Back Orifice 2000

0
Le DEFCON 8 (rendez-vous des hackers de tous poils) a été l'occasion du lancement de Back Orifice 2000. La version précédente de Back Orifice avait déjà fait couler pas mal d'encre au moment de son lancement.

00043605-photo-bo2k-logo.jpg
Petit rappel (pour ceux qui ne connaissent pas encore cet outil "d'aministration à distance").
Back Orifice permet de se connecter à une machine distante à la manière des logiciels comme PC Anywhere. La grosse différence qui'il existe en Back Orifice et les autres logiciels de ce type c'est que Back Orifice est généralement installé sur la machine distante à l'insu de son propriétaire.

Back Orifice est composé de 2 éléments :
  • Un logiciel serveur
  • Un logiciel client

Le logiciel serveur est à installer sur la machine sur laquelle vous désirez vous connecter et le logiciel client s'installe sur votre machine. Lorsque le serveur est lancé sur la machine distante, il vous suffit de connaître l'adresse IP de cette machine (ainsi que le port de communication utilisé) pour vous y connecter.

Les possibilités qui vous sont offertes sont multiples (Ex : lister les fichiers, faire une copie d'écran de la machine distante, modifier la base de registre, ...)

ATTENTION : On voit donc qu'il peut y à voir deux utilités pour Back Orifice :
- Dépanner un collègue ou un ami en utilisant sa machine comme si on était devant.
- Ou alors pirater purement et simplement une machine à l'insu de son propriétaire.

Le but de cet article est double :
  • Vous permettre d'utiliser Back Orifice dans le premier cas.
  • Vous permettre que personne ne l'utilise sur votre machine dans le deuxième.

Voici les principales caractéristiques de Back Orifice 2000 :
  • Connections sécurisée (protégée par mot de passe) sur une machine distante
  • Possibilité de lister, copier, déplacer, effacer des fichiers à distance.
  • Possibilité de modifier des éléments de la base de registre.
  • Possibilité de redémarrer la machine.
  • Possibilité de faire une copie de l'écran distant.
  • Possibilité d'envoyer ce qui s'affiche sur l'écran distant en vidéo temps réel sur l'écran client.
  • Cet outil a été programmé par des programmeurs d'exception (d'où un énorme gain de puissance)

Comment utiliser Back Orifice 2000 ?


00043691-photo-bouton-mini-download.jpg
Cliquez ici pour téléchargez la dernière version de Back Orifice contenant tous les plugins.
Vous pouvez dès à présent commencer le téléchargement et poursuivre la lecture de l'article celui-ci commencé :)
Si le Site est saturé, vous pouvez le télécharger par ici (en local)

Configurer le serveur


Faites une copie du fichier "bo2k.exe" et placer le dans un répertoire de sauvegarde (cela vous permet de conserver une version du client non modifiée).
Lancer l'outil "bo2kcfg.exe" et sélectionnez le fichier "bo2k.exe" contenu dans le répertoire de sauvegarde. Vous pouvez maintenant configurer toutes les options suivantes:

Installation des plugins dans le serveur


0140000000043607-photo-bo2k-plaque.jpg
Pour le moment, il existe quelques plugins :

  • BOpeep.dll : Permet d'avoir accès en streaming (vidéo temps réel) à l'écran hôte.
  • 3des.dll: Permet de crypter de façon sécurisée la communication entre l'ordinateur hôte et l'ordinateur client (ce plugins est uniquement disponible dans la version américaine pour des raisons légales concernant la cryptographie).
  • D'autres plugins sont présentés sur la page officielle.


Les Fonctions de Configuration Principales


TCPIO
Default port : le port que vous allez utiliser pour vous connecter : C'est une valeur que vous choisissez et que vous devrez fournir au client pour que les deux puissent communiquer

XOR key
C'est en gros le mot de passe qui vous permet de sécuriser l'échange entre les deux machines. Si vous ne le connaissez pas, vous ne pourrez pas vous connecter sur le serveur distant.

