Back Orifice

Informations
Développé par	Cult of the Dead Cow
Système d'exploitation	Windows 9x et Unix
Langues	Anglais
Type	Rootkit
Licence	Licence publique générale GNU version 2 et licence publique générale limitée GNU version 2.0 (d)
Site web	www.cultdeadcow.com/tools/bo.html

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

Cet article ne cite pas suffisamment ses sources (janvier 2022).

Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». En pratique : Quelles sources sont attendues ? Comment ajouter mes sources ?

Back Orifice est un logiciel client/serveur d'administration et de prise de contrôle à distance de machines utilisant le système d'exploitation Windows ; il ne s'agit pas vraiment d'un virus, mais plutôt d'un rootkit.

Il est créé et distribué par un groupe de hackers, Cult of the Dead Cow (cDc), en août 1998^[1]. L'auteur principal de Back Orifice est « Sir Dystic »^[2] ; et celui de BO2K est « DilDog »^[3]. Le programme est open source sous licence GNU GPL, son code source est disponible sur Sourceforge^[4].

Origine et cible

Son nom est inspiré par le logiciel Back Office de la société Microsoft ainsi que par le plaisir d'un jeu de mots (techniquement, un métaplasme) quelque peu grivois, « back orifice » se traduisant par « orifice de derrière », autrement dit l'anus.

Le logiciel s'attache aux machines utilisant un système d'exploitation Windows 95/98, et NT pour BO2K^[3]. Le client peut s'exécuter sous Windows 95/98/NT et Unix (console uniquement)^[5]. Le programme est autonome : il n'a pas besoin qu'on installe des outils annexes.

Finalité

L'auteur (Sir Dystic) précise que « les deux buts légitimes de BO sont la télémaintenance et la maintenance/surveillance [des réseaux Microsoft] »^[2].

Pour BO2K, l'auteur regrette que l'accès à distance, chose très courante dans les systèmes de type Unix par le ssh, ne soit pas disponible sous Windows ; c'est pourquoi ils ont « amélioré les possibilités d'administration » de ces systèmes. Il « espère que Microsoft fera de son mieux pour s'assurer que son système d'exploitation est suffisamment bien conçu pour savoir gérer les améliorations apportées »^[3].

Le communiqué de presse précise que BO2K « pourrait faire pression sur le léviathan [NdT: Microsoft] pour qu'il mette en place un modèle de sécurité dans son système d'exploitation » et qu'« en cas d'échec, leurs clients seront vulnérables aux crackers »^[3].

La finalité originale de ce logiciel est douteuse, ses auteurs affirmant que son utilisation a été détournée sous forme de cheval de Troie. Toutefois, son comportement furtif et ses fonctionnalités spéciales (comme la récupération de mots de passe à distance, ou le keylogger intégré) laissent planer le doute sur les motivations réelles des auteurs. Il a ainsi souvent été classé comme virus ou ver et sa signature est fréquemment reconnue comme dangereuse par les logiciels antivirus.

En tout cas, il est clair qu'il s'agit d'une attaque contre Microsoft qui utilise l'absence de politique de sécurité^[5].

Fonctionnement

La chaîne caractéristique de Back Orifice est *!*QWTY?. Il utilise le port 31337. On attribue ce choix au fait qu'en Leet speak, 31337 se lit ELEET (« élite »). Ce port est modifiable^[5].

Le client, utilisé par l'attaquant, est configurable, modulaire et même skinnable. Il comprend un système de marque-page et un logger. Il peut se connecter sur plusieurs serveurs à la fois^[6].

Le serveur comprend un accès à un shell par telnet, un keylogger, un éditeur de registre, un serveur HTTP, des outils pour transférer, supprimer et installer des fichiers/programmes à distance, un accès au système de partage des réseaux Microsoft, un cracker de mot de passe (NT/95/98) et de quoi redémarrer la machine. Il supporte les redirections TCP, la résolution DNS et un contrôle des processus (démarrage, arrêt, listage)^[6]. Il est aussi capable de détourner des messages système. L'accès à tout cela se fait en partie par une dll de 8ko incluse dans l'exécutable^[5].

