اگر مقالههای گذشته در رابطه با تروجان و معرفی آنها را مطالعه کرده باشید، الان وقت آن است تا با ادامه این بحث در خدمت شما باشیم. این قسمت به توضیح انواع مختلف تروجانها از حیث نوع و عملکرد میپردازد که به علت گستردگی موضوع، در دوبخش خدمت شما ارائه میشود.
تروجانهای Command Shell، از راه دور کنترل Command Shell را بر روی سیستم قربانی بدست میگیرند. تروجان سرور بر روی سیستم قربانی نصب میشد که وظیفه اولش باز کردن پورتها برای اتصال نفوذگر به سیستم است. کلاینت بر روی سیستم نفوذگر نصب میشود و باعث اتصال Command Shell ای نفوذگر به سیستم قربانی میشود.
نفوذگر با استفاده از Netcat، میتواند روی سیستم قربانی یک پورت خاص و یا یک backdoor را ایجاد کند که به او اجازه میدهد به DOS shell هدف، telnet بزند. با یک کامند ساده مثل C:\>nc –l –p 5000 –t –e cmd.exe، نفوذگر میتواند پورت 5000 را برای نفوذ اختصاص دهد. با استفاده از Netcat، کاربر میتواند ارتباط ورودی و خروجی TCP یا UDP را از به هر پورتی برای خود ایجاد کند. این کار چک کامل DNS Forward Reverse را برای کاربر ایجاد میکند.
بعلاوه این قابلیت هم در اختیار نفوذگر یا کاربر قرار میگیرد که بتواند از هر سورس لوکالی استفاده کند و قابلیتهای پیش فرض Port-Scanning در دسترسش قرار گیرد.در سادهترین استفاده از Netcat یعنی nc host port یک ارتباط TCP را برای اختصاص دادن پورت بر روی هدف ایجاد میکند. سپس ورودی استاندارد بسوی هدف فرستاده میشود و هرچیزی که بتواند از طریق ارتباط برگشت داده شود، بسوی خروجی ارتباط ارسال میشود.این عمل تا زمانی که یکطرف ارتباط خاموش شود، بصورت پیوسته ادامه پیدا میکند. همچنین Netcat میتواند به عنوان یک سرور با قابلیت شنود ارتباطات ورودی بر روی پورتهای دلخواه عمل کند.
قابلیت و خاصیت اصلی این نوع تروجانها گرافیکی بودن ساخت آنهاست که توسط نرمافزارهای مختلفی صورت میپذیرد. از جمله این نرمافزارهای میتوان به MoSucker، Jumper و Biodox اشاره کرد.
اکثر کاربران علاقه زیادی به آپدیت و آپگرید سیستم عامل خود دارند اما این قضیه در مورد نرمافزارهای مرتبا انجام نمیشود. نفوذگران از این فرصت استفاده میکنند تا Document Trojan ها را نصب کنند. نفوذگرها معمولا یک تروجان را در قالب یک پوشه جاساز شده کرده و آن را بصورت یک فایل پیوست در ایمیلها، پوشههای اداری، صفحات وب یا فایلهای مالتی مدیا مثل فلش و PDF انتقال میدهند. هنگامی که کاربری پوشه حاوی تروجان جاساز شده را باز میکند، تروجان بر روی سیستم هدف نصب میشود.
این نوع تروجانها از طریق میلهای گروهی و گسترده پخش میشود. ویروسهای تروجان از طریق پیوست ایمیل ارسال میشود. هنگامی که کاربر ایمیل را باز میکند، ویروس وارد سیستم شده و پس از پخش شدن، سبب ایجاد خسارتهای زیادی به اطلاعات موجود درسیستم میشود.همیشه توصیه شده است که کاربران ایمیلهایی که از طرف فرستندههای ناشناس دریافت شده را باز نکنند. گاهی اوقات تروجانهای ایمیلی ممکن است بطور اتوماتیک تولید میل کنند و به تمام آدرسهای موجود در لیست مخاطبان سیستم قربانی ارسال نماید. بنابراین براحتی توانسته است خود را در بین آدرسهای مختلف، پخش کند
این تروجانها از طریق نرمافزارهای مختلفی قابل تولید هستند که از جمله آنها میتوان به RemoteByMail اشاره نمود.
