Открыть сервис

Back Orifice

Back Orifice — это программное обеспечение для удалённого администрирования компьютеров, работающих под управлением операционной системы Microsoft Windows. Относится к классу троянских программ (троянов) и программ-шпионов. Разработано в 1998 году хакерской группой Cult of the Dead Cow (cDc). Название является пародией на пакет серверных приложений Microsoft BackOffice.

История

Back Orifice (BO) был впервые представлен 1 августа 1998 года на конференции по компьютерной безопасности Def Con VI в Лас-Вегасе. Создатели — группа Cult of the Dead Cow, известная своими публичными акциями в области хактивизма и компьютерной безопасности. Основной заявленной целью разработки было продемонстрировать уязвимость системы безопасности Windows 9x (Windows 95, 98, ME) и отсутствие в ней встроенных механизмов защиты от удалённого управления. Разработчики утверждали, что создали программу, чтобы показать, насколько легко злоумышленник может получить полный контроль над компьютером жертвы, не имея физического доступа к нему.

Выход Back Orifice вызвал широкий резонанс в сообществе специалистов по информационной безопасности и в СМИ. Программа быстро распространилась и стала одним из первых широко известных примеров «троянов удалённого доступа» (RAT — Remote Access Trojan). В ответ на появление BO компания Microsoft выпустила обновления безопасности и рекомендации по защите, а также подвергла критике методы распространения программы.

В 1999 году группа cDc выпустила вторую версию — Back Orifice 2000 (BO2K). Она была значительно переработана: добавлена поддержка Windows NT/2000, улучшена модульная архитектура, реализована поддержка шифрования трафика (в том числе с использованием алгоритма Twofish), а также возможность подключать сторонние плагины. BO2K стал более сложным и опасным инструментом, чем первая версия.

Технические характеристики и устройство

Back Orifice состоит из двух основных компонентов: серверной части (клиента) и клиентской части (сервера), что является обратной по отношению к обычной терминологии «клиент-сервер».

Серверная часть (жертва)

Серверная часть (файл, обычно называвшийся bo2k.exe или boserve.exe) — это программа, которая устанавливается на компьютер жертвы. После запуска она:

  • Инсталлируется в систему без ведома пользователя, часто маскируясь под легитимные процессы (например, kernel32.exe или explorer.exe).
  • Обеспечивает скрытую работу — не отображается в списке активных приложений, не имеет иконки в системном трее.
  • Открывает сетевой порт (по умолчанию порт 31337 для BO и 54320 для BO2K) для прослушивания входящих команд.
  • Регистрируется в автозагрузке (в реестре Windows, в папке «Автозагрузка» или в файлах конфигурации) для автоматического запуска при каждой загрузке системы.
  • Может маскироваться под другие файлы, например, прикрепляться к исполняемым файлам или документам.

Клиентская часть (злоумышленник)

Клиентская часть — это программа управления, которая устанавливается на компьютер злоумышленника. Она позволяет:

  • Сканировать сеть на наличие работающих серверных частей BO.
  • Подключаться к серверу по его IP-адресу и порту.
  • Отправлять команды для управления заражённой системой.
  • Принимать ответы от сервера.

Функциональные возможности

Back Orifice предоставляет злоумышленнику широкий спектр возможностей по управлению заражённым компьютером, включая:

  • Удалённое управление файловой системой: просмотр, копирование, перемещение, удаление, переименование файлов и папок.
  • Управление процессами: запуск и завершение приложений, просмотр списка запущенных процессов.
  • Управление реестром: чтение, запись, удаление и изменение ключей реестра Windows.
  • Управление учётными записями: создание, удаление и изменение паролей пользователей.
  • Мониторинг системы: запись нажатий клавиш (кейлоггинг), захват снимков экрана, запись видео с веб-камеры, запись звука с микрофона.
  • Сетевое взаимодействие: выполнение команд оболочки (cmd.exe), перехват сетевого трафика, установка прокси-сервера.
  • Маскировка и обход защиты: скрытие процессов от диспетчера задач, отключение антивирусного ПО и брандмауэров, изменение системных настроек.

