activa servidor HTTP. Esto permite acceder al ordenador de la victima
mediante el navegador. Esta forma de hacerlo es la mas practica de
todas pero la mas detectable. Estariamos al descubierto con un simple
netstat. El modo de funcionar es muy sencillo. Se le indica al bogui
el puerto (ejemplo 83) y la unidad (ejemplo c:). Luego en el navegador
ponermos en el espacio de url: http://IP_de_la_victima:port. En
nuestro ejemplo: http://234.432.123.53:83
Al final de la pagina esta la opcion UPLOAD por si queremos dejarle algun regalo. Si pinchamos sobre algun archivo nos lo bajamos o si es una imagen, un txt o un html lo muestra directamente.


- Keylog begin -

Activa el capturador de teclas. Podemos capturar asi todo lo que
escribe la victima.
Se nos pide el nombre del fichero donde se grabara.
Ejem: C:\system.txt.
Luego ya sea con file view o desde el HTTP server leemos el archivo
cada 'x' tiempo y sabes que hace.

- Keylog end -

Desactiva el keylog.

- MM Capture avi -

Pues eso...captura en ofrmato video lo que hace la victima.
Necesitamos especificar el nombre del fichero por un lado y el el
otro los segundo y el tamaño de la imagen.

- MM Capture frame -

Captura la pantalla pero se le puede dar dimensiones a la pantalla.
En formato BMP.

- MM capture screen -

Captura la pantalla tal y como es. Solo requiere el nombre del
fichero. Graba en BMP.

- MM List capture -

Lista los procedimientos de captura que se estan llevando acabo...

- MM Play sound -

Hace sonar un fichero wav que se encuentra en el ordenador de la
victima. Por lo tanto si queremos uqe suene algo nuestro priemro hay
que subirselo.

- Net connections -

Muestra las conexiones netbios que estan en marcha.

- Net delete -

Borra algun recuerso de red de netbios.

- Net use -

es el comando NET USE de netbios. Asigna un recurso netbios a una
unidad. Necesitamos pasword si es ke lleva. Normalmente si.

- Net view -

Es el comando NET VIEW de netbios. Establece una relacion de los
recursos netbios abiertos.

- Ping host -

Pues eso. Para saber si un host-victima esta en la red. SI en el
target ponrmos tres subredes y la ultima con un '*' entonces escanea
ese rango de ips. Ejemplo: si ponemos 234.231.432.* escaneara desde
234.231.432.1 hasta 234.231.432.255. Si sale PONG en la pantalla
receptora de mensajes es que tenemos victima.

- Plugin execute -

Ejecuta plugin en ordenata de la victima. Hay que subirlo pues.

- Plugin kill -

Desinstala plugin.

- Plugins list -

Lista los plugins que hay.

- Process kill -

DEsactiva los programas que iban en marcha.

- Process list -

Lista d eprogramas en marcha...

- Process spawn -

Ejecuta programas. Aunke cuando la he puesto en marcha la victima
siempre ha desaparecido por lo que algunas veces igual se cuelga el
BO.

- Redir add -

REdirecciona por t amodo de bouncer. Hace como de repetidor. A la
salida del repetidor-victima tenemos su ip en lugar de la nuestra.

- Redir del -

LA inversa de lo de antes.

- Redirs list -

Pues eso....las lista.

- Reg create key -

Crea una llave el archivo de registros del ventanucos.

- Reg delete key -

Se cepilla la llave.

- Reg delete value -

Se cepilla un valor del registro. 

- Reg list keys -

Lista las llaves...

- Reg list values -

Lista valores...

- Reg set value -

Coloca un valor en una llave del registro. Requiere nombre de la
llave por un lado. Por otro tipo de dato:

S- cadena de texto
B- Numero binario
D- Numeros decimales
y el valor del dato...

- Resolve host -

Resuelve la ip de un tercer host....

- System dialogbox -

Le muesta una ventana del sistema a la victima. Se le indica el titulo de la
venta y el texto que aparece en ella.

- System info -

Da informacion acerca del host victima.

- System lockup -

Le bloquea el ordenata....

- System passwords -

Le saca los user y pass de las cuentas que hayan en el host y de
alguna paginas web que han solicitado algun tipo de user/pass.

- System reboot -

Reinicia el ordenata....

- TCP file receive/send -

Con la ayuda de programas como netcat (esta en unix y en ventanucos)
se pueden enviar y recibir ficheros. Segun el manual la linea del
netcat seria: netcat -l -p 666 < file


4.- Consejillos
----------------

Como hemos visto hay varios comandos que nos permiten hacer las mismas
funciones. Sin embargo segun se apliquen unas y otras daran un toque minimo
de 'clase' o bien resultará chapucero, como ocurre en la mayoria de los casos.
Cuando se detecta una victima..lo primero que se deberia hacer antes que nada
es pedirle una info del sistema y capturar las passwords, que a fin de cuenta
es lo que nos va a resultar mas util...y con diferencia...