00043609-photo-bo2k-server-config.jpg
Stealth
Lorsque vous lancez le serveur (bo2k.exe par défaut), la connexion devient possible sur votre machine (pour qui connaît la clé XOR). Il est possible de camoufler ce fichier bo2k.exe afin d'effacer toute trace du serveur sur la machine hôte, cela passe par les options suivantes. Là on est plutôt du coté obscur de la Force : Cette utilisation est plutôt utile pour les gens qui veulent s'infiltrer en douce sur une machine distante. Si cela vous arrive... Vous saurez de quoi il en résulte.

  • run at startup : Lancement du serveur automatiquement au démarrage de Windows sur la machine distante
  • delete original file : permet d'effacer le fichier bo2k.exe après qu'il ait été lancé. Dans ce cas, le fichier est copié dans le répertoire c:\windows\system avec le nom spécifié dans l'option "runtime pathname" avant d'être effacé.
  • insidious mode : Elle permet de rendre difficile l'effacement du fichier serveur (impossible de sélectionner le fichier, de l'effacer...).
  • runtime pathname : spécifie le nom du fichier qui sera copié dans le répertoire c:\windows\system après effacement du fichier bo2k.exe original
  • hide process : enlève l'affichage de processus serveur lorsque l'on appuie sur Ctrl+Alt+Supp... Ce qui empêche de tuer le serveur et surtout de savoir sous quel nom il se cache.
  • Les options suivantes sont plutôt utilisées pour Windows NT.
BOpeep
(streaming video de l'écran hôte) : Laissez les options par défaut.[0-9WH]+

Testez le serveur que vous avez configuré


Lorsque vous avez configuré le client, vous pouvez le tester sur votre propre machine. Il vous suffit de le lancer : ATTENTION, nous vous conseillons vivement de désactiver le camouflage sur serveur afin de pouvoir le "tuer" par un Ctrl+Alt+Suppr : Il vous suffit d'utiliser le serveur livré par défaut avec Back Orifice (d'ou l'intérêt de la copie de sauvegarde).

00043608-photo-bo2k-plug-in.jpg
Pour tester votre serveur, il suffit maintenant de lancer le client "bo2kgui.exe".
Il faut tout d'abord configurer le client (cette fois ci) pour qu'il soit en phase avec le serveur que vous venez de configure (Menu : Plugin/ Configure). Les principales données à configurer sont : default port (mettre le même que pour le serveur) et XOR key (même chose). Si le serveur et le client ne sont pas en phase, vous ne pourrez pas vous connecter sur le serveur.

Lorsque c'est fait : lancer "file/new server". Dans la fenêtre connexion, donnez un nom au serveur sur lequel vous allez vous connecter (au choix) puis l'adresse IP de la machine hôte (dans le cas de votre propre machine il suffit de taper : 127.0.0.1).
Après un petit laps de temps, le bouton connecter se transforme en déconnecter. Pour tester la communication, lancer la commande ping.

Les Fonctions Disponibles


Menu simple
Ping et query permet de vérifier que la machine hôte réponds bien

00043606-photo-bo2k-client.jpg
Menu System
Reboot machine : redémarrage de la machine hôte : pas très cool si quelqu'un est en train de télécharger un fichier de 40Mo
Lockup machine : bloque la machine distante
Password list : fournit la liste des mots de passe contenus sur la machine hôte (connexion Internet et mots de passe réseau).
Get system info : informations sur la machine hôte : processeur, mémoire, capacité disque...

Menu Key Logging
Log keystroke : Le serveur écrit dans un fichier (à spécifier dans DISK FILE) toutes les touches tapées sur la machine hôte. L'utilité principale pourrait être de connaître le mot de passe de quelqu'un. Petit a petit vous commencez à comprendre la puissance de cet outil... Et la nécessité de vous en protéger.
End keystroke : Arrête l'écriture
View keystroke log : Afficher le fichier précédemment enregistré
delete keystroke log : Détruire ce fichier.

GUI
System message box : Affiche sur la machine distante un boite de dialogue avec le message que vous voulez (title : titre de la boite de dialogue, message : texte de la boite de dialogue).

