发信人: mengma()
整理人: williamlong(1999-09-13 19:35:12), 站内信件
|
黑客推出入侵Windows工具
一个黑客群体日前发布了入侵Windows的程序Back Orifice。
该程序可以使用户经由TCP/IP网络进入并控制远程Windows微机。
Back Orifice是在日前于美国拉斯维加斯召开的黑客年会
DefCon VI上发布的,不少与会者带着面具以防人认出他们。据
说它是由一位自称是Sir Dystic的20多岁的程序员开发的。此人
属1984年成立的黑客群体the Cult of the Dead Cow的成员。
看到此则消息,我们很感兴趣。因为早就听说黑客组织
即将推出针对Windows95的攻击软件,而微软的安全部官员一直
对此消息表示不屑一顾。此次实物推出,怎么也要弄来看看。经
过我们使用证实,此软件并非人们想象的那么厉害。但是在被攻
击者完全不知情的情况下,却也具有相当的危害性:
Back Orifice的构成
bo.txt 软件说明
plugin.txt plugin编程文件
boserve.exe Orifice自安装服务器程序
bogui.exe 图形界面的客户端控制程序
boclient.exe 文本方式的客户端控制
boconfig.exe 对Boserver.exe安装方式进行设置,
指定文件名,监听端口,控制口令等
melt.exe 解压被freeze压缩的文件的程序
freeze.exe 压缩可以被melt解压的文件的程
● 侵入方式:
先运行Boconfig.exe对Boserver.exe进行设置,然后将
Boserver.exe发送给要攻击的计算机(比如通过电子邮件等)
。对方运行Boserver.exe后,Boserver自动安装自己到Windows
中,并立刻销毁Boserver.exe.此时你的系统已经为远方的系统
侵入者留下了方便的后门.以后当你的windows启动连入网络后,
此程序就会秘密监听网络的消息,一旦发现远方的控制指令,就
会秘密的予以回应,可以让远方的控制者掌握对机器的完全控制
权。此后在你不知情的情况下,远方的侵入者可以随时在互连网
络上无限制的访问你的计算机,就如同访问他桌上另一台机器一
样的方便。这种侵入方式,让我们不由的回想起荷马史诗中的特
洛伊木马的故事。所以这种侵入可以说成是一种特洛伊木马程序
。同时我们也注意到,这种特洛伊木马要求你首先要运行它,所
以它虽没有原来宣称的那么可怕,(当初宣称是运行
back orifice后可以随意攻击网络上其他运行windows的计算机)
,但是你必须小心。
特洛伊木马程序在计算机安全的防卫中占有一席之地。因为
早在UNIX时代,这种“木马程序”就已屡见不鲜。最著名的一个
用来骗取其他用户口令的程序就是如此做的:它先将原有的
Login程序改名,然后将自己改名成login。当用户准备登录系统
时,他会运行LOGIN(当然此时他运行的已不再是平常的LOGIN,
而是假的)。此时假的LOGIN就会象平常的LOGON做的那样,询问
用户具体的用户名(USERNAME)和口令(PASSWORD),然后它将
这些获取的资料通过邮件命令发送给攻击者,然后将自己改名,
将真实的LOGIN改名回来。再把用户登录给出的资料传送给真正
的LOGIN,让它完成用户真正的登录过程。此程序然后会销毁自
己,整个过程神不知鬼不觉。
(注:特洛伊木马----一个著名的故事,希腊某国久攻特洛伊
城不下,最后佯做撤退,留下了内部装有精壮战士的木马。结果
对方高兴的将木马作为战利品拉回城中,夜 晚后木马中的战士
出来打开城门,和反攻回来的大部队消灭了整个曾经牢不可破的城
池。木马程序-泛指那些内部包含有为完成特殊任务而编制的代
码的程序,而这些特殊代码一般处于隐藏方式,执行时不为人发觉
,而其功能完全和程序所标称的功能无关。)
不过根据X-FORCE组织对Back Orifice的评定,认为它只能算
一个“后门程序”。所谓的“后门程序”(backdoor),就是此程
序隐藏于目标系统中,并允许某些访问者可以任意访问计算机中
的资源,而不必获得通常人们访问资源时必须拥有的授权或者安
全认证。(我认为X-Force组织的评定更为确切一些。)
● 实验过程:
在事先向网友Staryang说明后,我向他发送了Boserver,在
确定他已运行后,我开始运行Bogui.exe(如图),在输入对方
的IP地址后,我首先使用程序中的ping Host功能确定Bogui是否
可以正常联络对方的计算机。回应很快返回了,说明联系一切正
常。查看了一下bogui的内置功能,发现它提供大约45种功能,
可以对对方的计算机控制。比较令人担心的功能有:
查看对方安装的软件,并可以增加删除。查看对方的硬盘,
并可以任意增加目录和删除文件。可以对对方的任意文件进行查
找,冻结,查看内容以及删除和拷贝。可以打开和关闭对方浏览
WWW的功能,并记录对方所有的键盘输入内容。可以遥控对方的
多媒体播放,捕捉等功能。
查看对方当前运行的程序并可以任意终止其中的任意程序。
任意修改对方的注册表,查看对方的系统信息,甚至可以控制对
方的系统重启动(System Reboot)。这些功能中,经我们简单实
验的有:
查看对方的硬盘:我输入“c:\*.*”立刻就看到显示对方C盘
上的所有目录和文件。然后我在对方的C盘的TEMP目录下建立了
一个TEMP1目录,经STARYANG确认操作成功。(为安全计,没有
实验删除文件)
查看对方运行的程序:我选择“Process List”指令后立刻
看到对方当前运行的所有程序,并发送指令关闭其中的某个程
序,经STARYANG确认成功。
其他一些牵涉到可能对系统有伤害的功能(如System Reboot
)没有做实验,想来也是可以成功的。
鉴于实验的成功,让我们对此Back Orifice产生了极大的戒
心。你想,万一你的机器中有了他的存在,就象你的家给人装了
暗门,他可以随时随地的窥伺你和随意拿走东西,那还有什么安全
可言?
● 防范和消除
在随后的日子里,我们密切关注网络论坛,搜集如何防
范,检查和消除back orifice的消息。很快有了如下结果:
1.Boserver.exe的大小是284160字节,你只要小心此大
小的网络文件即可。
2.Boserver.exe的运行表现非常明显,就是运行后什么
也没有发生,但是原程序却不见了。如果你遇到过类
似情况,可以90%肯定已经被攻击。
3.查看你的注册表。一般back orifice会在注册表的如
下项目中添加一个程序文件名:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices中添加一个诸如“.exe”
。一般默认的是“ .exe”,别怀疑,就是这个名字,
没有错,是“ .exe”。如果你经常备份你的注册表,
你完全可以删除现在的注册表,然后从备份中重新生
成一个。没有了注册表的入口,back orifice将不再
发生作用。同时,你也可以在你的Windows/system目
录下,查找一个“ .EXE”,那就是我们要寻找的
Boserver.(注意,boserver并不确保最后安装的文件
名就是".exe",这只是它默认安装的名字,也有可能
不是此文件名)
4.有专门的对付特洛伊木马的程序,使用它即可。
--
※ 来源:.网易 BBS bbs.netease.com.[FROM: 202.103.137.164]
|
|