ThaiCERT: Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

Back Orifice 2000 (BO2K)

Back Orifice 2000 เป็นเครื่องมือในการบริหารระบบเครือข่าย (Network Administration Tool) ที่มีประสิทธิภาพตัวหนึ่ง ทำงานบนรูปแบบของระบบปฏิบัติการ Microsoft สร้างขึ้นหลังจาก Back Orifice เดิมซึ่งมีการนำออกมาใช้งานตั้งแต่เดือนสิงหาคมปี 1998 โดยที่ Back Orifice 2000 นี้ให้สิทธิ์แก่ผู้บริหารระบบเครือข่ายในการควบคุมระบบมากขึ้น ให้สามารถควบคุมได้ทั้ง system, network, registry, passwords, file system และ process โดยมีส่วนการทำงานหลักๆ 2 ส่วน ได้แก่ การทำ File-synchronization และการทำ Remote Control เหมือนกับ product อื่นๆ ที่มีจำหน่ายอยู่ ยกเว้น BO2K มีขนาดเล็กกว่า ความ เร็วในการทำงานมากกว่า แจกฟรีและยืดหยุ่นต่อการใช้งานมากกว่า นอกจากนี้ยัง open-source เปิดโอกาสให้ทุกคนมีส่วนร่วมในการพัฒนาการทำงาน ส่งผลให้ BO2K มีความสามารถในการทำงานเพิ่มขึ้นอย่างรวดเร็ว ใช้งานร่วมกับ Plugin และ Feature ใหม่ๆ ที่เพิ่มขึ้นมาได้ตลอดเวลา BO2K จึงเป็นทางเลือกที่มีประสิทธิภาพอันหนึ่งสำหรับผู้บริหารระบบเครือข่าย

ลักษณะโดยทั่วไป

Ø มีสถาปัตยกรรมแบบ Open Source ทำให้มั่นใจได้ว่าจะมีการพัฒนาต่อไปในอนาคต

Ø การ Open Source ทำให้มีรูปแบบการทำงานที่น่าเชื่อถือ และได้รับการสนับสนุนด้านความปลอดภัย

Ø แจกฟรี ไม่ต้องค่าใช้จ่ายใดๆ เพียงแค่ download แล้ว install ก็สามารถใช้งานได้ทันที

Ø Install ได้ง่ายทั้งฝ่ายเครื่อง Client และ Server

Description

Back Orifice เป็น Trojan (โปรแกรมที่ดูเหมือนว่ามีประโยชน์และไม่มีเจตนาร้าย แต่มี code ซ่อนอยู่ที่จะช่วยให้มีการเก็บรวบรวม เปิดเผย ทำให้ผิดพลาดหรือทำลายข้อมูลโดยไม่ได้รับอนุญาต) ที่ได้รับความนิยมมากในปัจจุบัน เริ่มมีการพัฒนาตั้งแต่มีการนำออกมาใช้งานเป็น Release ที่ชื่อ DEFCON VI สร้างขึ้นโดย Cult of the Dead Cow (cDc) ซึ่งได้เผยแพร่ออกไปใช้งานทั่วโลก อาจกล่าวได้ว่า Back Orifice เป็น Trojan ที่มีประสิทธิภาพมากที่สุดที่มีการใช้งานอยู่ในขณะนี้ ผู้ใช้งาน Back Orifice สามารถปรับแต่งการทำงานได้หลายๆ รูปแบบจากการติดตั้ง Plugin ร่วมกับการใช้งาน Back Orifice เพื่อให้เหมาะกับจุดประสงค์ที่จะใช้ อย่างไรก็ตาม Option ต่างๆ ที่มีให้เลือกใช้นี้ถูกออกแบบมาให้ใช้งานยากพอสมควร ทำให้ Hacker (ผู้ที่ชื่นชอบในการสืบเสาะค้นหารายละเอียดเกี่ยวกับเครื่องคอมพิวเตอร์และวิธีการที่จะใช้เครื่องให้ได้เต็มหรือเกินขีดความสามารถของเครื่อง) ที่ความรู้ความสามารถน้อยไม่สามารถใช้งานได้

Basics

ในขณะที่ Back Orifice ทำงาน (Active) มันจะซ่อนตัวเองออกจากรายการการทำงาน (Task List) โดยเครื่องเป้าหมายที่ติด Back Orifice นี้ได้ถูกตัว Back Orifice ติดตั้งตัวเองไว้ใน Registry ในส่วนของ key HKLM/Software/Microsoft/ Windows/CurrentVersion/RunServices เรียบร้อยแล้ว ซึ่งจะถูกเรียกใช้งานจากโปรแกรม Windows ทันทีที่เครื่องเริ่มทำงาน ตัวโปรแกรม Back Orifice จะคัดลอก (Copy) ตัวมันเองไปเก็บไว้ใน Directory ที่ชื่อ System ซึ่งอยู่ใน Windows Root Directory หลังจากนั้นจะลบโปรแกรมที่ใช้ติดตั้งทิ้ง ซึ่งถ้าเป็นการติดตั้งแบบปกติไอคอน (Icon) ที่ได้จะมองไม่เห็น

ระบบปฏิบัติการที่ติด Back Orifice ได้คือ Windows 95/98 เท่านั้น Back Orifice ไม่สามารถติดตั้งตัวเองลงบนระบบปฏิบัติการ Windows NT ได้ เนื่องมาจากการใช้งานไฟล์ระบบประเภท DLL (Dynamic Library Link) บางไฟล์ไม่สามารถทำได้บน NT การติดจะเกิดขึ้นเมื่อมีการเรียกใช้งานไฟล์ที่มี Back Orifice เท่านั้น การที่ผู้ใช้เพียงแต่เปิดดูเว็บไซท์หรือเปิดอ่านอีเมล์ไม่สามารถทำให้ติดได้ แม้ว่าตามทฤษฎีแล้วจะมี Bug อยู่มากมายที่ถูกรวมไว้ภานในซอฟท์แวร์แพคเกจที่เกี่ยวกับอินเทอร์เน็ต รวมทั้ง Microsoft Internet Explorer, Microsoft Outlook Express และ Netscape Communicator และ Bug บางตัวทำให้เกิดการอนุญาตให้ใครบางคนสามารถเข้ามาเรียกใช้งานโปรแกรมบางโปรแกรมบนเครื่องได้โดยพลการแม้ว่าจะไม่ได้รับความร่วมมือใดๆ เลยจากเจ้าของเครื่อง แต่ Bug เหล่านี้มีการกระจายตัวออกไปได้ยากมาก ทั้งยังต้องอาศัยความสามารถของ Hacker ที่ชำนาญเท่านั้น ในขณะที่การบุกรุกที่เกิดจากการทำงานของ Back Orifice นั้นมักจะเกิดจาก Hacker ฝึกหัดที่ทดลองเป็น Hacker ดังนั้น ถือได้ว่า Back Orifice เป็นเครื่องมือที่มีความร้ายแรงไม่มากนัก แต่เพื่อให้การใช้งานคอมพิวเตอร์ในได้รับความปลอดภัย ผู้ใช้ควรที่จะติดตั้งโปรแกรมที่ได้รับการอัพเดต Service Packs และ Bugfixes ของซอฟท์แวร์เกี่ยวข้องกับอินเทอร์เน็ตที่ใช้งานบน Windows อยู่เสมอ สามารถค้นหาได้จากเว็บไซท์ www.microsoft.com และ www.netscape.com

Tech

Back Orifice ให้ผู้ใช้สามารถปรับแต่งการใช้งานได้อย่างเต็มที่ มีพอร์ตการใช้งานมาตรฐานคือ 31337 ชื่อพอร์ต “.exe” สามารถใช้งานได้โดยไม่มีรหัสผ่าน แต่ผู้ใช้สามารถปรับเปลี่ยนใหม่ได้ตามต้องการ Back Orifice มักจะเริ่มเข้าทำงานโดยติดตั้งตัวเองในส่วนของ RunServices ใน Registry ซึ่งสามารถปรับเปลี่ยนให้มีรูปแบบตามต้องการได้เช่นกัน ตามปกติ Back Orifice ใช้โปรโตคอล UDP ในการติดต่อซึ่งจะทำให้ไม่ปรากฏการใช้งานพอร์ทนี้เมื่อทำการ scan แบบธรรมดา แต่จะตอบสนองต่อแพคเกจที่ผ่านการเข้ารหัสโดยอาศัยรหัสผ่านที่ผู้บุกรุกกำหนดไว้ นอกจากนี้ยังไม่ทางเลือกในการเรียกใช้งาน Plugin คู่กันด้วย โดยที่ Plugin เหล่านี้ทุกคนสามารถเขียนขึ้นเองได้ ดังนั้นการเข้าใช้งาน Back Orifice เครื่องที่เป็นเซิร์ฟเวอร์จึงไม่จำกัดอยู่ที่ฟังก์ชันมาตรฐานเท่านั้น แต่สามารถขยายออกไปใช้ฟังก์ชันอื่นๆ ได้โดยสะดวก ตัวอย่างที่พบเห็นบ่อยเช่น การส่งอีเมล์ที่มีการติดออกไป หรือการติดต่อเข้าไปยังเซิร์ฟเวอร์ IRC แล้วประกาศบอกทุกคนที่อยู่ในนั้นว่า เครื่องเซิร์ฟเวอร์มีการติด Back Orifice แล้ว หรือการกระทำที่ซับซ้อนเช่น การทำ sniffer (โปรแกรมที่ใช้ดักจับข้อมูลที่ข้ามผ่านเครือข่ายคอมพิวเตอร์) ในระบบเครือข่าย Back Orifice จะทำให้เกิดการให้สิทธิ์เข้าควบคุมเครื่องคอมพิวเตอร์ที่ติด Back Orifice อย่างเต็มที่ ซึ่งรวมถึง การติดตั้งและควบคุมโปรแกรมแอพลิเคชันต่างๆ การจัดการไฟล์และไดเรกทอรี การเชื่อมต่อและการอนุญาตให้ใช้งานร่วมกันในเครือข่าย การเล่นเสียง การ ping การจัดการ Plugin ต่างๆ การจัดการทำงาน การใช้งานพอร์ท การจัดการ Registry การสืบหาชื่อเครื่องคอมพิวเตอร์ การแสดงกล่องข้อความ การเก็บข้อมูลของระบบรวมทั้งรหัสผ่านในแคช (Cache) การล็อกเครื่อง การ Reboot และการรับส่งไฟล์บน TCP/IP

การทำงานของ Back Orifice จะทิ้งไฟล์ที่ชื่อ windll.dll ไว้ในไดเรกทอรีที่เก็บไฟล์ระบบ ซึ่งไฟล์ dll ดังกล่าวนี้ใช้สำหรับ hook คีย์บอร์ดและเก็บบันทึกการกดคีย์บอร์ดทั้งหมด นอกจากนี้ ยังมีเครื่องมือที่จะช่วยในการรวมส่วนของ Back Orifice เข้ากับโปรแกรมอื่นๆ ก่อนที่จะส่งไปยังเครื่องเป้าหมาย เช่น SilkRope 2.x

ข้อแนะนำในการป้องกัน Back Orifice 2000

เมื่อ Back Orifice 2000 ถูกติดตั้งลงในเครื่อง ผู้ใช้งานจะตรวจสอบได้ค่อนข้างยากเนื่องจาก Back Orifice ได้ถูกปรับเปลี่ยนรูปแบบไป Backdoors ที่เกิดขึ้นจะค่อนข้างซับซ้อน ต้องใช้การตรวจสอบหลายๆ วิธีประกอบเข้าด้วยกันเพื่อทำให้เกิดความปลอดภัยสูงสุดในการระมัดระวังและการป้องกันเครื่องคอมพิวเตอร์หรือเครือข่ายคอมพิวเตอร์จากผู้บุกรุกไม่ให้สามารถเข้ามาติดตั้ง Back Orifice 2000 ได้อย่างเต็มที่ ตามปกติแล้ว Back Orifice 2000 จะติดตั้งตัวเองไว้ในไดเรกทอรี System ของระบบ Windows โดยเป็นไฟล์ที่ชื่อ “UMGR32.EXE” ถ้าระบบปฏิบัติการ Windows NT กำลังทำงานอยู่จะทำการติดตั้งบริการในรูปแบบของ “Remote Administration Services” ซึ่งชื่อดังกล่าวทั้งหมดนี้สามารถเปลี่ยนแปลงได้ตามที่ผู้บุกรุกต้องการ