این نوع تروجانها هنگامی که درکل سیستمی پخش میشوند، میتوانند تمام محتوای موجود در دیتابیس را خراب کنند و یا تغیر دهند. این تروجانهای بدریخت خطرناکتر هم میشوند اگر هدف نفوذگر یک وبسایت باشد؛ آنها بصورت سختافزاری تمام فرمت HTML را تغیر میدهند و نتیجه آن تغیر فرمت محتوای موجود در وبسایت است.
Restorator یکی از نرمافزارهایی است که Defacemen Trojan تولد میکند.
یک باتنت مجموعه ای از روبات های نرمافزاری ( Worms، Trojan Horses و Backdoors) است که بطور اتوماتیک اجرا می شوند. بات نت مجموعه ای از سیستمهای بخطر افتاده هستند که تحت فرمان های مرسوم و ساختاری کنترلی بطور خودکار برنامههای خاصی را اجرا میکنند. تولید کننده بات نت (نفوذگر) میتواند این گروه از سیستمهای بخطر افتاده را از راه دور کنترل کند. این سیستمها که به سیستمهای زامبی معروف هستند، توسط تروجانها، Wormها آلوده شدند.هدف کنترل کننده بات نت، شبکه های آموزشی، دولتی، نظامی و دیگر شبکه ها می باشد. با کمک بات نتها حملاتی مثل DDoS براحتی انجام میپذیرد. این نوع تروجانها بر مبنای دو ساختار کار می کنند:
چهار نوع توپولوژی که باتنت از آن استفاده میکند:
یک Proxy Server تروجان، نوعی از تروجان است که سیستم قربانی را طوری تنظیم میکند که به عنوان یک پروکسی سرور عمل کند. هنگامی که این تروجان سیستم هدف را آلوده کرد، بصورت مخفیانه سیستم را تبدیل به یک پروکسی سرور میکند. نفوذگر از این حربه برای اجرای فعالیتهای مجرمانه مانند سرقت اطلاعات کارت بانکی و امثال آن استفاده میکند و حتی میتواند از طریق آن حملات دیگری را به اهداف مختلف ترتیب دهد.
یک FTP تروجان نوعی از تروجان است که طوری طراحی شده است تا پورت 21 را باز کند و سیستم هدف را برای نفوذگر قابل دسترس کند. این تروجان یک FTP سرور را بر روی سیستم هدف نصب کرده و به نفوذگر اجازه میدهد تا به اطلاعات حساس دسترسی پیدا کند و فایلها و برنامههای موجود در سیستم هدف را با استفاده از پورت 21 و پروتکل FTP، که قبلا باز شده است، منتقل کند.
این نوع تروجان به نفوذگر اجازه میدهد که از سیستم هدف به عنوان یک VNC سرور استفاده کند. این تروجانها بعد از آنکه اجرایی شدند، توسط آنتی ویروس قابل شناسایی نیستند چرا که VNC سرور خود را به عنوان یک مولفه سودمند نشان میدهد.
تروجانهای HTTP/HTTPs، میتوانند از هر فایروالی رد شوند و خلاف جهتی که یک تونل HTTP طی میکند، عمل کند. آنها از سختافزارهای وب- بیس و پورت 80 برای عملکرد خود استفاده میکنند.
SHTTP یک HTTP سرور کوچک است که براحتی میتواند در کنار هر برنامهای خود را جاساز کند. SHTP میتواند براحتی خود را در قالب یک فایل Chess.exe کادوپیچ کند و یا بصورت مخفیانه سیستم را تبدیل به یک وب سرور نماید.
شناخت مفهوم ICMP Tunneling بسادگی از کانال اطلاعات دلخواه در بخش دادهها و با دو بسته ICMP-ECHO و ICMP-ECHOREPLY امکانپذیر است. به علت آن که دیوایسهای شبکه نمیتوانند محتوای ترافیک ICMP-ECHO را فیلتر کنند این مسیر یکی از راههای مورد علاقه و فعالیت نفوذگران و مهاجمان است.مهاجمان براحتی میتوانند ترافیک را عبور دهند، آنها را از بین ببرند و یا برگشت دهند. بسته های تروجان خودشان را بصورت ترافیک مرسوم ICMP-ECHOتغیر شکل میدهند و در نتیجه میتوانند هر اطلاعاتی را که مورد نیازشان است از طریق Tunnel مخفی نگه دارند.
کانالهای مخفی (Covert) روشی هستند که مهاجم میتواند با استفاده از آنها اطلاعات را در قالب پروتکلی که قابل شناسایی نیست، پنهان کند. آنها با تکیه بر این روشها که به Tunneling معروف است، به یک پروتکل این اجازه را میدهند تا توسط پروتکل دیگری حمل شود. یک کانال مخفی (Covert) مانند رگی است که از طریق آن اطلاعات میتوانند عبور کنند و این روش عموما برای انتقال اطلاعات بصورت عمومی و مرسوم بکار نمیرود. بنابراین کانالهای مخفی نمیتوانند توسط روشها استاندارد امنیتی سیستم شناسایی شوند. هر فرآیند یا بخشی از دیتا میتواند یک کانال مخفی باشد. همین خصوصیات این روش را یکی از راههای انتقال اطلاعات برای هکرها کرده است.
این نوع از تروجانها کنترل کامل سیستم قربانی برای مهاجم ایجاد میکنند و به آنها این امکان را میدهند تا بتوانند بصورت ریموت به فایلها ، اطلاعات خصوصی، اطلاعات مالی و نظایر آن دسترسی پیدا کنند. این نوع تروجان مثل یک سرور عمل میکند و روی پورتی شروع به شنود میکند که به نظر نمیرسد مورد استفاده هکرهای اینترنتی واقع شود. بنابراین اگر سیستم هدف پشت فایوال باشد، شانس کمی برای هکر وجود خواهد داشت که از راه دور بتواند با تروجان خود که بر روی سیستم هدف واقع شده است ارتباط برقرار کند و عمل شنود را انجام دهد. اما اگر نفوذگر در همان شبکه و از پشت فایروال بتواند به سیستم هدف دسترسی داشته باشد، میتواند براحتی با تروجان خود ارتباط برقرار نماید. این تروجان دقیقا برای پایه دسترسی ریموت کار میکند. مهاجم کنترل کامل گرافیکی سیستم هدف را بدست میگیرد. این فرآیند شامل مراحل زیر است:
برای نمونه میتوان به تروجانهای Back Orifice و Netbus اشاره کرد
این تروجانها در نوع خود بسیار خطرناک هستند و پایه مهمترین حملات به تراکنشهای بانکی که بصورت آنلاین صورت میگیرند را تشکیل میدهند.این تروجان طبق روش های مرسوم با کلیک کاربر بر روی تبلیغات و یا پیوست ایمیل و روش های مشابه، برروی سیستم هدف نصب شده و هنگامی که قربانی به سایت بانک خود وصل میشود و یا تراکنش آنلاینی را انجام میدهد، اقدام به سرقت اطلاعات میکند.این تروجان طوری طراحی شده است تا بتواند حداقل و حداکثر سرقت اطلاعات را بسته به خواست مهاجم انجام دهد. یکی دیگر از راههای سوء استفاده این تروجان طراحی صفحه ای شبیه صفحه بانکی هدف است و تا زمانی که کاربر دقت کافی نداشته باشد و پارامترهای اصلی صفحه بانک را با صفحه اصلی مقایسه نکند، متوجه نخواهد شد که در واقع بر روی صفحه ای جعلی اقدام به وارد کردن اطلاعات خود کرده است.
مهاجم در ابتدا پیامی تبلیغاتی را آلوده کرده و آن را در وبسایتی قانونی منتشر میکند. هنگامی که قربانیان به وبسایت آلوده وارد میشوند، بطور خودکار به وبسایتی که بسته نفوذ ( Exploit kit) را روی سیستم قربانیان لود میکند، هدایت میشوند. بنابراین بسته نفوذ به مهاجم این امکان را میدهد که آنچه را که بر روی سیستم قربانیان لود ده است، کنترل کنترل کند و از آن برای برای نصب تروجان استفاده نماید. این بدافزار بسیار مبهم است و فقط توسط تعداد کمی از آنتی ویروس ها قابل شناسایی است. سیستم قربانی اکنون یک باتنت است و تروجان براحتی میتواند دستورالعمل ها را از//به سرور کنترل و دستور دریافت// ارسال کند و تمام این اتفاقات بدون اطلاع کاربر در حال رخ دادن است.
هنگامی که قربانی توسط سیستم الودهاش به اکانت بانکی خود وارد شد، تمام اطلاعات حساس که در وارد شدن به اکانت بانکی قربانی مورد نیاز است، به سرور کنترل و دستور ارسال میشود. هنگامی که کاربر از طریق سایت بانکی قصد انجام تراکنش مالی را داشته باشد، تمام اطلاعاتی را که کاربر در فرم مورد نظر پر میکند قبل از آنکه به وبسایت بانک برود، به سرور کنترل و فرمان فرستاده میشود. این سرور اطلاعات را آنالیز میکندو در فرصت مناسب مهاجم برای برداشت مبلغ دلخواه، از آنها استفاده خواهد کرد.همچنین تروجان از سرور کنترل و دستور، دستورالعملی را دریافت میکند که بر مبنای آن باید آخرین فرم مالی را که توسط سرور کنترل و دستور بروز شده است را به بانک ارسال کند تا بواسطه آن بتواند بحساب جعلی خودش مبلغ مورد نظر را برداشت کند. همچنین در ادامه تروجان باید پیغام موفقیت آمیز بودن یا موفق نبودن تراکنش را به سرور کنترل و دستور ارسال کند.
یک تروجان بانکی، برنامهای مخرب است که اطلاعات شخصی درباره کاربران و کلاینتهایی که از سیستم پرداخت الکترونیک و بانکداری آنلاین استفاده میکنند، بست میآورد. تحلیل تروجان بانکی شامل سه نوع زیر میشود:
این تروجان که به M4sT3r معروف است، انحصارا برای تخریب یا پاک کردن فایلها از سیستم قربانی طراحی شده است. فایلها بطور خودکار توسط تروجان پاک میشوند، که این پروسه میتواند مستقیما توسط مهاجم کنترل شود و یا طبق یک برنامه از پیش تعین شده مثل یک بمب هوشمند برای انجام وظبفه خاصی در تاریخ و ساعت داده شده، عمل کند.این تروجان هنگامی که اجرا میشود، سیستم عامل را تخریب میکند. قربانی نمیتواند سیستم عامل را بوت کند. همچنین این تروجان تمام درایوهای لوکال و تحت شبکه سیستم را فرمت میکند.
این نوع از تروجانها آدرس آیپی سیستم قربانی را برای مهاجم ارسال میکنند. هر زمان که سیستم هدف شروع بکار کند، Notification Trojan مهاجم را آگاه میکند. برخی از Notificationها شامل:
این تروجانها اطلاعات موجود در سیستم قربانی را رمزگذاری کرده و استفاده از تمام اطلاعات را غیرقابل استفاده جلوه میدهند: "سیستم شما هنگامی که در سایتهای پورن وبگردی میکردید، قربانی نرمافزار ما شده است، تمام فولدرهای شما، فایلهای متنی و دیتابیس با پسورد پیچیدهای رمزگذاری شدهاند." در این حالت مهاجمان به ازای پس دادن اطلاعات یا باجخواهی میکنند و یا کاربر را مجبور میکند که جنسی را از فروشگاههای آنلاینشان خرید نمایند تا پسورد باز کردن قفل اطلاعات به آنها داده شود.
OSX.Crisis یک اسب تروا است که بالقوه اطلاعات حساس را ار روی سیستم قربانی سرقت میکند و یک Backdoor را برای نفوذهای آتی، روی سیستم بخطر افتاده (سیستم قربانی) باز میکند.هنگامی که تروجان اجرا شود، پوشهها و فایلهای زیر را ایجاد میکند:
موارد زیر نمونه کارهایی است که OSX,Crisis انجام میدهد:
کارشناس امنیت اطلاعات و ارتباطات
احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود