11 августа 1998, #37

Свежая (16/17 августа) серия взломов: http://www.cyberr.com, http://www.crazyweb1.org, http://www.playway.com, http://www.uka.ru, а тут - для тех, кто не успел.

В центре внимания мировой компьютерной общественности на прошлой неделе оставался Back Orifice, о котором я уже говорил в прошлом обзоре. Потихоньку стали подтягиваться и неспециализированные СМИ, как водится, сея панику и слухи. Дополнительное непонимание вызвал факт обнаружения свежим AVP на машине с установленным сервером BO чего-то под названием Trojan.Win32.BO.

Помимо нескольких недоуменных писем я встретил как минимум один сетевой обзор, где на основе этого заявлялось о коварстве злобных хакеров, вставивших в BO каких-то троянцев. Хотя исключать наличие закладок в BO и нельзя, тут все гораздо проще - в Лаборатории Касперского решили, что некоторых особенностей BO достаточно, чтобы считать всю программу троянцем. Что, безусловно, верно, а оперативность достойна всяческих похвал.

Аналогичного мнения придерживается и Network Associates, добавившая обнаружение BO в последние обновления для McAfee VirusScan, Кроме того, появились и другие вспомогательные утилиты для обнаружения/удаления BO: AntiGen 1.0 от Fresh Software и Toilet Paper 1.0.

Хорошо, что существуют подходящие утилиты, но не мешает и самому представлять, чего ожидать от Back Orifice. По умолчанию сервер предпринимает следующие шаги:

• Копирует себя в системный каталог под именем ".exe"
• Туда же копируется windll.dll
• Добавляет себя в
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  с описанием (Default)
• Ждет соединения на 31337-м порту.

Имя исполняемого файла, описание и номер порта могут быть изменены пользователем, но если у вас в RunServices завелось что-то, чего там быть не должно, и это что-то указывает на файл размером около 125к, есть шанс, что и вас посчитали. Надо еще будет посмотреть, видят ли его утилиты типа pview95 и xrun - мысль, как всегда, пришла в голову уже после того как была очередной раз снесена по такому поводу поставленная 95-ка :) Особых препятствий этому не вижу. Исполняемый файл также содержит строчку "windll.dll",

Передаваемые данные шифруются, но очень слабо - на основе пароля генерируется двухбайтный хэш, используемый далее в качестве ключа. Первые 8 байт клиентского запроса всегда содержат строчку *!*QWTY?, что позволяет легко определить хэш, а потом и подходящий пароль (по оценке ISS X-Force вся процедура занимает пару секунд на P133). Пароль и конфигурацию можно вытащить и из исполняемого файла сервера. В случае конфигурации по умолчанию в конце файла можно найти строчку 8 8$8(8,8084888<8@8D8H8L8P8T8X8\8'8d8h8l8. В случае измененной конфигурации она записывается в конце файла:
<имя файла>
<описание>
<номер порта>
<пароль>
<дополнительная информация для plug-in'ов>

Таким образом, воспользоваться установленным BO-сервером теоретически может не только тот, кто его установил, так что я бы не стал пользоваться им в администраторских целях. Впрочем, он и не для того создавался :)

Какие из всего сказанного можно сделать выводы. Во-первых, чудес не бывает, чтобы воспользоваться Back Orifice, его сперва надо установить. Просто так завладеть ресурсами чужой машины не получится, как бы этого ни хотелось. Сам по себе BO не использует какую-то новую дырку в ОС, но его присутствие может указывать на наличие дыр в защите (еще раз обращаю внимание владельцев домашних сетей: если уж захотели разделить диск на машине, подключаемой к сети, поставьте хотя бы пароль, что ли). Программных дыр может и не быть, но всегда остается главная дыра - пользователь :).

Пользователи NT и других ОС могут расслабиться - BO работает только на Win'9x. Обещается порт под NT, готова юниксовая версия (с исходниками), но речь пока идет только о клиентской части. Пользователям же 95-ки, равно как и администраторам, под чьим началом находится сеть с подобными машинами, не остается ничего кроме как получше предохраняться и почаще проверяться. Впрочем, это универсальный совет на все случаи жизни :) Часть головной боли возьмут на себя заботливые антивирусники.

Сразу же после обнаружения бага в почтовых клиентах от MS и Netscape создатели Eudorы поспешили заявить, что у них-то все чисто. Как выяснилось, зря. С ней все оказалось еще веселее - оказалось, что для просмотра писем в html-формате она полагается на html-control от IE, не особо заботясь при этом о безопасности. Что делает возможным послать письмо, содержащее код на JavaScript, способный запустить приаттаченный исполняемый файл. Дырка касается версий 4.0, 4.01, пользователям предлагается срочно проапгрейдиться.

Обратите внимание, в Форуме запущено новое голосование. Вопрос - "Какое наказание было бы справедливо для хакера, взломавшего веб-сайт?" (спасибо nonuk'у за идею). Заодно я переделал скрипт, что позволило оставить в рабочем состоянии предыдущие голосования и вообще сделать добавление новых тем гораздо более удобным (посетителям-то это без разницы, а мне радость :)). Попутно ссылка от Братка: EVERYTHING A HACKER NEEDS TO KNOW ABOUT GETTING BUSTED BY THE FEDS (из предпоследнего Phrack'а). Возможно, это кому-нибудь пригодится и у нас...

В ответ на мой призыв поделиться идеями насчет хостинга уже пришло несколько довольно интересных писем. Предложение остается в силе, пишите.

«		»