Back Orifice

Le DEFCON 8 (rendez-vous des hackers de tous poils) a été l'occasion du lancement de Back Orifice 2000. La version précédente de Back Orifice avait déjà fait couler pas mal d'encre au moment de son lancement.


Petit rappel (pour ceux qui ne connaissent pas encore cet outil "d'aministration à distance").
Back Orifice permet de se connecter à une machine distante à la manière des logiciels comme PC Anywhere. La grosse différence qui'il existe en Back Orifice et les autres logiciels de ce type c'est que Back Orifice est généralement installé sur la machine distante à l'insu de son propriétaire.

Back Orifice est composé de 2 éléments :

* Un logiciel serveur
* Un logiciel client


Le logiciel serveur est à installer sur la machine sur laquelle vous désirez vous connecter et le logiciel client s'installe sur votre machine. Lorsque le serveur est lancé sur la machine distante, il vous suffit de connaître l'adresse IP de cette machine (ainsi que le port de communication utilisé) pour vous y connecter.

Les possibilités qui vous sont offertes sont multiples (Ex : lister les fichiers, faire une copie d'écran de la machine distante, modifier la base de registre, ...)

ATTENTION : On voit donc qu'il peut y à voir deux utilités pour Back Orifice :
- Dépanner un collègue ou un ami en utilisant sa machine comme si on était devant.
- Ou alors pirater purement et simplement une machine à l'insu de son propriétaire.

Le but de cet article est double :

* Vous permettre d'utiliser Back Orifice dans le premier cas.
* Vous permettre que personne ne l'utilise sur votre machine dans le deuxième.


Voici les principales caractéristiques de Back Orifice 2000 :

* Connections sécurisée (protégée par mot de passe) sur une machine distante
* Possibilité de lister, copier, déplacer, effacer des fichiers à distance.
* Possibilité de modifier des éléments de la base de registre.
* Possibilité de redémarrer la machine.
* Possibilité de faire une copie de l'écran distant.
* Possibilité d'envoyer ce qui s'affiche sur l'écran distant en vidéo temps réel sur l'écran client.
* Cet outil a été programmé par des programmeurs d'exception (d'où un énorme gain de puissance)







Comment utiliser Back Orifice 2000 ?


Cliquez ici pour téléchargez la dernière version de Back Orifice contenant tous les plugins.
Vous pouvez dès à présent commencer le téléchargement et poursuivre la lecture de l'article celui-ci commencé
Si le Site est saturé, vous pouvez le télécharger par ici (en local)

Configurer le serveur

Faites une copie du fichier "bo2k.exe" et placer le dans un répertoire de sauvegarde (cela vous permet de conserver une version du client non modifiée).
Lancer l'outil "bo2kcfg.exe" et sélectionnez le fichier "bo2k.exe" contenu dans le répertoire de sauvegarde. Vous pouvez maintenant configurer toutes les options suivantes:

Installation des plugins dans le serveur



Pour le moment, il existe quelques plugins :


* BOpeep.dll : Permet d'avoir accès en streaming (vidéo temps réel) à l'écran hôte.
* 3des.dll: Permet de crypter de façon sécurisée la communication entre l'ordinateur hôte et l'ordinateur client (ce plugins est uniquement disponible dans la version américaine pour des raisons légales concernant la cryptographie).
* D'autres plugins sont présentés sur la page officielle.


Les Fonctions de Configuration Principales



TCPIO
Default port : le port que vous allez utiliser pour vous connecter : C'est une valeur que vous choisissez et que vous devrez fournir au client pour que les deux puissent communiquer

XOR key
C'est en gros le mot de passe qui vous permet de sécuriser l'échange entre les deux machines. Si vous ne le connaissez pas, vous ne pourrez pas vous connecter sur le serveur distant.



Stealth
Lorsque vous lancez le serveur (bo2k.exe par défaut), la connexion devient possible sur votre machine (pour qui connaît la clé XOR). Il est possible de camoufler ce fichier bo2k.exe afin d'effacer toute trace du serveur sur la machine hôte, cela passe par les options suivantes. Là on est plutôt du coté obscur de la Force : Cette utilisation est plutôt utile pour les gens qui veulent s'infiltrer en douce sur une machine distante. Si cela vous arrive... Vous saurez de quoi il en résulte.


* run at startup : Lancement du serveur automatiquement au démarrage de Windows sur la machine distante
* delete original file : permet d'effacer le fichier bo2k.exe après qu'il ait été lancé. Dans ce cas, le fichier est copié dans le répertoire c:\windows\system avec le nom spécifié dans l'option "runtime pathname" avant d'être effacé.
* insidious mode : Elle permet de rendre difficile l'effacement du fichier serveur (impossible de sélectionner le fichier, de l'effacer...).
* runtime pathname : spécifie le nom du fichier qui sera copié dans le répertoire c:\windows\system après effacement du fichier bo2k.exe original
* hide process : enlève l'affichage de processus serveur lorsque l'on appuie sur Ctrl+Alt+Supp... Ce qui empêche de tuer le serveur et surtout de savoir sous quel nom il se cache.
* Les options suivantes sont plutôt utilisées pour Windows NT.

BOpeep
(streaming video de l'écran hôte) : Laissez les options par défaut.[0-9WH]+

Tout sur back orifice :

http://securinet.free.fr/annexe/bo/backorifice.html

Les troyens,exemple : back orifice

http://securinet.free.fr/troyens-exemple.html

je vous conseille de $urtout pas executer boserve