![[Inhalt]](toc.gif)
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
BO ist ein Werkzeug zur Fernadministration eines Servers oder einer Arbeitsstation. Voraussetzung ist, daß das Serverprogramm irgendwie so in den Startmechanismus
eingebunden ist, daß es jedesmal BO startet. BO arbeitet nicht wie ein Virus, sondern muß remote installiert werden. Hier muß der Angreifer R/W - Zugriff auf die Festplatte C:
des Rechners (Windows 95/98/NT) bekommen. Am meisten waren in der Vergangenheit Rechner betroffen, die via Modem
oder ISDN sich direkt in das Internet eingewählt haben, und gleichzeitig
Ihre Festplatte allgemein via NetBIOS (over TCP/IP oder IPX) freigegeben
hatten. Ziel von Angriffen waren insbesondere Telekom-Kunden. Die Angreifer benutzten gewöhnliche Netwerkscanner, die große Bereiche
von den DIAL-IN IP-Adressen von Providern nach bestimmten Ports abscannten
(137-139). Diese Werkzeuge überprüften auch, ob die Festplatte c: beschreibbar war oder nicht. So gelingt es auch heute noch, innerhalb weniger Minuten eine große Anzahl
von möglichen Opfern mit BO zu infizieren. Da die Arbeitsstationen einen Neustart durchführen müssen, verliert sich
deren IP - Nummer. Deswegen muß der Angreifer die sich neu eingewählenden Rechner mit einem BO-Scanner auf das
Vorhandensein von BO erneut scannen. Danach kann der Angreifer
mit automatisierten Werkzeugen alle .doc - Dateien aus dem Verzeichnis c:\eigene_dateien o.ä. Auf einen Internet-Server kopieren, in ASCII umwandeln und nach bestimmten
Begriffen durchsuchen, z.B. einem Firmennamen oder typischen Floskeln, wie
sie im geschäftlichen Briefverkehr benutzt werden. Diese Arbeitsstation schaut sich der Angreifer dann genauer an und versucht,
auf anderen Laufwerksbuchstaben .doc Dateien zu finden. Die Wahrscheinlichkeit, daß ein Angreifer , von irgendeiner Firma plötzlich
sämtliche Dokumente des Chefs oder der Sekretärin auf seiner Festplatte
hat, ist äußerst hoch. Ein Surfer kann sich nicht mehr in der Anonymität der unzähligen DIAL-IN
Netzwerkadressen großer Provider verstecken. Das große Problem bei BO ist, daß es mit 124 KByte relativ unauffällig
ist, und zudem im Taskmanager nicht erscheint. Einige BO-Scanner, die man im Internet findet, sind in Wirklichkeit BO - Installationsprogramme. BO und sein Bruder NetBUS sind inzwischen im Quellcode verfügbar und funktionieren inzwischen über Firewalls hinweg, sofern diese von UDP auf TCP Protokoll
umgeschrieben wurden. BO Scanner finden nur den ursprünglichen BO.EXE, nicht aber die neukompilierten Derivate von
BO.
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |