Spion im Server

Wehren kann sich, wer seinen Gegner kennt. Eine kurze Ein-führung in das Hackerprogramm "Back Orifice 2000" hilft, die Gefahren einzuschätzen und im Notfall das Richtige zu tun.

Von: Dr. Klaus Plessner

Das Programm der Hackergemeinde "Cult of the dead Cow" hat alle Eigenschaften, die ein Werkzeug für die Fernadministration von Windows-Rechnern braucht. Falls der Netzwerkverwalter den Gang in den Serverraum vermeiden will, kann er von seinem Desktop aus fremde Verzeichnisse auflisten, Dateien verändern und Prozesse starten. Ein Clientprogramm mit grafischer Oberfläche läßt ihn Filesysteme der fernen Maschine freigeben und der Registratur neue Schlüssel hinzufügen. Mit zwei Mausklicks veranlaßt der Administrator einen Neustart des kontrollierten Geräts und genauso leicht schaltet er die Überwachung der Servertastatur ein. Auf dem Zielrechner muß jedoch zuallererst ein Agent installiert sein, ein Prozeß, der mit dem Verwaltungs-Client kommuniziert. Dieser — und das macht aus Back Orifice ein Werkzeug des Teufels — entzieht sich den Blicken desjenigen, der mit dem überwachten Rechner arbeitet. Wer wissen will, ob seine Maschine gerade einem Lauschangriff ausgesetzt ist, muß schon sehr genau hinschauen und die Systemverzeichnisse, die Prozeßliste des Taskmanagers und die Registratur prüfen. Und dennoch, wie der Beitrag zeigen wird, hat er am Ende keine Garantie für einen "sauberen" Computer.

Geheimnisse erwünscht

Ein Download des Back-Orifice-Pakets beschert dem Empfänger drei Programme:

- bo2k.exe: Das Herzstück, das auf dem kontrollierten Gerät arbeitet.

- bo2kcfg.exe: Mit diesem Tool wird der Server konfiguriert.

- bo2kgui.exe: Der Client mit einer grafischen Oberfläche läuft auf dem Rechner des Überwachers.

Bevor ein Back-Orifice-Server seinen Dienst antritt, muß er auf seine Aufgaben vorbereitet werden. Ein Kinderspiel mit dem Tool bo2kcfg.exe. Zunächst lädt der Anwender den mitgelieferten Server bo2k.exe. Anschließend wählt er verschiedene Parameter für eine Netzwerkverbindung zwischen dem Agenten und dem Kontrolleur: den Serviceport, ein Paßwort für die Verschlüsselung der Kommunikation und eines der Protokolle TCP oder UDP. Danach öffnet sich ihm eine Übersicht der Voreinstellungen und der von ihm festgelegten Werte, in der Form einer Registratur mit mehreren Ästen. Einer davon, genannt "Stealth", betrifft die Art, auf die sich das Tool im Betrieb versteckt.

Sobald der Benutzer mit dem Fine Tuning fertig ist, klickt er auf "Speichern". Daraufhin erzeugt ihm die Routine einen Servercode, der seinen Wünschen entspricht und die neue Konfiguration enthält. Die Schlüssel des Teilbaums "Stealth" lauten im einzelnen, mit den voreingestellten Werten:

- Run at startup: abgeschaltet;

- Delete original File: abgeschaltet;

- Insidious mode: abgeschaltet;

- Runtime pathname: UMGR32.EXE;

- Hide process: angeschaltet;

- Host process name: EXPLORER;

- Service name: Remote Administration Service.

Indizien für den Angriffs

Je nachdem, wie der Spion untertaucht, hinterläßt er unterschiedliche Spuren auf dem Zielsystem. Die Option "Run at startup" bestimmt, ob sich der Agent auf einem NT-Rechner als Service installiert. Wenn ja, beginnt er seine Arbeit, sobald der Rechner hochfährt und läßt sich dabei nicht stören, wenn sich ein Anwender vorübergehend ausloggt. Der Start des Programms bo2k.exe auf einem NT-Rechner verursacht dreierlei Veränderungen:

- einen Zweig namens "Remote Administration Service" in den Teilbäumen [HKEY_LOCAL_MASCHINE\SYSTEM\ControlSet\Services] und [HKEY_LOCAL_MASCHINE\ SYSTEM\ControlSet001\Services],

- eine Datei UMGR32.EXE im Systemverzeichnis und

- einen Eintrag UMGR32.EXE in der Prozeßliste des Taskmanagers.