A partir de aqui las opciones son multiples.... pero siempre unas denotan
mejores formas que otras como comentaba antes.

Si la finalidad es echarle un vistazo al disco duro, o bien echarle un vistazo
a algun archivo de texto yo aconsejo los comandos directory list y file view.
La otra manera de hacerlo seria o con el HTTP server o con un Add application.
Sin embargo, estas ultimas estan en desventaja porke como usar un port
establecido y continuo para realizar esto siempre es muy detectable con un
simple netstat (comado que viene en el dos del windows). Las victimas veran
una conexion establecida en el port 31337.

Sin embargo si se procede a bajarse algun archivo o ver alguna imagen la
opcion mas rapida SI es el http server...aunke corremos el riesgo descrito
antes.

Si nuestro objetivo es averiguar info de su sistema el mejor comando es el
system info y nada del Add application. Larazon es la misma...el add
application se ve en un netstat.

SI se utiliza el Add Aplicattion cuando queremos averiguar que conexiones
tiene establecidas. El comando que nos averigua eso (netstat) no viene con
el vo y la mejor manera de verlo es haciendo un add aplicattion del file
c:\command.com al puerto 23 (telnet). Conectamos con telnet a la victima
('telnet IP_victima') y ejecutamos netstat. Esto nos hace ver si tiene otro
atacante conectado....entre otras cosas.

Si la finalidad es hacerle saber que estamos ahi no se debe:

- Insultar o despreciar con las ventaniitas emergentes (si se le pueden decir
otras cosas)
- Bloquear el host
- Resetear el host
- Borrar algo del host
- A¤adirle algo al host (sea directorioos, files, retocar autoexec, el
config..)

Yo creo que no es nada justo realizar nada de eso. Si la finalidad es llamarle
la atencion coño...hacerlo con clase:

- Enviarle un archivo WAV con una adverrtencia grabada y con musica de fondo..
yo tengo uno..me quedo genial. Subirselo al host de la victima y hacerlo
sonar con MMplay sound. A cuadros, se quedan a cuadros....

Sobre el keylog, cuando creais el archivo acordaros de en cuanto podais y
despues de usarlo, borrarlo. Si se pretende llevar una conversacion en
tiempo real y una vez activado el keylog, NO da tiempo a combinar los
comandos System Dialogbox (para mandar mensaje) y file view (para ver que
contesta). Entonces se puede proceder a una tecnica mucho mas comoda aunque
corremos el riesgo de siempre (ser visto por el netstat). La tecnica es abrir
un http server y pinchar alli, desde el navegador, sobre el archivo creado por
el keylog. Asi podemos escribir desde el bogui los mensajes y leer lo que
contesta (en el navegador) con solo cambiar de ventana. Para actualizar el
archivo del keylog solo hace falta pulsar sobre el reload del navegador.
Asi sale mas o menos en tiempo real la conversacion.

Una advertencia:

El BO es detectable con un detecta nukes (ICMPWATH) o un firewall (CONSEAL)
o un TCP listen. Lo digo porke si estan en irc cuando entrais vana ver la
conexion. Hay muchas probabilidades que no hagan caso...pero el BO lo conoce
todo el mundo y cada vez es mas dificil camuflarlo.

5.- Detectores y Avisadores
----------------------------

Logicamente el BO se ha difundido muy rapido por su facil manejo y las
posibilidades que ofrece. Por ello muy rapidamente compañias y usuarios
se han puesto en marcha y ya estan muy difundidos los detectores y avisadores.

Detactarlo lo detectan y lo borran (curan) la mayoria de programas de virus:
- EL AVP (http://www.avp.com)
- La ultima version del Panda
- El ultimo McAfee
- Detectores como el BOdetect 1.5 (httpp://www.spiritone.com/~cbenson)

Luego tenemos los avisadores:

- EL NOBO en portugues y ingles (http:///web.cip.com.br/nobo)
Muestra un mensaje y hace un log

- El BOSPY en ingles (http://www.angelffire.com/id/chaplinhack)
Este es una caña. Muestra todo conmo si estuvieras infectado pero la info
es completamente falsa. Ademas de hacer tambien un log de quien conecta,
trae la posibilidad de escribirle mensajes al atacante (y funciona!). Trae
las frases que muestra por defecto (y son una kk) pero con un simple
editor hexagesimal se convierte en una joya.
Por cierto el fichero ocupa 150k o asi... todo lo que este por encima
o por debajo...mal asunto.