MS Networking
Add share : Permet de partager des unités de disque comme si vous étiez sur un réseau Microsoft. Vous avez accès au lecteur distant comme si c'était un lecteur local (grâce à l'explorateur). Spécifiez dans pathname le chemin distant que vous souhaitez partager (ex : c:).
Remove share : C'est l'opération inverse de la précédente.
Map shared device : Crée une unité de disque sur votre machine permettant d'accéder à la connexion partagée précédente depuis le gestionnaire de fichier Windows.
Umap shared device : C'est l'opération inverse de la précédente.
Liste shares

Process
Ce menu permet de tuer, lister ou créer un process.

Registry
Permet d'accéder à la base de registre de l'ordinateur distant afin d'y faire des modifications. Cette fonction est très utile pour faire du dépannage à distance. Elle est tout de même à réserver aux experts de la base de registre étant donné que l'on peut faire énormément de dommages au système en la modifiant.

Menu Multimedia
Capture AVI : génère un "film" de l'écran hôte pendant un nombre spécifié de secondes. Personnellement, je lui préfère le plugin BOpeep qui transfère en streaming (temps réel) l'écran hôte.
Capture screen : crée une copie d'écran et la sauve sur la machine distante avec le nom spécifié dans "filename".
Play/stop WAV : Permet de jouer un fichier WAV sur la machine distante. Sympathique pour annoncer son arrivée sur la machine du collègue.

File/directory
Ce menu est assez clair et simple d'utilisation et permet de manipuler les fichiers :
Créer des répertoires
Lister les fichiers
Effacer des fichiers
Copier des fichiers
Transférer des fichiers de votre machine à la machine sur laquelle vous êtes connectés et inversement.

Compression
Freeze file : Permet de comprimer (tout en encrytant) un fichier. L'opération inverse est effectuée grâce à l'option "melt file".

DNS
Transforme une adresse IP (ex :120.25.23.01) en adresse DNS (ex :www.puissancepc.com) et inversement.

00043610-photo-bo2k-video-stream.jpg
Server Control
Shutdown server : Tue à distance le serveur : C'est une bonne méthode pour désinstaller un serveur présent sur une machine (encore faut-il connaître la clé XOR).
Restart server : Cela peut être utile si vous pensez que le serveur à quelques problème
Load/remove plugins : permet d'installer à distance des nouveaux plugins dans le serveur. Afin de le mettre à jour. Même Microsoft n'avait pas pensé à ça pour mettre à jour Windows avec son "Windows uptdate"

Menu BOpeep (si vous avez installé le plugin sur le serveur et sur le client) :
-Lancer le streaming vidéo de l'écran hôte afin de voir en temps réel ce qui se passe sur l'autre écran. Pas mal pour dépanner un ordinateur distant. Pour utiliser cette fonction, le plugin BOpeep.dll doit également être installé sur le client (menu.....). Il faut pour voir apparaître l'écran distant en streaming aller dans "plugin/BOpeep" et lancer la connection en spécifiant comme adresse celle fournit par le serveur par la ligne: Vidstream StartED on xxx.yyy.zzz.ww:rrrr. Recopiez tout simplement cette suite de chiffres séparés par des points.

Vous venez d'avoir un aperçu des possibilités de cet excellent utilitaire d'administration à distance. Le meilleur devrait être à venir étant donné que de nombreux plugins sont en préparation.
Nous vous conseillons de vous entraîner en installant à la fois le client et le serveur sur votre machine ( à moins d'avoir un collègue compréhensif pour) pour vous faire la main sur Back Orifice.
Signalons également que la plupart des éditeurs d'anti-virus ont mis à jour leur bases de données de signature pour reconnaître Back Orifice comme un virus.
Comme nous venons de le démontrer cet outil à bien d'autres utilisations, il convient donc d'utiliser l'antivirus avec précaution. On en vient à se demander lequel des deux tentent le plus de s'imposer sur la machine ;)
Des heures de méditations intenses en perspective, non ?
Haut de page
Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires