发信人: mengma()
整理人: williamlong(1999-09-13 19:35:12), 站内信件
|
黑客推出入侵Windows工具
一个黑客群体日前发布了入侵Windows的程序Back Orifice。 该程序可以使用户经由TCP/IP网络进入并控制远程Windows微机。 Back Orifice是在日前于美国拉斯维加斯召开的黑客年会 DefCon VI上发布的,不少与会者带着面具以防人认出他们。据 说它是由一位自称是Sir Dystic的20多岁的程序员开发的。此人 属1984年成立的黑客群体the Cult of the Dead Cow的成员。 看到此则消息,我们很感兴趣。因为早就听说黑客组织 即将推出针对Windows95的攻击软件,而微软的安全部官员一直 对此消息表示不屑一顾。此次实物推出,怎么也要弄来看看。经 过我们使用证实,此软件并非人们想象的那么厉害。但是在被攻 击者完全不知情的情况下,却也具有相当的危害性:
Back Orifice的构成
bo.txt 软件说明 plugin.txt plugin编程文件 boserve.exe Orifice自安装服务器程序 bogui.exe 图形界面的客户端控制程序 boclient.exe 文本方式的客户端控制 boconfig.exe 对Boserver.exe安装方式进行设置, 指定文件名,监听端口,控制口令等 melt.exe 解压被freeze压缩的文件的程序 freeze.exe 压缩可以被melt解压的文件的程 ● 侵入方式: 先运行Boconfig.exe对Boserver.exe进行设置,然后将 Boserver.exe发送给要攻击的计算机(比如通过电子邮件等) 。对方运行Boserver.exe后,Boserver自动安装自己到Windows 中,并立刻销毁Boserver.exe.此时你的系统已经为远方的系统 侵入者留下了方便的后门.以后当你的windows启动连入网络后, 此程序就会秘密监听网络的消息,一旦发现远方的控制指令,就 会秘密的予以回应,可以让远方的控制者掌握对机器的完全控制 权。此后在你不知情的情况下,远方的侵入者可以随时在互连网 络上无限制的访问你的计算机,就如同访问他桌上另一台机器一 样的方便。这种侵入方式,让我们不由的回想起荷马史诗中的特 洛伊木马的故事。所以这种侵入可以说成是一种特洛伊木马程序 。同时我们也注意到,这种特洛伊木马要求你首先要运行它,所 以它虽没有原来宣称的那么可怕,(当初宣称是运行 back orifice后可以随意攻击网络上其他运行windows的计算机) ,但是你必须小心。 特洛伊木马程序在计算机安全的防卫中占有一席之地。因为 早在UNIX时代,这种“木马程序”就已屡见不鲜。最著名的一个 用来骗取其他用户口令的程序就是如此做的:它先将原有的 Login程序改名,然后将自己改名成login。当用户准备登录系统 时,他会运行LOGIN(当然此时他运行的已不再是平常的LOGIN, 而是假的)。此时假的LOGIN就会象平常的LOGON做的那样,询问 用户具体的用户名(USERNAME)和口令(PASSWORD),然后它将 这些获取的资料通过邮件命令发送给攻击者,然后将自己改名, 将真实的LOGIN改名回来。再把用户登录给出的资料传送给真正 的LOGIN,让它完成用户真正的登录过程。此程序然后会销毁自 己,整个过程神不知鬼不觉。 (注:特洛伊木马----一个著名的故事,希腊某国久攻特洛伊 城不下,最后佯做撤退,留下了内部装有精壮战士的木马。结果 对方高兴的将木马作为战利品拉回城中,夜 晚后木马中的战士 出来打开城门,和反攻回来的大部队消灭了整个曾经牢不可破的城 池。木马程序-泛指那些内部包含有为完成特殊任务而编制的代 码的程序,而这些特殊代码一般处于隐藏方式,执行时不为人发觉 ,而其功能完全和程序所标称的功能无关。) 不过根据X-FORCE组织对Back Orifice的评定,认为它只能算 一个“后门程序”。所谓的“后门程序”(backdoor),就是此程 序隐藏于目标系统中,并允许某些访问者可以任意访问计算机中 的资源,而不必获得通常人们访问资源时必须拥有的授权或者安 全认证。(我认为X-Force组织的评定更为确切一些。)
● 实验过程:
在事先向网友Staryang说明后,我向他发送了Boserver,在 确定他已运行后,我开始运行Bogui.exe(如图),在输入对方 的IP地址后,我首先使用程序中的ping Host功能确定Bogui是否 可以正常联络对方的计算机。回应很快返回了,说明联系一切正 常。查看了一下bogui的内置功能,发现它提供大约45种功能, 可以对对方的计算机控制。比较令人担心的功能有: 查看对方安装的软件,并可以增加删除。查看对方的硬盘, 并可以任意增加目录和删除文件。可以对对方的任意文件进行查 找,冻结,查看内容以及删除和拷贝。可以打开和关闭对方浏览 WWW的功能,并记录对方所有的键盘输入内容。可以遥控对方的 多媒体播放,捕捉等功能。 查看对方当前运行的程序并可以任意终止其中的任意程序。 任意修改对方的注册表,查看对方的系统信息,甚至可以控制对 方的系统重启动(System Reboot)。这些功能中,经我们简单实 验的有: 查看对方的硬盘:我输入“c:\*.*”立刻就看到显示对方C盘 上的所有目录和文件。然后我在对方的C盘的TEMP目录下建立了 一个TEMP1目录,经STARYANG确认操作成功。(为安全计,没有 实验删除文件) 查看对方运行的程序:我选择“Process List”指令后立刻 看到对方当前运行的所有程序,并发送指令关闭其中的某个程 序,经STARYANG确认成功。 其他一些牵涉到可能对系统有伤害的功能(如System Reboot )没有做实验,想来也是可以成功的。 鉴于实验的成功,让我们对此Back Orifice产生了极大的戒 心。你想,万一你的机器中有了他的存在,就象你的家给人装了 暗门,他可以随时随地的窥伺你和随意拿走东西,那还有什么安全 可言?
● 防范和消除 在随后的日子里,我们密切关注网络论坛,搜集如何防 范,检查和消除back orifice的消息。很快有了如下结果:
1.Boserver.exe的大小是284160字节,你只要小心此大 小的网络文件即可。 2.Boserver.exe的运行表现非常明显,就是运行后什么 也没有发生,但是原程序却不见了。如果你遇到过类 似情况,可以90%肯定已经被攻击。 3.查看你的注册表。一般back orifice会在注册表的如 下项目中添加一个程序文件名: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices中添加一个诸如“.exe” 。一般默认的是“ .exe”,别怀疑,就是这个名字, 没有错,是“ .exe”。如果你经常备份你的注册表, 你完全可以删除现在的注册表,然后从备份中重新生 成一个。没有了注册表的入口,back orifice将不再 发生作用。同时,你也可以在你的Windows/system目 录下,查找一个“ .EXE”,那就是我们要寻找的 Boserver.(注意,boserver并不确保最后安装的文件 名就是".exe",这只是它默认安装的名字,也有可能 不是此文件名) 4.有专门的对付特洛伊木马的程序,使用它即可。
-- ※ 来源:.网易 BBS bbs.netease.com.[FROM: 202.103.137.164]
|
|