احسان امجدی
کارشناس امنیت اطلاعات و ارتباطات

معرفی انواع تروجان (Trojan Horse) : 20 نوع تروجان که باید بشناسید

اگر مقاله‌های گذشته در رابطه با تروجان و معرفی آن‌ها را مطالعه کرده باشید، الان وقت آن است تا با ادامه این بحث در خدمت شما باشیم. این قسمت به توضیح انواع مختلف تروجان‎ها از حیث نوع و عملکرد می‌پردازد که به علت گسترد‌گی موضوع، در دوبخش خدمت شما ارائه می‌شود.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

شماره 1 : تروجان‌های Command Shell

تروجان‌های Command Shell، از راه دور کنترل Command Shell را بر روی سیستم قربانی بدست می‌گیرند. تروجان سرور بر روی سیستم قربانی نصب می‌شد که وظیفه اولش باز کردن پورت‌ها برای اتصال نفوذگر به سیستم است. کلاینت بر روی سیستم نفوذگر نصب می‌شود و باعث اتصال Command Shell ای نفوذگر به سیستم قربانی می‌شود.

وب سایت توسینسو

شماره 2 : Netcat چیست ؟

نفوذگر با استفاده از Netcat، می‎تواند روی سیستم قربانی یک پورت خاص و یا یک backdoor را ایجاد کند که به او اجازه می‎دهد به DOS shell هدف، telnet بزند. با یک کامند ساده مثل C:\>nc –l –p 5000 –t –e cmd.exe، نفوذگر می‎تواند پورت 5000 را برای نفوذ اختصاص دهد. با استفاده از Netcat، کاربر میتواند ارتباط ورودی و خروجی TCP یا UDP را از به هر پورتی برای خود ایجاد کند. این کار چک کامل DNS Forward Reverse را برای کاربر ایجاد می‎کند.

بعلاوه این قابلیت هم در اختیار نفوذگر یا کاربر قرار می‌گیرد که بتواند از هر سورس لوکالی استفاده کند و قابلیت‌های پیش فرض Port-Scanning در دسترسش قرار گیرد.در ساده‌ترین استفاده از Netcat یعنی nc host port یک ارتباط TCP را برای اختصاص دادن پورت بر روی هدف ایجاد می‌‌کند. سپس ورودی استاندارد بسوی هدف فرستاده می‌شود و هرچیزی که بتواند از طریق ارتباط برگشت داده شود، بسوی خروجی ارتباط ارسال می‎شود.این عمل تا زمانی که یکطرف ارتباط خاموش شود، بصورت پیوسته ادامه پیدا می‌کند. همچنین Netcat می‎تواند به عنوان یک سرور با قابلیت شنود ارتباطات ورودی بر روی پورت‎های دلخواه عمل کند.

شماره 3 : GUI Trojans ( تروجان‎های گرافیکی)

قابلیت و خاصیت اصلی این نوع تروجان‏ها گرافیکی بودن ساخت آن‎هاست که توسط نرم‎افزارهای مختلفی صورت می‎پذیرد. از جمله این نرم‎افزارهای می‎توان به MoSucker، Jumper و Biodox اشاره کرد.

شماره 4 : Document Trojans یا تروجان هایی که مستندات متصل می شوند

اکثر کاربران علاقه زیادی به آپدیت و آپگرید سیستم عامل خود دارند اما این قضیه در مورد نرم‎افزارهای مرتبا انجام نمی‎شود. نفوذگران از این فرصت استفاده می‎کنند تا Document Trojan ها را نصب کنند. نفوذگرها معمولا یک تروجان را در قالب یک پوشه جاساز شده کرده و آن را بصورت یک فایل پیوست در ایمیلها، پوشه‎های اداری، صفحات وب یا فایل‎های مالتی مدیا مثل فلش و PDF انتقال می‎دهند. هنگامی که کاربری پوشه حاوی تروجان جاساز شده را باز می‎کند، تروجان بر روی سیستم هدف نصب می‎شود.

وب سایت توسینسو

شماره 5 : Emails Trojan یا تروجان های ایمیلی

این نوع تروجان‎ها از طریق میل‏های گروهی و گسترده پخش می‎شود. ویروس‎های تروجان از طریق پیوست ایمیل ارسال می‎شود. هنگامی که کاربر ایمیل را باز می‎کند، ویروس وارد سیستم شده و پس از پخش شدن، سبب ایجاد خسارت‎های زیادی به اطلاعات موجود درسیستم می‌شود.همیشه توصیه شده است که کاربران ایمیل‎هایی که از طرف فرستنده‏های ناشناس دریافت شده را باز نکنند. گاهی اوقات تروجان‎های ایمیلی ممکن است بطور اتوماتیک تولید میل کنند و به تمام آدرس‏های موجود در لیست مخاطبان سیستم قربانی ارسال نماید. بنابراین براحتی توانسته است خود را در بین آدرس‏های مختلف، پخش کند

وب سایت توسینسو

این تروجان‎ها از طریق نرم‎افزارهای مختلفی قابل تولید هستند که از جمله آن‎ها می‏توان به RemoteByMail اشاره نمود.

