ğustos 98 de,bazı Windows backdoorları teker teker ortaya çıktı.Backdoor,hedef belirtilen sistemde kendini saklayan programlara denilir.Bu programlar genellikle,sisteme izinsiz remote olarak girilmesini sağlarlar.
"Cult Of Dead Cow" adındaki bir hacker grubu bir süre önce Windows 95/98 için "BackOrifice" isminde bir backdoor geliştirdi.Bu backdoor bir kere sisteme yüklendiginde,izinsiz kullanıcıların sisteme girmelerini ve sistemde tam yetki almalarını sağlıyor.
BackOrifice da bir çok backdoor gibi sistemden silinebilir.Ama silmeyi öğrenmeden önce, gelin hedef seçilen sistemde nasıl çalıştığını görelim.
"BackOrifice Server" karşı sisteme gönderilip çalıştırıldığında şunları yapıyor;
* B.O Server,ilk olarak kendisini bulunduğu yerden silerek,Windows sistem directorysine kopyalıyor. (c:\windows\system)
* Daha sonra, "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices" altında server programınında belirtildiği bir kayıt anahtarı oluşturuyor.
* Bundan sonra,sistem 31337 numaralı yeni bir UDP portu açıyor.
BO gerçekten,gerek Netbus,gerek Masterz Paradise,gerekse başka bir Remote Administrative programına göre çok daha karmaşık.Onun için kullanıcı,çoğu zaman BO Server i kendi makinesinde çalıştırabilir.Bunun olup olmadığı şu şekilde öğrenebilirsiniz,
* Regedit programını açın,
* "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices" deki anahtarda boyutu 124,928 olan bir dosya görürseniz,sisteminiz de BackOrifice yüklü :)
Bundan başka NetStat programını kullanarak sisteminizde BO nun yüklü olup olmadığını ögrenebilirsiniz.
'netstat -an' komutu sistemdeki tüm açık portları dinler.Eğer ortada açık bir UDP portu varsa sistemde BO yüklü.
C:\WINDOWS>netstat -an | find "UDP"
UDP 0.0.0.0:31337 *:*
Gördüğünüz gibi 31337 nci port açık bir UDP portu.Aslında bu port 31337 olmak zorunda değil. 31338,31331 de olabilir.Ama hepsi şüpheli tabi :) BO dan kurtulmak hakkında ,daha fazla bilgi için http://www.nwi.net/~pchelp/bo.html ye bakın.
Şimdi BO dan nasıl kurtulacağımızı öğrendik,biraz da olayı diğer taraftan izleyelim,Attacker biziz yani :) Şimdi,BO paketini aldığınızda,Readme dosyalarını ilk önce okumanızı öneririm,çünkü ortada bir çok dosya göreceksiniz,hangisinin server,hangisinin client olduğunu bilmek gerek :)
Cult Of Dead Cow(cDc) grubu ,BO için dört tane plug-in yapmış.İlk bunları gösteriyim.
- Speak Easy - Bu Plug-in'i IRC kelekleri üzerinde kullanıyoruz.Gizlice karşıya geçiyor,ve kendini çalıştırıyor.
- Silk Rope - Kendini ,bir programın içine gizliyor.
- Saran Wrap - Kendini,herhangi bir Install programının içine gizliyor.
- Butt Trumpet - Backdoor bir maile bağlanıp gidiyor.Kurban,maili açtığında,backdoor aktivite oluyor.
İşte plug-inler bunlar.Bunları kullanarak BO yu daha kolaylaştırabilirsiniz.BO yu http://www.cultdeadcow.com/ den download edebilirsiniz.Fakat oradaki bazı programların da güvensiz olduğunu söylemek zorundayım. Mesela BOSniffer adında bir program dan bahsedildiğini göreceksiniz.O bir backorifice,onun için download etmeye kalkmayın.Ayrıca "theipspoof.zip" gibi bir dosya bulursanızda sakın Unzip etmeyin, çünkü o da ayrı bir backorifice.İşte Back Orifice efsanesi bu.
(Hangi Komut Ne İşe Yarar?)
Help: yardım
Copy: kopyalama
Dir: dosyaları listeler
Cd: klasörler arasında geçiş (cd windows)
Md:klasör yaratma (md mehmet)
Del: silme (del ahmet.exe)
Reboot (sistemi resetleme)
Passes (ADAMIN BÜTÜN PASSWORDLERİNİ ALMA)
Sound mound gibi daha onlarca komutu help yazarak örenebilirsiniz!
(Adamın bilgisayarına Boclient i çalıştırmadan yine programla gelen BoGui adlı programlada girebilirsiniz.BoGui grafiksel arabirimlidir.Target host yerine adamın ip numarasını yazın ve istediğiniz tümleci seçin ve send e basın .)
Hiç yorum yok:
Yorum Gönder