احسان امجدی
کارشناس امنیت اطلاعات و ارتباطات

مکانیزم کاری تروجان چگونه است؟ معرفی مراحل آلوده شدن به Trojan

تروجان چگونه سیستم را آلوده می کند؟ یک مهاجم می‌تواند براحتی از راه دور و بصورت ریموت ، علاوه بر کنترل نرم افزار، کنترل سخت افزار را نیز بدست گیرد. هنگامی که تروجان بر روی سیستم نصب می‌شود، فقط اطلاعات را در برابر تهدیدها آسیب پذبر نمی‌کند بلکه این شانس را به مهاجم می‌دهد تا حمله ای را بر روی سیستم ترتیب دهد. مهاجمان سیستم را از طرُق زیر آلوده به تروجان می‌کنند:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  • تروجان ها در بسته های به اشتراک گذاری شده و نرم افزارهای قابل دانلود بفور یافت میشوند. هنگامی که کاربر اینگونه فایل ها را دانلود میکنند، تروجان ها بطور خودکار فرصت نصب شدن بر روی سیستم را می‌یابند.
  • کاربران همواره با تبلیغات pop-up مختلفی روبرو هستند. این تبلیغات طوری توسط مهاجم برنامه ریزی شده‌اند که فرقی نمی‌کند کاربر چه گزینه ای را روی آن کلیک کند. در هر حال با اولین کلیک تروجان بطور اتوماتیک روی سیستم نصب خواهد شد.
  • کاربران گاهی اوقات روی فایل‌هایی کلیک می‌کنند که عموما شبیه فایل های مرسوم در اینترنت نیستند مثل کارت‌های پستال، فایل و ویدئو های غیر اخلاقی و .... . تروجان‌ها عموما در این گونه فایل‌ها بی صدا منتظر نصب شدن بر روی سیستم هستند.

فرایند مرحله به مرحله آلوده شدن سیستم توسط تروجان در زیر بیان شده است :

  1. مرحله اول: با استفاده از نرم افزارهای ساخت تروجان، یک بسته نرم‌افزاری آلوده به تروجان ایجاد می‌شود.
  2. مرحله دوم: ایجاد قسمتی برای تغیر قیافه که بخشی از یک بسته آلوده به تروجان است و کد مخرب را بر روی سیستم هدف نصب کرده و سیستم را با تغیر قیافه آلوده می‌کند.
  3. مرحله سوم: ایجاد یک قالب بسته‌بندی شده با استفاده از ابزارهای مخصوص برای نصب تروجان بر روی کامپیوتر هدف. با استفاده از ابزارهای مختلف مثل petite.exe، Graffiti.exe، EliteWrap و نرم‌افزار های دیگر، بسته کادوپیچ جهت نصب تروجان آماده می‌شود.
  4. مرحله چهارم: تکثیر تروجان. تکثیر ویروس‌های کامپیوتری با استفاده از روش‌های مختلفی انجام می‌پذیرد: یک مکانیزم اجراگر خودکار روشی برای اینکار است که در گذشته توسط فلاپی دیسک‌ها منتشر می‌شدند و امروزه این وظیفه را دیوایس های اکسترنال مثل فلش و سی‌دی رام بر عهده دارند. هنگامی که کامپیوتر بوت می‌شود، ویروس بطور خودکار در سطح سیستم منتشر می‌شود.ویروس‌ها از طریق ایمیل‌ها، چت‌های اینترنتی، فایل‌های به اشتراک گذاشته شده در اینترنت، hijacking و روش‌های دیگر منتشر می‌شوند.
  5. مرحله پنجم: در این مرحله بدافزار تغیر قیافه می‌دهد. در این حالت کاربر گمراه شده و فکر می‌کند که تمامی فایل‌هایش اصل هستند در حالی که آن‌ها همان بدافزارهای تغیر قیافه داده شده می‌باشند. لود شدن یکی از این بدافزارها باعث می‌شود دیگر بدافزارهای موجود روی سیستم نیز لود شوند.
  6. مرحله ششم: ضربه مورد انتظار خود را وارد می‌کند. اغلب ویروس‌های کامپیوتری فایل‌های سیستم را پاک و هارد را فرمت می‌کنند و همچنین سبب خسارت دیگر می‌شوند.

استفاده از تکنیک بسته بندی کردن در تروجان ها

بسته بندی کردن به عملی اطلاق می‌شود که در آن فایل اجرایی تروجان خودش را در ظاهر یک فایل اجرایی خوش‌نام و خوش‌ظاهر مثل بازی‌ها یا نرم‌افزارهای آفیس بسته بندی می‌کند. هنگامی که کاربر فایل اجرایی بسته بندی شده را اجرا می‌کند، در ابتدا تروجان در پشت زمینه و بدور از اطلاع کاربر نصب می‌شود و بعد از آن برنامه اصلی و واقعی در ظاهر نصب و اجرا می‌گردد. مهاجم می‌تواند هرگونه کد باینری (DOS یا ویندوز) را با ابزاری مانند petite.exe فشرده کند.

همین ابزار در هنگام اجرا، فایل اجرایی را که قبلا فشره کرده بود، از حالت فشرده خارج می‌کند. این عمل این امکان را به تروجان می‌دهد تا بصورت مجازی غیر قابل شناسایی باشد. اکثر آنتی ویروس ها توانایی تشخیص امضاهای دیجیتالی درون فایل ها را ندارند.مهاجم همچنین میتواند چندین فایل اجرایی را در قالب یک فایل اجرایی، در کنار هم قرار دهد. این روش بسته بندی ممکن است چندین عملکرد را بصورت همزمان پشتیبانی کنند. مثلا هنگامی که یکی از تروجان ها در پشت زمینه در حال اجرا شدن است، در همان زمان فایل دیگری نیز بروی دسکتاپ اجرا شود.

وب سایت توسینسو

متخصصان میگویند تکنیک پیشرفته دیگری نسبت به بسته بندی فایل ها در راه است که در آن توسط برنامه glueware، اجزای نرم‌افزار در هم ترکیب می‌شوند.این احتمال بسیار وجود دارد که کاربران در اکثر اوقات با دست خود تروجان‌ها را بواسطه عواملی مانند وسوسه و یا ترس، نصب کنند. بطور مثال یک تروجان می‌تواند بصورت یک ایمیل بدست شما برسد که حاوی فایل پیوست یا لینکی از یک بازی مورد علاقه شما باشد و شما بواسطه علاقه و وسوسه، اقدام به کلیک کردن بر روی لینک آلوده می‌کنید. نمیتوان صد در صد گفت که تمامی ایمیل‌های مشابه از این دست می‌باشند اما باید در مواجهه با چنین میل‌هایی دقت بسیار کرد.

چگونه تروجان گسترش می‌یابد؟

یک تروجان مفهومی است که مهاجم توسط آن می‌تواند به سیستم قربانی، دسترسی داشته باشد. بدین منظور، مهاجم یک تروجان سرور را ایجاد کرده و سپس ایمیل‌هایی به قربانی ارسال می‌کند. این ایمیل ها حاوی لینکی مستقیم به تروجان سرور هستند. هنگامی که کاربر بر روی لینک کلیک می‌کند، مستقیما به تروجان سرور وصل می‌شود. حال وقت آن است که تروجان سرور یک تروجان را به سیستم قربانی ارسال کند. تروجان بر روی هدف نصب می‌شود و سیستم هدف را آلوده می‌کند. در نتیجه ماشین قربانی بدون آگاهی، با سرور مهاجم ارتباط برقرار می‌کند. همین عمل کافی است که مهاجم کنترل کامل ماشین قربانی را بدست بگیرد و با انتخاب خود اعمال مختلفی را بر روی آن انجام دهد.

وب سایت توسینسو

اگر قربانی تراکنش و یا خرید آنلاینی را با سیستم خود انجام دهد، مهاجم براحتی قادر خواهد بود اطلاعات محرمانه او مثل اطلاعات کارت اعتباری، اطلاعات حساب، و غیره را سرقت کند. علاوه بر این مهاجم می‌تواند از سیستم قربانی به عنوان منبعی برای حملات به سیستم های دیگر استفاده کند.کامپیوترها معمولا توسط کلیک ناآگاهانه و یا ناخواسته کاربران بر روی لینک های آلوده و یا باز نمودن پیوست‌های همراه ایمیل که سبب نصب تروجان می‌شوند، آلوده می‌گردند.

تکنیک فرار تروجان ها از آنتی ویروس

این روش، تکنیکی متفاوت است که توسط تروجان ها، ویروس ها و کرم ها برای پنهان شدن از چشمان آنتی ویروس مورد استفاده قرار می‌گیرد. این روش شامل مواردی است که باید رعایت گردند:

  • تروجان هایی که بصورت آماده و قابل دانلود در اینترنت موجودند، براحتی توسط آنتی ویروس ها قابل شناسایی هستند.
  • تروجان را خودتان کدنویسی کنید و آن را در پوشش یک نرم افزار جا گذاری نمایید.
  • تغیر پسوند فایل تروجان :
    1. تبدیل فایل EXE به اسکریپت VB
    2. تبدیل EXE به فایل DOC
    3. تبدیل EXE به فایل PPT
  • تغیر Checksum
  • تغیر محتوای تروجان با استفاده از hex editor
  • شکستن فایل تروجان به قطعات کوچکتر

نویسنده: احسان امجدی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده، دارای اشکال اخلاقی می باشد


احسان امجدی
احسان امجدی

کارشناس امنیت اطلاعات و ارتباطات

احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...

نظرات