home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack / bo_info.txt < prev    next >
Encoding:
Text File  |  1998-08-24  |  7.9 KB  |  136 lines
  1. [ http://www.rootshell.com/ ]
  2.  
  3.                    Date:         Thu, 6 Aug 1998 11:04:26 -0400
  4.                    From:         X-Force <xforce@ISS.NET>
  5.                    Subject:      ISS Security Advisory: cDc BackOrifice Backdoor
  6.  
  7.                    ISS Security Alert Advisory
  8.                    August 6th, 1998
  9.  
  10.  
  11.                    Cult of the Dead Cow Back Orifice Backdoor
  12.  
  13.                    Synopsis:
  14.  
  15.                    A hacker group known as the Cult of the Dead Cow has released a Windows
  16.                    95/98 backdoor named 'Back Orifice' (BO).  Once installed this backdoor
  17.                    allows unauthorized users to execute privileged operations on the affected
  18.                    machine.
  19.  
  20.                    Back Orifice leaves evidence of its existence and can be detected and
  21.                    removed.  The communications protocol and encryption used by this backdoor
  22.                    has been broken by ISS X-Force.
  23.  
  24.                    Description:
  25.                    A backdoor is a program that is designed to hide itself inside a target
  26.                    host in order to allow the installing user access to the system at a later
  27.                    time without using normal authorization or vulnerability exploitation.
  28.  
  29.                    Functionality:
  30.                    The BO program is a backdoor designed for Windows 95/98. Once installed it
  31.                    allows anyone who knows the listening port number and BO password to
  32.                    remotely control the host.  Intruders access the BO server using either a
  33.                    text or graphics based client.  The server allows intruders to execute
  34.                    commands, list files, start silent services, share directories, upload and
  35.                    download files, manipulate the registry, kill processes, list processes, as
  36.                    well as other options.
  37.  
  38.                    Encrypted Communications:
  39.                    All communications between backdoor client and the server use the User
  40.                    Datagram Protocol (UDP).  All data sent between the client and server is
  41.                    encrypted, however it is trivial to decrypt the data sent. X-Force has been
  42.                    able to decrypt BO client requests without knowing the password and use the
  43.                    gathered data to generate a password that will work on the BO server.
  44.  
  45.                    The way that BO encrypts its packets is to generate a 2 byte hash from the
  46.                    password, and use the hash as the encryption key. The first 8 bytes of all
  47.                    client request packets use the same string: "*!*QWTY?", thus it is very
  48.                    easy to brute force the entire 64k key space of the password hash and
  49.                    compare the result to the expected string. Once you know the correct hash
  50.                    value that will decrypt packets, it is possible to start generating and
  51.                    hashing random passwords to find a password that will work on the BO
  52.                    server. In our tests in the X-Force lab, this entire process takes only a
  53.                    few seconds, at most, on a Pentium-133 machine. With our tools we have been
  54.                    able to capture a BO request packet, find a password that will work on the
  55.                    BO server, and get the BO server to send a dialog message to warn the
  56.                    administrator and kill its own process.
  57.  
  58.                    Determining if BO has been installed on your machine:
  59.                    The BO server will do several things as it installs itself on a target
  60.                    host:
  61.  
  62.                    * Install a copy of the BO server in the system directory
  63.                    (c:\windows\system) either as " .exe" or a user specified file name.
  64.  
  65.                    * Create a registry key under
  66.                    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  67.                    with the file name of the server file name and a description field of
  68.                    either "(Default)" or a user specified description.
  69.  
  70.                    * The server will begin listening on UDP port 31337, or a UDP port
  71.                    specified by the installer.  You can configure RealSecure to monitor for
  72.                    network traffic on the default UDP 31337 port for possible warning signs.
  73.                    In order to determine if you are vulnerable:
  74.                    1. Start the regedit program (c:\windows\regedit.exe).
  75.                    2. Access the key
  76.                    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices.
  77.                    Look for any services that may not have been intentionally installed on the
  78.                    machine.  If the length of one of these file is close to 124,928 (give or
  79.                    take 30 bytes) then it is probably BO.
  80.  
  81.                    Recommended action:
  82.                    BO can be removed by deleting the server and removing its registry entry.
  83.                     If possible, you should back up all user data, format your hard drive, and
  84.                    reinstall all operating systems and software on the infected machine.
  85.                    However, if someone has installed BO on your machine, then it is most likely
  86.                    part of a larger security breach.  You should react according to your site
  87.                    security policy.
  88.  
  89.  
  90.                    Determining the password and configuration of an installed BO:
  91.                    1. Using a text editor like notepad, view the server exe file.
  92.                    2. If the last line of the file is '8 8$8(8,8084888<8@8D8H8L8P8T8X8\8'8d8h8l8',
  93.                    then the server is using the default configuration.  Otherwise, the
  94.                    configuration will be the last several lines of this file, in this order:
  95.  
  96.                    <filename>
  97.                    <service description>
  98.                    <port number>
  99.                    <password>
  100.                    <optional plugin information>
  101.  
  102.                    Conclusion:
  103.                    Back Orifice provides an easy method for intruders to install a backdoor on
  104.                    a compromised machine.  Back Orifice's authentication and encryption is
  105.                    weak, therefore an administrator can determine what activities and
  106.                    information is being sent via BO.  Back Orifice can be detected and
  107.                    removed.  This backdoor only works on Windows 95 and Windows 98 for now
  108.                    and not currently on Windows NT.
  109.  
  110.                    ----------
  111.  
  112.                    Copyright (c) 1998 by Internet Security Systems, Inc.
  113.  
  114.                    Permission is hereby granted for the redistribution of this alert
  115.                    electronically.  It is not to be edited in any way without express consent
  116.                    of X-Force.  If you wish to reprint the whole or any part of this alert in
  117.                    any other medium excluding electronic medium, please e-mail xforce@iss.net
  118.                    for permission.
  119.  
  120.                    Disclaimer
  121.                    The information within this paper may change without notice. Use of this
  122.                    information constitutes acceptance for use in an AS IS condition. There are
  123.                    NO warranties with regard to this information. In no event shall the author
  124.                    be liable for any damages whatsoever arising out of or in connection with
  125.                    the use or spread of this information. Any use of this information is at
  126.                    the user's own risk.
  127.  
  128.                    X-Force PGP Key available at:   http://www.iss.net/xforce/sensitive.html as
  129.                    well as on MIT's PGP key server and PGP.com's key server.
  130.  
  131.                    X-Force Vulnerability and Threat Database: http://www.iss.net/xforce
  132.  
  133.                    Please send suggestions, updates, and comments to:
  134.                    X-Force <xforce@iss.net> of Internet Security Systems, Inc.
  135.  
  136.