Auf einem Windows 9x-System erscheint in der Registry der Schlüssel Remote Administration Service mit dem Wert UMGR32.EXE im Teilbaum [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices].

Falls die Option Hide process abgeschaltet ist, taucht der Serverprozeß in der Taskliste mit dem Namen auf, unter dem er gestartet wurde, also als bo2k.exe, falls nicht vorher umbenannt. Hide process bewirkt somit nur, daß der Abhörprozeß im Taskmanager unter einer anderen Bezeichnung steht.

Mit der Option Delete original file wird der anfangs gestartete Serverprozeß gelöscht. Künftig firmiert der Dienst unter dem Titel UMGR32.EXE, beziehungsweise einem im Schlüssel Runtime pathname festgelegten Pseudonym. Bei Insidious mode werden der Originalbezeichnung, also bo2k.exe, soviele Leerzeichen und am Ende ein e angefügt, daß der Dateimanager jeden Zugriff mit einem Buffer Overflow abbricht.

Entscheidet sich der Anwender gegen die Service-Variante und deaktiviert Run at startup, gelten andere Gesetze. Die Werte für Service name und Runtime pathname spielen jetzt keine Rolle mehr. Sobald der Prozess anläuft, versteckt er sich, sofern Hide process angekreuzt ist, hinter einem laufenden Programm. Hier haben die Entwickler EXPLORER.EXE, eines der Basisprogramme von Windows voreingestellt. Mit Hilfe des Systemaufrufs CreateRemoteThread kopiert sich das Programm in den Adreßraum eines Prozesses mit dem im Schlüssel Host process name angegebenen Titel. Sobald bo2k.exe im Kontext des Gastgebers läuft, endet der ursprüngliche Prozeß: Im Taskmanager verschwindet kurze Zeit nach dem Start des Spionagetools der Eintrag bo2k, während gleichzeitig der von EXPLORER reservierte Adreßbereich um circa 400 KByte wächst. Bei Windows 9x verschwindet das Tool von der Taskliste, indem es die Aufrufe Process32First und Process32Next umleitet. Ohne "Hide process" bleibt bo2k in der Prozeßliste.

Raffinierte Zusätze

Zusammenfassend läßt sich bisher sagen, daß der Serveranteil von Back Orifice 2000 entweder als Service läuft - dann kann ihn der bedrohte Benutzer finden, vorausgesetzt er erkennt eine "fremde" Datei, die nicht zu seinem System gehört — oder jeweils neu gestartet werden muß. In diesem Fall hat der Anwender keine Chance den Eindringling selbst zu entdecken.

Ein Abhörprogramm, daß nur läuft, wenn der Belauschten darauf klickt, könnte man meinen, sei harmlos. Hier kommt jedoch der Trumpf des trojanischen Pferdes ins Spiel. Damit der Serverprozeß bo2k.exe auf den Zielrechner gelangt und dort regelmäßig seinen Dienst ausübt, haben Hacker ein Zusatzwerkzeug entwickelt, das den Code an ein anderes Programm bindet, ein herunterladbares Freeware Tool zum Beispiel. Und wenn der Ahnungslose sein neues Spiel ausprobiert, öffnet er Angreifern Tür und Tor. Ein Plug-in sorgt nämlich dafür, daß beim Start des Serverprozesses eine E-Mail an den Hacker geht, mit der IP-Adresse des gehijackten Rechners.