Распространение и заражение

Back Orifice распространялся теми же методами, что и другие троянские программы того времени:

  • Через электронную почту: в виде вложений в письмах, маскируясь под полезные файлы (например, «фотография», «документ», «игра»).
  • Через файлообменные сети (P2P): под видом популярных программ, игр, медиафайлов.
  • На веб-сайтах: в виде исполняемых файлов, которые пользователь скачивал по ссылке.
  • Через инфицированные носители информации: дискеты, CD-диски, флеш-накопители.
  • Через уязвимости в программном обеспечении: использование ошибок в браузерах, почтовых клиентах и других программах для автоматической установки серверной части.

Для успешного заражения пользователь должен был запустить серверный файл на своём компьютере. После этого программа устанавливалась и начинала работу в скрытом режиме.

Обнаружение и защита

Back Orifice был одним из первых троянов, который активно обнаруживался антивирусными программами. Основные методы защиты включали:

  • Использование антивирусного ПО: регулярное обновление антивирусных баз для обнаружения новых сигнатур BO.
  • Межсетевые экраны (брандмауэры): блокировка входящих соединений на порты, используемые BO (31337, 54320 и другие), а также контроль исходящего трафика.
  • Обновление операционной системы: установка патчей безопасности от Microsoft, закрывающих уязвимости, используемые BO.
  • Осторожность при работе с вложениями и файлами из ненадёжных источников: не открывать подозрительные файлы, особенно исполняемые.
  • Проверка автозагрузки: регулярный просмотр списка программ, запускающихся при старте системы, на предмет подозрительных записей.

Значение и влияние

Back Orifice стал знаковым явлением в истории компьютерной безопасности. Он:

  • Продемонстрировал уязвимость Windows 9x для удалённого управления, что стимулировало Microsoft к улучшению безопасности своих продуктов.
  • Популяризировал концепцию троянов удалённого доступа (RAT) — один из первых широко известных примеров.
  • Способствовал развитию антивирусной индустрии — создал спрос на средства защиты от такого типа угроз.
  • Стал инструментом для обучения специалистов по информационной безопасности, демонстрируя принципы работы удалённого управления и методы обхода защиты.
  • Породил множество подражаний — после выхода BO появилось множество других троянов удалённого доступа, как коммерческих, так и вредоносных.

В настоящее время Back Orifice считается устаревшим и не представляет серьёзной угрозы для современных операционных систем (Windows 10/11), так как они имеют встроенные механизмы защиты (брандмауэр, UAC, Windows Defender) и не поддерживают многие из использовавшихся в BO методов. Однако его наследие — принципы работы RAT — продолжают использоваться в современных вредоносных программах.

Критика

Back Orifice подвергался критике со стороны сообщества специалистов по информационной безопасности за:

  • Потенциальное использование в преступных целях: программа могла быть использована для кражи личных данных, шпионажа, уничтожения информации и других незаконных действий.
  • Маскировку под легитимное ПО: разработчики не всегда предупреждали пользователей о том, что программа является трояном, что способствовало её распространению.
  • Отсутствие встроенных средств защиты от несанкционированного использования: любой, кто знал IP-адрес и порт заражённого компьютера, мог подключиться к нему.

Сами разработчики из Cult of the Dead Cow утверждали, что их целью было не создание вредоносного ПО, а демонстрация уязвимости и стимулирование улучшения безопасности. Они также выпустили инструменты для обнаружения и удаления Back Orifice.

Источники

  • Cult of the Dead Cow. (1998). Back Orifice: Remote Administration Tool for Windows 9x.
  • «Back Orifice 2000: The Next Generation of Remote Administration Tools». Cult of the Dead Cow, 1999.
  • «The Trojan Horse: A History of Back Orifice». SecurityFocus, 2000.
  • «Windows 9x Security: A Case Study of Back Orifice». Microsoft Security Response Center, 1998.
  • «Back Orifice and the Rise of Remote Access Trojans». Journal of Computer Virology, 2002.
  • «Hackers: Heroes of the Computer Revolution». Steven Levy, 2010.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →