در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

معرفی تروجان بانکی Zeus

معرفی تروجان بانکی Zeus

همه چیز در مورد تروجان بانکی زئوس


تروجان (Trojan) ها در واقع بدافزارهایی هستند که امکان تکثیر نداشته و بوسیله ویروس ها یا کرم های اینترنتی بر روی سیتم قربانی قرار می گیرند و در ظاهر خود را خوب جلوه می دهند ولی در پشت پرده اهداف مخربانه خود را دنبال می کند.(واژه شناسی انواع بدافزارها قسمت اول ) این بدافزارها برای ناشناس ماندن از دید آنتی ویروس ها اقدام به رمزگذاری خود با استفاده کدهای مربوطه می کنند. به تعدادی از مهمترین روشهای مختلفی که تروجان‌ها از آن طریق وارد سیستم قربانی می شوند و باعث آلوده شدن کامپیوتر می شوند در زیر اشاره می شود.

  • انتقال بدافزار از طریق فلش ، هارد های اکسترنال و رسانه های ذخیره ساز مشابه
  • ورود به سایت های نامعتبر و کلیک بر روی لینک های ناشناس
  • بازکردن پیوست های ایمیل های ناشناس و نامعتبر
  • از طریق دانلود و نصب برنامه ها و نرم افزارهای رایگان سایت های نامعتبر

معرفی تروجان بانکی Zeus

در ادامه به تشریح فعالیت تروجان زئوس می پردازیم. زئوس در سال 2007 شناسایی شد و در حالی که توانایی انجام انواع فعالیت های خرابکارنرو در حوزه سرقت و دستکاری اطلاعات داره ، اما اغلب برای سرقت اطلاعات بانکی مورد استفاده قرار می گیرد. این تروجان قابلیت اجرا بر روی کلیه نسخه های ویندوز را داشته و با استفاده از تکنیک چند ریختی، مانع از شناسایی شدنش توسط آنتی ویروس ها می شود. زئوس با پیاده سازی لایه‌های رمزنگاری چندگانه، عمل رمزنگاری را جهت شناسایی خودش توسط ویروس یابهای پیشزفته انجام می دهد. نحوه کار این تروجان بطور کلی، به این صورت بوده که حافظه ای را برای خود با استفاده از VirtualAlloc در Heap ایجاد می کند و سپس لایه رمزگشایی‌شده جاری را به Heap کپی می‌کند و آنرا اجرا می‌کند. هر لایه یک روشی از مبهم سازی را با استفاده از الگوریتم های رمزگذاری XOR و ROR پیاده سازی می کند.

معرفی تروجان بانکی Zeus

زئوس فایلهای مخفی زیر را در سیستم قربانی ایجاد می کند.

\windows\system32\lowsec\user.ds-stored keystrokes and imagedata\
\windows\system32\lowsec\local.ds-retrieved configuration data
\windows\system32\lowsec\user.ds.lll
\windows\system32\lowsec\sdra64.exe-encrypted bot executable

این فایلها بر روی دیسک به دلیل هوک API مربوط به NtQueryDirectoryFileمخفی هستند. تابع NtQueryDirectoryFile اصلی فراخوانی می شود و نتایج برای مخفی کردن فایلهای ضروری فیلتر میشوند. فایلهای ذخیره سازی و پیکربندی نه تنها مخفی هستند ، بلکه توسط الگوریتم RC4 که کلید آن، یک کلید 754 بایتی رمزگذاری می شود. . بنابراین ایجاد یک رمزگشای عمومی برای فایلهای ذخیره ساز ی غیرممکن است . کلید RC4 درون اجرایی رمز شده ذخیره می شود و بایستی از کپی غیرفشرده فایل استخراج شود. کد زیر شامل بخشی از تابع معکوس است که لاگ و داده پیکربندی را رمزگذاری / رمزگشایی میکند .

int rc4(BYTE* buffer, DWORD length)
{
BYTE rc4key[258]=
{
0x67, 0xE9, 0x30, 0x10, 0x3D, 0xC3, 0x63, 0xE2, 0x9C, 0x6F,0xCD, 0xCC, 0x4F, 0xD0, 0xCB, 0x04,0xD9, 0xB7, 0xA0, 0x2A, 0xA3, 0x13, 0xB4, 0x6A, 0x8D, 0xD8, 0x25,0x2E, 0x22, 0xB8, 0x3A, 0xB0,0x27, 0x35, 0xFC, 0x26, 0x2B, 0x08, 0x8B, 0x8A, 0xAA, 0x69,0x78, 0x8C, 0x84, 0x47, 0x56, 0xCF,0x5D, 0xF6, 0x62, 0xAD, 0x8E, 0xD3, 0x7A, 0x58, 0x03, 0x70,0x4A, 0x45, 0x4D, 0x88, 0x7D, 0x93,0x28, 0x4E, 0x07, 0x51, 0x41, 0xD2, 0x54, 0x20, 0x3E, 0xA6,0x1C, 0xA9, 0x49, 0x6C, 0x23, 0xB2,
0x86, 0x52, 0x32, 0xAE, 0xB3, 0x97, 0xBE, 0xBA, 0xDC, 0xC5 و ...... 

همچنین از ویژگیهای مهم این تروجان، حذف ردپای به جا گذاشته از خود در طی فرایند جاسازی خود در سیستم و انجام عملیات مخفی سازی و رمز گذاری بده. کد زیر یک بخشی از این فرایند بوده.

// Commands accepted over named pipe (pipecommand):
// 0x01-returns the bot version
// 0x02 -returns the name of the bot
// 0x03 -issues command to bot to remove all traces of itself from the system, a reboot is required
// for complete disinfection (handy!)
.....

زئوس تغییرات زیر را نیز در رجیستری ایجاد می کند که به بخشی از آن اشاره می شود.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Added: "Userinit" ="C:
\WINDOWS\system32\userinit.exe,C:
\WINDOWS\system32\sdra64.exe"
The following executes without Administrator rights:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Added: "Userinit" = "C:
\Documents andSettings\user\Application Data\sdra64.exe"

یکی دیگر از ویژگی های تروجان زئوس، سرقت اعتبارات است، ازجمله کلیدهای خصوصی با هوک کردن تابع PFXImportCertStore است. این تابع یک PFX BLOBرا وارد میکند و هندلی از ذخیره سازی است که شامل اعتبارات است و به هر کلید خصوصی مرتبط برمیگرداند و به محض اینکه تابع فوق با احراز هویت درست فراخوانی می شود، تابع را با هندلی به ذخیره سازی اعتبار و کلیدهای خصوصی در دسترس برمی گرداند که سپس زئوس در فایل user.dsذخیره می کند.نمونه تزریق

set_url https://www.xxx.com/evaluate GP
data_before
class='full_name' maxlength='40' /></div>
data_end
data_inject
<div class='text'><label>SSN:<span
class='req'>*<
/span></label><input type="text" name='ssn'
class='email' maxlength='11' /></div>
data_end
data_after
<div class='text' id='email_wrapper'>
data_end

همچنین این تروجان با سرقت نشست های بانکی، اقدام به تزریق داده های مورد نظر به صفحات HTML شده . این داده ها درون فایل webinjects.txtقرار دارند که بعداً درون فایل پیکربندی زئوس تعبیه شده است. و هنگامی که صفحه Company evaluation ملاقات میشود ، داده های اضافی به HTML تزریق میشود . تزریق HTMLتوسط هوک کردن توابع wininet زیر انجام میشود.

wininet.dll!HttpSendRequestW
wininet.dll!HttpSendRequestA
wininet.dll!HttpSendRequestExW
wininet.dll!HttpSendRequestExA
wininet.dll!InternetReadFile
wininet.dll!InternetReadFileExW
wininet.dll!InternetReadFileExA
wininet.dll!InternetQueryDataAvailable
wininet.dll!InternetCloseHandle
wininet.dll!HttpQueryInfoA
wininet.dll!HttpQueryInfoW

نمونه زئوس موجود در حال حاضر بر روی مرورگر INTERNET EXPLORER اعمال می شود که در نسخه بتای آن بر روی مرورگر فایرفاکس هم عملیاتی بوده.

روش‌های مقابله با اینگونه بدافزارها


روشهای پیشگیری بهترین روش، برای مقابله با ینگونه بدافزارها بوده.که در زیر به تعدادی از آنها اشاره می شود :

  • تهیه نسخه پشتیبان بصورت منظم و مدون در بازه های زمانی از اطلاعات کاری و حساس
  • نصب آنتی ویروس و حتما به روز رسانی آن در بازه های زمانی کوتاه
  • نصب آنتی اسپای در کنار آنتی ویروس و البته به روز رسانی
  • راه اندازی فایروال و پیکربندی مناسب
  • رفتار صحیح در محیط اینترنت و عدم مراجعه به سایت های نامطمئن
  • عدم کلیک بر روی لینک های نامعتبر
  • عدم باز کردن پیوست های ایمیل های ناشناس
  • نصب مرورگر مناسب و البته به روز رسانی مناسب
  • نصب نرم افزارهای مطمئن و از سایت های معتبر و در ضمن به روز رسانی آنها
  • عدم نصب رسانه های ذخیره ساز قابل حمل و نامطمئن

منبع : مرکز ماهر

نویسنده : علیرضا(ARAF)

منبع: ITPRO

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#تروجان_چگونه_سیستم_را_آلوده_میکند #سرقت_اطلاعات_بانکی #ویژگی_مهم_تروجان_زئوس #روشهای_انتقال_تروجان_زئوس #تروجان_بانکی_zeus #تروجان_بانکی_زئوس #زئوس_و_آلوده_سازی_سیستم #روش_رمزگذاری_تروجان_زئوس
عنوان
1 باج افزار چیست و چه تهدیدات و راهکارهای پیشگیری دارد ؟ رایگان
2 باج افزار FenixLocker چیست ؟ رایگان
3 باج افزار HDDCryptor Ransomware چیست ؟ رایگان
4 باج افزار Locky چیست؟ رایگان
5 باج افزار ایرانی CLICK ME چیست ؟ رایگان
6 باج افزار Cyber SpLiTTer Vbs چیست ؟ رایگان
7 باج افزار UnblockUPC چیست؟ رایگان
8 باج افزار MarsJoke چیست ؟ رایگان
9 باج افزار Nagini چیست ؟ رایگان
10 10 واقعیت تکان دهنده در مورد باج افزارها رایگان
11 راهکارهای مقابله با باج افزار (Ransomeware) چه هستند؟ رایگان
12 باج افزار DXXD چیست؟ رایگان
13 باج افزار Princess Locker چیست ؟ رایگان
14 تشخیص ایمیل های حاوی باج افزار چگونه است ؟ نمونه ای از ایمیل ها رایگان
15 باج افزار AL-Namrood چیست؟ رایگان
16 باج افزار TeamXrat چیست؟ رایگان
17 باج افزار Nuke چیست؟ رایگان
18 باج افزار Globe چیست؟ رایگان
19 سازنده باج افزار Wildfire Locker دستگیر شد رایگان
20 باج افزار حق انتخاب : دیگران را آلوده می کنی یا باج می دهی ؟ رایگان
21 آماری از ناامنی های سایبری در سالی که گذشت (2016) رایگان
22 معرفی تروجان بانکی Zeus رایگان
23 باج افزار نویسانی که با قربانیان خود مودبانه تعامل می کنند! رایگان
24 معرفی باج افزارای که خود را اجاره می دهد! رایگان
25 معرفی جاسوس افزاری که باج افزار شد!(Killdisk) رایگان
26 هجوم Ransomware ها از طریق پروتکل RDP رایگان
27 افشای کلید رمز باج افزار Spora و تهیه ابزاری توسط ESET رایگان
28 مراحلی که باج افزار برای آلوده کردن سیستم قربانی دنبال می کند رایگان
29 شیوع باج افزارها بعنوان یک خدمت یا سرویس به متقاضیان!!! رایگان
30 توزیع گسترده باج افزار wannacrypt رایگان
31 چند نوع باج افزار بصورت کلی وجود دارد؟ رایگان
32 باج افزاری که باج خود را از کارت اعتباری طلب می کند نه بیت کوین رایگان
33 باج افزارها با رفتارهای عجیب و غریب(شماره یک) !!! رایگان
34 باج افزارها با رفتارهای عجیب و غریب(شماره دو) !!! رایگان
35 باج افزار Scarabey رایگان
36 باج افزاری از نوع ماینر رایگان
37 نکاتی پیرامون باج‌افزار Annabelle رایگان
38 خلاصی از شر باج‌افزار GandCrab با ابزار Bitdefender رایگان
39 باج‌افزار GandCrab و سوء استفاده از آسیب پذیری IE و فلش رایگان
40 باج افزاری که به کمک آورگان سوری می آید!!! رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....