Des plug-ins de chiffrement 3DES et à la volée, de contrôle graphique (bureau avec clavier/souris, éditeur de registre), de support de l'UDP et de l'ICMP sont également disponibles^[6].

L'utilitaire « NOBO » permet de détecter le trafic réseau généré par Back Orifice. Pour supprimer BO, il suffit de supprimer l'exécutable serveur ainsi que la clé de base de registre associée, puis de redémarrer^[5].

Utilisation

L'installation se fait par une simple exécution du programme BOSERVE.EXE (122ko) : celui-ci va se renommer en .EXE (le nom du fichier est une espace) et ajouter le chemin de ce programme à la clé de base de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices. Le serveur s'exécutera ainsi silencieusement à chaque démarrage de la machine ; de plus, il n'est pas visible dans la liste des processus exécutés^[5].

Le client graphique est lancé par BOGUI.EXE et le client console par BOCLIENT.EXE.

Commandes de base

System Info : liste les informations système : processeur, RAM, disques durs et partitions...
File view : affiche le contenu d'un fichier ;
HTTP Enable : lance le serveur http intégré ;
Process list : liste les processus en cours d'exécution ;
Reg list values : pour voir des clés de base de registre ;
System dialogbox : affiche sur le serveur un message personnalisé ;
System Passwords : pour voir tous les mots de passe stockés sur la machine en clair.

BO2K

Un an après BO^[3], « BO2K », pour « Back Orifice 2000 », est une évolution de BO apportant quelques améliorations et notamment le support de Windows NT. Le 2000 est aussi une référence aux produits de Microsoft (Windows 2000 et Office 2000).

Notes et références

↑ (en) « Whatis BO2K », sur bo2k.com (consulté le 19 avril 2010)
↑ ^{a et b} (en) cDc, The Deth Vegetable, « Running a Microsoft operating system on a network? Our condolences. », sur cultdeadcow.com, 21 juillet 1998 (consulté le 19 avril 2010)
↑ ^{a b c d et e} (en) cDc, The Deth Vegetable, « BO2K Pressrelease », sur bo2k.com, 10 juillet 1999 (consulté le 19 avril 2010)
↑ (en) « Back Orifice XP », sur SourceForge (consulté le 22 septembre 2020).
↑ ^{a b c d e et f} Jean-Claude Bellamy, « Tout ce que vous avez voulu savoir sur Back Orifice », 1998 (consulté le 19 avril 2010)
↑ ^{a b et c} (en) « Feature list », sur bo2k.com (consulté le 19 avril 2010)

Voir aussi

Articles connexes

Cult of the Dead Cow

Liens externes

Back Orifice
(en) « Accueil du projet Back Orifice », sur SourceForge.net.

Portail de la sécurité informatique

[whatis-1] (en) « Whatis BO2K », sur bo2k.com (consulté le 19 avril 2010)

[pressreleaseBO-2] {a et b} (en) cDc, The Deth Vegetable, « Running a Microsoft operating system on a network? Our condolences. », sur cultdeadcow.com, 21 juillet 1998 (consulté le 19 avril 2010)

[pressreleaseBO2K-3] {a b c d et e} (en) cDc, The Deth Vegetable, « BO2K Pressrelease », sur bo2k.com, 10 juillet 1999 (consulté le 19 avril 2010)

[4] (en) « Back Orifice XP », sur SourceForge (consulté le 22 septembre 2020).

[bellamy-5] {a b c d e et f} Jean-Claude Bellamy, « Tout ce que vous avez voulu savoir sur Back Orifice », 1998 (consulté le 19 avril 2010)

[featurelist-6] {a b et c} (en) « Feature list », sur bo2k.com (consulté le 19 avril 2010)

[1]

[2]

[3]

[4]

[5]

[6]