Les Backdoors

Les Backdoors
Définition :
OU
Porte d'entrée cachée dans un système. C’est souvent une porte
de service discrète mais délibérément laissée par ses
concepteurs ou ses réalisateurs, qui servait lors du débuggage
et a été oubliée. En général tout le monde ne l'oublie pas...
C'est une fonction ou un programme permettant à un pirate de
prendre le contrôle d'un ordinateur à distance. Il peut être placé
dans un cheval de Troie ou un virus .
sont des programmes qui en plus
d'une fonction classique, ont une
fonction cachée nuisible : récupérer
vos mots de passe, détruire votre
disque dur, ...
souvent de petite taille qui ont la
particularité de se reproduire sur un
ordinateur en se copiant dans
différents fichiers ou structures de
disques durs. Il en existe plusieurs
types.
Historique des Backdoors
Ken Thompson, l’un des pères d’Unix, décrit un mécanisme d’accès
caché qu’il avait mis en place sur les systèmes Unix plusieurs années
auparavant :
Il avait modifié l’application /bin/login pour y incorporer une portion de
code offrant l’accès direct au système sur saisie du mot de passe
précompilé en dur (sans tenir compte de /etc/passwd). Ainsi, tout système
fonctionnant avec cette version de login pouvait-il être visité par
Thompson ...
Seulement, à cette époque, les sources des applications étaient
disponibles (comme maintenant avec les logiciels libres). Aussi le code
source de login.c était présent sur les systèmes Unix, et n’importe qui
aurait pu voir le code piégé. Thompson fournissait donc un source login.c
propre, ne contenant pas la trappe d’accès.
Le problème à ce niveau était que n’importe quel administrateur pouvait
recompiler login.c et effacer la version piégée. Aussi Thompson, modifiat-il le compilateur C standard pour qu’il ajoute lui-même l’accès caché
lorsqu’il s’apercevait qu’on lui demandait de compiler login.c
Mais, à nouveau, le code source du compilateur cc.c était disponible, et
n’importe qui aurait pu voir les lignes suspectes ou recompiler le
compilateur. Il fournissait donc une version innocente des sources du
compilateur C, mais le fichier binaire, préalablement traité, était prévu
pour reconnaître ses propres fichiers source, et insérait alors le code
servant à insérer le code servant à infecter login.c
Que faire ?
Simple : Se construire une machine don’t on a créé tout le
microcode, le système d’exploitation, les compilateurs, les
machines virtuelles, les utilitaires, ….
Exemple de Backdoor
Back Orifice : est a l'origine un outil d'administration créé par "The Cult of the
Dead Cow". Cet outil donne des droits auxquels l'utilisateur lui-même n'a pas
accès. Complètement paramétrable et absolument transparent.
1. Ping et requêtes sur la version du serveur
2. Rebooter, bloquer le système, lister les passwords, les infos système
3. Logger les activités clavier, gérer les opérations avec les fichiers log file: voir, effacer
4. Ouvrir une boite de dialogue avec texte et titre spécifiques.
5. Mapping des ports TCP sur une autre IP, console d'application, serveur de fichiers HTTP, nom
de fichier, listing des ports mappes et du fichier TCP
6. Ajouter/supprimer un partage réseau, lister les partages (y compris les partages LAN), mapper
les périphériques partages,lister les connexions actives.
7. Contrôle des Processus (marche aussi sous NT): lister, killer, démarrer
8. Accès total a la base de registres, (dommage qu'il faille taper tout manuellement).
9. Jouer des fichiers WAV (possible en boucle), capture d'écran, avi et flux video.
10. Accès total au disque : dossiers et fichiers, rechercher, afficher, effacer, déplacer,
copier.
11. Compression / décompression a distance (pour les gros fichiers)
12. Résolution des hosts et des adresses IP
13. Contrôle des plugins a distance, ajout de commandes selon les plugins, gestionnaire de
commande socket.
Différentes Backdoors
Password Cracking Backdoor
Library backdoors
Kernel backdoors
Login Backdoor
Checksum and Timestamp Backdoors
File system backdoors
Telnetd Backdoor
Bootblock backdoors
Services Backdoor
Process hiding backdoors
Network traffic backdoors
ICMP Shell Backdoors
Encrypted Link
ICMP Shell Backdoors
UDP Shell Backdoors
TCP Shell Backdoors