شماره 6 : Defacement Trojans تروجان های تغییر ظاهر

این نوع تروجان‏ها هنگامی که درکل سیستمی پخش می‎شوند، می‎توانند تمام محتوای موجود در دیتابیس را خراب کنند و یا تغیر دهند. این تروجان‎های بدریخت خطرناکتر هم می‏شوند اگر هدف نفوذگر یک وب‎سایت باشد؛ آن‎ها بصورت سخت‏افزاری تمام فرمت HTML را تغیر می‏دهند و نتیجه آن تغیر فرمت محتوای موجود در وب‎سایت است.

وب سایت توسینسو

Restorator یکی از نرم‎افزارهایی است که Defacemen Trojan تولد می‎کند.

شماره 7 : Botnet Trojans تروجان های بات نت

یک بات‎نت مجموعه‏ ای از روبات‏ های نرم‌افزاری ( Worms، Trojan Horses و Backdoors) است که بطور اتوماتیک اجرا می‏ شوند. بات‏ نت مجموعه‏ ای از سیستم‎های بخطر افتاده هستند که تحت فرمان‏ های مرسوم و ساختاری کنترلی بطور خودکار برنامه‎های خاصی را اجرا می‎کنند. تولید کننده بات‏ نت (نفوذگر) می‎تواند این گروه از سیستم‎های بخطر افتاده را از راه دور کنترل کند. این سیستم‎ها که به سیستم‏های زامبی معروف هستند، توسط تروجان‎ها، Wormها آلوده شدند.هدف کنترل کننده بات‏ نت، شبکه‏ های آموزشی، دولتی، نظامی و دیگر شبکه ‏ها می‏ باشد. با کمک بات‏ نت‎ها حملاتی مثل DDoS براحتی انجام می‎پذیرد. این نوع تروجان‎ها بر مبنای دو ساختار کار می‏ کنند:

  • Botnet
  • Botmaster

چهار نوع توپولوژی که بات‎نت از آن استفاده می‎کند:

  • سلسله مراتبی ( Hierarchical)
  • سرورهای مختلف ( Multi Server)
  • ستاره‏ای ( Star)
  • رندوم ( Mesh)

شماره 8 : Proxy Server Trojans یا تروجان های پروکسی سرور

یک Proxy Server تروجان، نوعی از تروجان است که سیستم قربانی را طوری تنظیم می‏کند که به عنوان یک پروکسی سرور عمل کند. هنگامی که این تروجان سیستم هدف را آلوده کرد، بصورت مخفیانه سیستم را تبدیل به یک پروکسی سرور می‎کند. نفوذگر از این حربه برای اجرای فعالیت‎های مجرمانه مانند سرقت اطلاعات کارت بانکی و امثال آن استفاده می‎کند و حتی می‎تواند از طریق آن حملات دیگری را به اهداف مختلف ترتیب دهد.

وب سایت توسینسو

شماره 9 : FTP Trojans

یک FTP تروجان نوعی از تروجان است که طوری طراحی شده است تا پورت 21 را باز کند و سیستم هدف را برای نفوذگر قابل دسترس کند. این تروجان یک FTP سرور را بر روی سیستم هدف نصب کرده و به نفوذگر اجازه می‎دهد تا به اطلاعات حساس دسترسی پیدا کند و فایل‎ها و برنامه‎های موجود در سیستم هدف را با استفاده از پورت 21 و پروتکل FTP، که قبلا باز شده است، منتقل کند.

شماره 10 : VNC Trojans

این نوع تروجان به نفوذگر اجازه می‎دهد که از سیستم هدف به عنوان یک VNC سرور استفاده کند. این تروجان‏ها بعد از آن‎که اجرایی شدند، توسط آنتی ویروس قابل شناسایی نیستند چرا که VNC سرور خود را به عنوان یک مولفه سودمند نشان می‎دهد.

شماره 11 : HTTP/HTTPS Trojans

تروجان‎های HTTP/HTTPs، می‌توانند از هر فایروالی رد شوند و خلاف جهتی که یک تونل HTTP طی می‎کند، عمل کند. آن‎ها از سخت‌افزارهای وب- بیس و پورت 80 برای عملکرد خود استفاده می‌کنند.

شماره 12 : (Shttp Trojan – HTTPS (SSL

SHTTP یک HTTP سرور کوچک است که براحتی می‎تواند در کنار هر برنامه‎ای خود را جاساز کند. SHTP می‎تواند براحتی خود را در قالب یک فایل Chess.exe کادوپیچ کند و یا بصورت مخفیانه سیستم را تبدیل به یک وب سرور نماید.

  • سیستم هدف را با فایل Chess.exe آلوده می‎کند.
  • SHTTP در پشت زمینه اجرا می‌شود و روی پورت 443 (SSL) شنود می‎کند.
  • با استفاده از مرورگر به سیستم هدف وصل می‌شود: Http://10.0.0.5:443
وب سایت توسینسو

شماره 13 : ICMP Tunneling چیست ؟

شناخت مفهوم ICMP Tunneling بسادگی از کانال اطلاعات دلخواه در بخش داده‌ها و با دو بسته ICMP-ECHO و ICMP-ECHOREPLY امکان‌پذیر است. به علت آن که دیوایس‌های شبکه نمی‎توانند محتوای ترافیک ICMP-ECHO را فیلتر کنند این مسیر یکی از راه‎های مورد علاقه و فعالیت نفوذگران و مهاجمان است.مهاجمان براحتی می‎توانند ترافیک را عبور دهند، آن‌ها را از بین ببرند و یا برگشت دهند. بسته های تروجان خودشان را بصورت ترافیک مرسوم ICMP-ECHOتغیر شکل می‎دهند و در نتیجه می‎توانند هر اطلاعاتی را که مورد نیازشان است از طریق Tunnel مخفی نگه دارند.

کانال‌های مخفی (Covert) روشی هستند که مهاجم می‎تواند با استفاده از آن‎ها اطلاعات را در قالب پروتکلی که قابل شناسایی نیست، پنهان کند. آن‎ها با تکیه بر این روش‌ها که به Tunneling معروف است، به یک پروتکل این اجازه را می‏دهند تا توسط پروتکل دیگری حمل شود. یک کانال مخفی (Covert) مانند رگی است که از طریق آن اطلاعات می‎توانند عبور کنند و این روش عموما برای انتقال اطلاعات بصورت عمومی و مرسوم بکار نمی‎رود. بنابراین کانال‎های مخفی نمی‎توانند توسط روش‌ها استاندارد امنیتی سیستم شناسایی شوند. هر فرآیند یا بخشی از دیتا می‎تواند یک کانال مخفی باشد. همین خصوصیات این روش را یکی از راه‎های انتقال اطلاعات برای هکر‌ها کرده است.

وب سایت توسینسو

شماره 14 : Remote Access Trojans چیست ؟

این نوع از تروجان‏ها کنترل کامل سیستم قربانی برای مهاجم ایجاد می‎کنند و به آن‏ها این امکان را می‏دهند تا بتوانند بصورت ریموت به فایل‎ها ، اطلاعات خصوصی، اطلاعات مالی و نظایر آن دسترسی پیدا کنند. این نوع تروجان‏ مثل یک سرور عمل می‏کند و روی پورتی شروع به شنود می‏کند که به نظر نمی‎رسد مورد استفاده هکرهای اینترنتی واقع شود. بنابراین اگر سیستم هدف پشت فایوال باشد، شانس کمی برای هکر وجود خواهد داشت که از راه دور بتواند با تروجان خود که بر روی سیستم هدف واقع شده است ارتباط برقرار کند و عمل شنود را انجام دهد. اما اگر نفوذگر در همان شبکه و از پشت فایروال بتواند به سیستم هدف دسترسی داشته باشد، می‏تواند براحتی با تروجان خود ارتباط برقرار نماید. این تروجان دقیقا برای پایه دسترسی ریموت کار می‏کند. مهاجم کنترل کامل گرافیکی سیستم هدف را بدست می‏گیرد. این فرآیند شامل مراحل زیر است:

  1. سیستم قربانی با server.exe آلوده می‎شود و بستر ارتباط معکوس برای تروجان را فراهم می‎کند.
  2. سپس تروجان با پورت 80 سیستم مهاجم در ارتباط معکوس برقرار می‏کند.
  3. مهاجم کنترل کامل سیستم هدف را بدست خواهد گرفت.

برای نمونه می‏توان به تروجان‏های Back Orifice و Netbus اشاره کرد

وب سایت توسینسو

شماره 15 : E-banking Trojans چه هستند ؟

این تروجان‏ها در نوع خود بسیار خطرناک هستند و پایه مهمترین حملات به تراکنش‏های بانکی که بصورت آنلاین صورت می‏گیرند را تشکیل می‏دهند.این تروجان طبق روش های مرسوم با کلیک کاربر بر روی تبلیغات و یا پیوست ایمیل و روش های مشابه، برروی سیستم هدف نصب شده و هنگامی که قربانی به سایت بانک خود وصل می‎شود و یا تراکنش آنلاینی را انجام می‏دهد، اقدام به سرقت اطلاعات می‏کند.این تروجان طوری طراحی شده است تا بتواند حداقل و حداکثر سرقت اطلاعات را بسته به خواست مهاجم انجام دهد. یکی دیگر از راه‏های سوء استفاده این تروجان طراحی صفحه ای شبیه صفحه بانکی هدف است و تا زمانی که کاربر دقت کافی نداشته باشد و پارامترهای اصلی صفحه بانک را با صفحه اصلی مقایسه نکند، متوجه نخواهد شد که در واقع بر روی صفحه ای جعلی اقدام به وارد کردن اطلاعات خود کرده است.

وب سایت توسینسو

مهاجم در ابتدا پیامی تبلیغاتی را آلوده کرده و آن را در وب‌سایتی قانونی منتشر می‎کند. هنگامی که قربانیان به وب‌سایت آلوده وارد می‎شوند، بطور خودکار به وب‌سایتی که بسته نفوذ ( Exploit kit) را روی سیستم قربانیان لود می‎کند، هدایت می‎شوند. بنابراین بسته نفوذ به مهاجم این امکان را می‎دهد که آنچه را که بر روی سیستم قربانیان لود ده است، کنترل کنترل کند و از آن برای برای نصب تروجان استفاده نماید. این بدافزار بسیار مبهم است و فقط توسط تعداد کمی از آنتی ویروس ها قابل شناسایی است. سیستم قربانی اکنون یک بات‎نت است و تروجان براحتی می‎تواند دستورالعمل ها را از//به سرور کنترل و دستور دریافت// ارسال کند و تمام این اتفاقات بدون اطلاع کاربر در حال رخ دادن است.

هنگامی که قربانی توسط سیستم الوده‎اش به اکانت بانکی خود وارد شد، تمام اطلاعات حساس که در وارد شدن به اکانت بانکی قربانی مورد نیاز است، به سرور کنترل و دستور ارسال می‎شود. هنگامی که کاربر از طریق سایت بانکی قصد انجام تراکنش مالی را داشته باشد، تمام اطلاعاتی را که کاربر در فرم مورد نظر پر می‎کند قبل از آن‎که به وب‌سایت بانک برود، به سرور کنترل و فرمان فرستاده می‎شود. این سرور اطلاعات را آنالیز می‎کندو در فرصت مناسب مهاجم برای برداشت مبلغ دلخواه، از آن‏ها استفاده خواهد کرد.همچنین تروجان از سرور کنترل و دستور، دستورالعملی را دریافت می‎کند که بر مبنای آن باید آخرین فرم مالی را که توسط سرور کنترل و دستور بروز شده است را به بانک ارسال کند تا بواسطه آن بتواند بحساب جعلی خودش مبلغ مورد نظر را برداشت کند. همچنین در ادامه تروجان باید پیغام موفقیت آمیز بودن یا موفق نبودن تراکنش را به سرور کنترل و دستور ارسال کند.

شماره 16 : Banking Trojan Analysis

یک تروجان بانکی، برنامه‎ای مخرب است که اطلاعات شخصی درباره کاربران و کلاینت‎هایی که از سیستم پرداخت الکترونیک و بانکداری آنلاین استفاده ‎می‎کنند، بست می‌آورد. تحلیل تروجان بانکی شامل سه نوع زیر می‎شود:

  • TanGabbler: یک Transaction Authentication Number(TAN) برای تائید اعتبار تراکنش بانکی آنلاین مورد استفاده قرار می‎گیرد که با استفاده از یک پسورد یکبار مصرف انجام می‎‌شود. تروجان بانکی مستقیما به سرویس آنلاین بانکی قربانی حمله می‏کند که بر مبنای TAN است. هنگامی که TAN وارد شد، تروجان بلافاصله عدد وارد شده را سرقت می‎کند و آن را با عدد رندوم دیگری که صحیح نیست تغیر می‌دهد و بجای کاربر به بانک ارسال می‎کند. یک مهاجم می‏تواند با در دست داشتن جزئیات ورود به سایت بانک سیستم هدف از TAN سرقت شده، سوء استفاده کافی را ببرد.
  • HTML injection: این نوع از تروجان بخش‎های مختلف سایت‏های بانکی را کپی و تکثیر می‎کند و از آن‌ها برای جمع آوری جزئیات اکانت قربانیان، شماره کارت اعتباری، سال تولد و غیره استفاده می‏کند. مهاجمان همچنین از این اطلاعات برای جعل هویت و بخطر انداختن اکانت قربانی استفاده می‎کنند.
  • Form Grabber: این نوع روش پیشرفته‎ای برای جمع آوری اطلاعات از مرورگرهای مختلف اینترنتی است. این روش موثرترین راه برای جمع آوری ID ها، پسورد و دیگر اطلاعت حساس قربانی است.

شماره 17 : Destructive Trojans یا ترجان های تخریب کننده

این تروجان که به M4sT3r معروف است، انحصارا برای تخریب یا پاک کردن فایل‏ها از سیستم قربانی طراحی شده است. فایل‎ها بطور خودکار توسط تروجان پاک می‌شوند، که این پروسه می‎تواند مستقیما توسط مهاجم کنترل شود و یا طبق یک برنامه از پیش تعین شده مثل یک بمب هوشمند برای انجام وظبفه خاصی در تاریخ و ساعت داده شده، عمل کند.این تروجان هنگامی که اجرا می‎شود، سیستم عامل را تخریب می‎کند. قربانی نمی‎تواند سیستم عامل را بوت کند. همچنین این تروجان تمام درایوهای لوکال و تحت شبکه سیستم را فرمت می‌کند.

شماره 18 : Notification Trojans

این نوع از تروجان‏ها آدرس آی‌پی سیستم قربانی را برای مهاجم ارسال می‎کنند. هر زمان که سیستم هدف شروع بکار کند، Notification Trojan مهاجم را آگاه می‏کند. برخی از Notificationها شامل:

  • SIN Notification: مستقیما سرور مهاجم را مطلع می‎سازند.
  • ICQ Notification: مهاجم را با استفاده از کانال‏های ICQ مطلع می‎سازد.
  • PHP Notification: اطلاعات را با اتصال به سرور PHP که روی سرور مهاجم است، ارسال می‏کند.
  • Email Notification: هشدار را از طریق ایمیل ارسال می‏کند.
  • Net Send Notification: هشدار از طریق دستور Net Send ارسال می‌شود.
  • CGI Notification: اطلاعات با استفاده از اتصال به PHP سرور که بر روی سرور مهاجم است، ارسال می‎شود.
  • IRC Notification: مهاجم را با استفاده از کانال‏های IRC ( Internet Rely Chat) مطلع می‎سازد.

شماره 19 : (Data Hiding Trojans ( Encrypted Trojans

این تروجان‏ها اطلاعات موجود در سیستم قربانی را رمزگذاری کرده و استفاده از تمام اطلاعات را غیرقابل استفاده جلوه می‎دهند: "سیستم شما هنگامی که در سایت‎های پورن وبگردی می‏کردید، قربانی نرم‌افزار ما شده است، تمام فولدرهای شما، فایل‎های متنی و دیتابیس با پسورد پیچیده‎ای رمزگذاری شده‎اند." در این حالت مهاجمان به ازای پس دادن اطلاعات یا باج‏خواهی میکنند و یا کاربر را مجبور می‎کند که جنسی را از فروشگاه‏های آنلاینشان خرید نمایند تا پسورد باز کردن قفل اطلاعات به آن‏ها داده شود.

شماره 20 : OS X Trojan: Crisis

OSX.Crisis یک اسب تروا است که بالقوه اطلاعات حساس را ار روی سیستم قربانی سرقت می‏کند و یک Backdoor را برای نفوذهای آتی، روی سیستم بخطر افتاده (سیستم قربانی) باز می‏کند.هنگامی که تروجان اجرا شود، پوشه‎ها و فایل‏های زیر را ایجاد می‏کند:

وب سایت توسینسو

موارد زیر نمونه کارهایی است که OSX,Crisis انجام می‏دهد:

  • مانیتور ترافیک صوتی اسکایپ
  • مانیتور سافاری یا فایرفاکس برای تصویر برداری از وب‎سایت‏های مورد استفاده
  • ضبط مکالمات در مسنجر MS و Adium
  • ارسال فایل‎ها به سرور کنترل و دستور

احسان امجدی
احسان امجدی

کارشناس امنیت اطلاعات و ارتباطات

احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...

نظرات