Sobald der Spion auf einer Maschine untergetaucht ist, greift der heimliche Beobachter ein, öffnet das Tool bo2kgui.exe auf seinem Desktop und stellt eine Netzwerkverbindung her. Zwei Angaben muß er dabei machen: die IP-Adresse des belauschten Geräts und den Serviceport, den er beim Konfigurieren des Servers ausgewählt hat. Wenige Sekunden später äußert sich die Macht, die er über das angezapfte Windows-System erlangt, in einer reichlichen Auswahl von Befehlen, die verschiedenen Menüs angehören:

- Simple Commands: Hierzu gehört Ping;

- System Commands: Zur Auswahl stehen die Befehle "Neustart" oder "Festfrieren" und ein Paßwortsniffer;

- Key Logging: Die Keyboard-Aktivitäten des Bewachten landen in einer Protokolldatei;

- GUI Commands: Mit dem Befehl System Message Box öffnet der Angreifer einen Textkasten auf dem Bildschirm des Servers;

- TCP/IP Commands: Hier kann der Beobachter TCP-Ports des Zielsystems auf seinen Rechner umleiten oder einen HTTP-Dämon starten, der Verzeichnisse des Servers veröffentlicht;

- MS Networking: Alles zum Verwalten von Verzeichnisfreigaben von Microsoft-Netzen;

- Process Control: Das Menü läßt Prozesse auflisten, beenten und starten;

- Registry: Zum Bearbeiten der Registratur des Servers gibts hier Befehle wie "Schlüssel anlegen", "Schlüssel auflisten" und "Wert festlegen";

- Multimedia: Dank diesem Menü ist Back Orifice ein Spion im klassischen Sinne, denn es liefert das Zubehör zum Anzapfen einer am Server installierten Kamera;

- File and Directory: Dateien ansehen, empfangen oder auf dem Server ablegen - etwas umständlich, aber dennoch möglich mit dieser Befehlssammlung;

- Server Control: Falls der Angreifer den Serverprozeß beenden oder ändern will, findet er hier, was er braucht.

- File Comression: Der Befehl Freeze komprimiert einzelne Dateien, der Befehl Melt verwandelt sie wieder zurück;

- Resolver: DNS-Anfragen liefern je nach Wunsch eine Netzwerkadresse zu einem Hostnamen oder umgekehrt;

Verwaltung ohne Garantie

Bruce Schneier, Entwickler verschiedener Verschlüsselungsalgorithmen und Herausgeber des Newsletters Crypto-Gram, stellt Back Orifice als Administrationswerkzeug neben die kommerziellen Produkte "PC-Anywhere" und "Systems Management Server". Und die Autoren aus dem Kreis Cult of the dead Cow verschweigen den schädlichen Aspekt und betonen vielmehr die nützliche Seite der Software. Aus mehreren Gründen sollte man Back Orifice dennoch mit Mißtrauen begegnen:

- Der Serverprozess arbeitet im Verborgenen. Falls geschickt konfiguriert, führt er den Benutzer des Zielsystems hinters Licht.

- Zusatztools ermöglichen die Massenverbreitung des Codes in trojanischen Pferden. Kein Adminsitrator würde auf diese Funktion Wert legen.

- Die Quelle ist pseudonym. Autoren der 2000er-Version heißen DilDog und Sir Dystic.

- Das Programm ist ungenügend dokumentiert. Eine Beschreibung des Konfigurationstools fehlt.

- Die Hersteller verweigern jegliche Hilfestellung.

- Allein eigene Experimente, Surfen durch Malingarchive und Hinweise von Norman und Symantec ermöglichten diesen Beitrag.

Hersteller von Antiviren-Software warnen die Benutzer davor, Programme zu starten, die sie per E-Mail erhalten haben. Außerdem raten sie zur Installation ihres Produkts; mit Recht, denn gängige Virenschutzprogramme spüren Codeteile von Back Orifice auf und schlagen Alarm, wenn bo2k.exe oder eine damit infizierte Datei auf der Festplatte liegen. "Bösartige Tools zur Fernadministration sind ein größeres Sicherheitsrisiko", schließt Bruce Schneier seinen Kommentar zu Back Orifice. "Dennoch hat der Trojaner die Computerwelt auf eine Gefahr aufmerksam gemacht."