Back Orifice
Back Orifice — это программное обеспечение для удалённого администрирования компьютеров, работающих под управлением операционной системы Microsoft Windows. Относится к классу троянских программ (троянов) и программ-шпионов. Разработано в 1998 году хакерской группой Cult of the Dead Cow (cDc). Название является пародией на пакет серверных приложений Microsoft BackOffice.
История
Back Orifice (BO) был впервые представлен 1 августа 1998 года на конференции по компьютерной безопасности Def Con VI в Лас-Вегасе. Создатели — группа Cult of the Dead Cow, известная своими публичными акциями в области хактивизма и компьютерной безопасности. Основной заявленной целью разработки было продемонстрировать уязвимость системы безопасности Windows 9x (Windows 95, 98, ME) и отсутствие в ней встроенных механизмов защиты от удалённого управления. Разработчики утверждали, что создали программу, чтобы показать, насколько легко злоумышленник может получить полный контроль над компьютером жертвы, не имея физического доступа к нему.
Выход Back Orifice вызвал широкий резонанс в сообществе специалистов по информационной безопасности и в СМИ. Программа быстро распространилась и стала одним из первых широко известных примеров «троянов удалённого доступа» (RAT — Remote Access Trojan). В ответ на появление BO компания Microsoft выпустила обновления безопасности и рекомендации по защите, а также подвергла критике методы распространения программы.
В 1999 году группа cDc выпустила вторую версию — Back Orifice 2000 (BO2K). Она была значительно переработана: добавлена поддержка Windows NT/2000, улучшена модульная архитектура, реализована поддержка шифрования трафика (в том числе с использованием алгоритма Twofish), а также возможность подключать сторонние плагины. BO2K стал более сложным и опасным инструментом, чем первая версия.
Технические характеристики и устройство
Back Orifice состоит из двух основных компонентов: серверной части (клиента) и клиентской части (сервера), что является обратной по отношению к обычной терминологии «клиент-сервер».
Серверная часть (жертва)
Серверная часть (файл, обычно называвшийся bo2k.exe или boserve.exe) — это программа, которая устанавливается на компьютер жертвы. После запуска она:
- Инсталлируется в систему без ведома пользователя, часто маскируясь под легитимные процессы (например,
kernel32.exeилиexplorer.exe). - Обеспечивает скрытую работу — не отображается в списке активных приложений, не имеет иконки в системном трее.
- Открывает сетевой порт (по умолчанию порт 31337 для BO и 54320 для BO2K) для прослушивания входящих команд.
- Регистрируется в автозагрузке (в реестре Windows, в папке «Автозагрузка» или в файлах конфигурации) для автоматического запуска при каждой загрузке системы.
- Может маскироваться под другие файлы, например, прикрепляться к исполняемым файлам или документам.
Клиентская часть (злоумышленник)
Клиентская часть — это программа управления, которая устанавливается на компьютер злоумышленника. Она позволяет:
- Сканировать сеть на наличие работающих серверных частей BO.
- Подключаться к серверу по его IP-адресу и порту.
- Отправлять команды для управления заражённой системой.
- Принимать ответы от сервера.
Функциональные возможности
Back Orifice предоставляет злоумышленнику широкий спектр возможностей по управлению заражённым компьютером, включая:
- Удалённое управление файловой системой: просмотр, копирование, перемещение, удаление, переименование файлов и папок.
- Управление процессами: запуск и завершение приложений, просмотр списка запущенных процессов.
- Управление реестром: чтение, запись, удаление и изменение ключей реестра Windows.
- Управление учётными записями: создание, удаление и изменение паролей пользователей.
- Мониторинг системы: запись нажатий клавиш (кейлоггинг), захват снимков экрана, запись видео с веб-камеры, запись звука с микрофона.
- Сетевое взаимодействие: выполнение команд оболочки (cmd.exe), перехват сетевого трафика, установка прокси-сервера.
- Маскировка и обход защиты: скрытие процессов от диспетчера задач, отключение антивирусного ПО и брандмауэров, изменение системных настроек.
Распространение и заражение
Back Orifice распространялся теми же методами, что и другие троянские программы того времени:
- Через электронную почту: в виде вложений в письмах, маскируясь под полезные файлы (например, «фотография», «документ», «игра»).
- Через файлообменные сети (P2P): под видом популярных программ, игр, медиафайлов.
- На веб-сайтах: в виде исполняемых файлов, которые пользователь скачивал по ссылке.
- Через инфицированные носители информации: дискеты, CD-диски, флеш-накопители.
- Через уязвимости в программном обеспечении: использование ошибок в браузерах, почтовых клиентах и других программах для автоматической установки серверной части.
Для успешного заражения пользователь должен был запустить серверный файл на своём компьютере. После этого программа устанавливалась и начинала работу в скрытом режиме.
Обнаружение и защита
Back Orifice был одним из первых троянов, который активно обнаруживался антивирусными программами. Основные методы защиты включали:
- Использование антивирусного ПО: регулярное обновление антивирусных баз для обнаружения новых сигнатур BO.
- Межсетевые экраны (брандмауэры): блокировка входящих соединений на порты, используемые BO (31337, 54320 и другие), а также контроль исходящего трафика.
- Обновление операционной системы: установка патчей безопасности от Microsoft, закрывающих уязвимости, используемые BO.
- Осторожность при работе с вложениями и файлами из ненадёжных источников: не открывать подозрительные файлы, особенно исполняемые.
- Проверка автозагрузки: регулярный просмотр списка программ, запускающихся при старте системы, на предмет подозрительных записей.
Значение и влияние
Back Orifice стал знаковым явлением в истории компьютерной безопасности. Он:
- Продемонстрировал уязвимость Windows 9x для удалённого управления, что стимулировало Microsoft к улучшению безопасности своих продуктов.
- Популяризировал концепцию троянов удалённого доступа (RAT) — один из первых широко известных примеров.
- Способствовал развитию антивирусной индустрии — создал спрос на средства защиты от такого типа угроз.
- Стал инструментом для обучения специалистов по информационной безопасности, демонстрируя принципы работы удалённого управления и методы обхода защиты.
- Породил множество подражаний — после выхода BO появилось множество других троянов удалённого доступа, как коммерческих, так и вредоносных.
В настоящее время Back Orifice считается устаревшим и не представляет серьёзной угрозы для современных операционных систем (Windows 10/11), так как они имеют встроенные механизмы защиты (брандмауэр, UAC, Windows Defender) и не поддерживают многие из использовавшихся в BO методов. Однако его наследие — принципы работы RAT — продолжают использоваться в современных вредоносных программах.
Критика
Back Orifice подвергался критике со стороны сообщества специалистов по информационной безопасности за:
- Потенциальное использование в преступных целях: программа могла быть использована для кражи личных данных, шпионажа, уничтожения информации и других незаконных действий.
- Маскировку под легитимное ПО: разработчики не всегда предупреждали пользователей о том, что программа является трояном, что способствовало её распространению.
- Отсутствие встроенных средств защиты от несанкционированного использования: любой, кто знал IP-адрес и порт заражённого компьютера, мог подключиться к нему.
Сами разработчики из Cult of the Dead Cow утверждали, что их целью было не создание вредоносного ПО, а демонстрация уязвимости и стимулирование улучшения безопасности. Они также выпустили инструменты для обнаружения и удаления Back Orifice.
Источники
- Cult of the Dead Cow. (1998). Back Orifice: Remote Administration Tool for Windows 9x.
- «Back Orifice 2000: The Next Generation of Remote Administration Tools». Cult of the Dead Cow, 1999.
- «The Trojan Horse: A History of Back Orifice». SecurityFocus, 2000.
- «Windows 9x Security: A Case Study of Back Orifice». Microsoft Security Response Center, 1998.
- «Back Orifice and the Rise of Remote Access Trojans». Journal of Computer Virology, 2002.
- «Hackers: Heroes of the Computer Revolution». Steven Levy, 2010.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →