محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

معرفی 8 روش آلوده شدن به ویروس و تروجان به زبان ساده

قبلا در خصوص روش های آلوده شدن سیستم های قربانی به تروجان ها بصورت خلاصه وار در توسینسو صحبت کرده ایم . امروز می خواهیم بصورت بسیار مفصل و دقیق در خصوص روش های آلوده کرده و بهتر بگوییم وارد شدن تروجان به سیستم قربانی صحبت کنیم . یک تروجان برای آلوده کردن سیستم هدف از نقاط مختلف دسترسی یا در اصطلاح Access Point های مختلفی استفاده می کند .با استفاده از این Access Point ها تروجان ها وارد سیستم هدف می شوند و دسترسی کامل سیستمی را به هکر می دهند که موارد زیر از جمله این Access Point ها هستند :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
تصویر Application های پیام رسان یا Instant Messenger ها

1- اپلیکیشن های پیامرسانی یا Instant Messaging Applications

این روزها اپلیکیشن های پیام رسانی و چت ، جزو جدانشدنی زندگی ما انسان ها شده اند ، از زمانیکه مرحوم مغفور ( فمن یقرا فاتحه ... ) یاهو مسنجر و چت های ICQ وجود داشت این ابزارها یکی از محبوب ترین ابزارهای انتشار و آلوده سازی تروجان ها محسوب می شدند تا این روزها که تقریبا روی گوشی هر شخصی یا تلگرام ، واتساپ ، فیسبوک مسنجر و ... نصب شده اند

و فضا برای رشد و نمو این نوع آلودگی ها بیشتر شده است. کاربران زمانیکه از این نوع ابزارهای مسنجر استفاده می کنند فایل هایی را با هم رد و بدل می کنند که دریافت و اجرا کردن این فایل ها فارغ از اینکه برای چه کسی هستند و یا از طرف چه کسی برایشان ارسال شده است دارای ریسک بالایی است .

با توجه به اینکه این ابزارها به خودی خود مکانیزم امنیتی برای بررسی سلامت فایل های رد و بدل شده در سیستم ندارند و صرفا هدفشان ارسال و دریافت فایل ها به ساده ترین شکل ممکن است ! تروجان ها براحتی و بدون ترس از نرم افزارهای امنیتی می توانند در این ابزارهای پیام رسان براحتی جابجا شوند. کاربران در شبکه های ارتباطی Real-time ای به این شکل هیچوقت نمی توانند مطمئن باشند که نفر مقابل آنها آیا خودش این فایل را ارسال کرده است

یا اینکه Username و ID و Password طرف مقابل هک شده است و توسط یک بدافزار این فایل ها برایش ارسال شده اند و به همین دلیل است که براحتی بعد از آلوده شدن یکی از دوستان شما ممکن است از طرف اون برای شما پیام های دانلود و نصب بدافزار ارسال شود و شما گمان کنید که دوستتان فایل باحالی را برای نصب فرستاده است !

 تصویر برنامه های Relay Chat ها

2-استفاده از IRC ها یا Internet Relay Chat

مکانیزم کاری این نوع ارتباطات از نوع Peer To Peer یا Client To Client است . یعنی مستقیما در شبکه با انواع و اقسام کاربرانی که می شناسید و نمی شناسید آشنا می شوید . این نوع سیستم های چت بعضا منسوخ شده به نظر می رسند اما همچنان هم یکی از ابزارهای مهم انتشار بدافزار به حساب می آیند.

یکی از نقاط ضعف های معروفی که این نوع ابزارها داشتند و دارند عدم نمایش پسوند درست فایل است ! یعنی مهاجم کاری که انجام می داد به این شکل بود که مثلا فایل Trojan.exe را تغییر نام می داد و تبدیل به Trojan.txt …………… ext می کرد که این نقطه هایی که قرار دادیم مثلا 150 عدد نقطه بود !

برنامه به شما یک فایل را نشان می دهد که پسوند txt دارد یا پسوند jpeg دارد اما به دلیل ضعف در نمایش پسوند فایل بصورت گرافیکی یا متنی در نظر گرفته می شود و توسط کاربر اجرا می شود و ادامه ماجرا !!! بسیاری از افراد اصلا علاقه ای به دانستن مفهوم پسوند فایل ندارند و هر چیزی که برایشان ارسال شود را اجرا می کنند !

جالب است بدانید که یکی از روش های معمول آلوده سازی در این نوع ابزارهای چت نامگذاری فایل بصورت سکسی یا شایعه پراکنی بود و البته هست ! برای مثال نام فایل را بصورت Sex.jpg………exe قرار می دهند که کاربر علاقه به کلیک کردن بر روی آن داشته باشد اما غافل از اینکه پس زمینه آلودگی در انتظارش است . به عنوان یک کاربر فراموش نکنید که عناوینی مثل تصاویر سکسی رایگان ! فیلم های سکسی رایگان ! ابزارهای رایگان کاربردی ! و از این دسته تبلیغات در چنین محیط هایی به احتمال غریب به یقین دارای آلودگی بدافزاری از نوع تروجان هستند .

تصویر دسترسی فیزیکی به سیستم هدف برای آلوده سازی به تروجان

3-دسترسی فیزیکی به سیستم قربانی و آلوده کردن با تروجان

همیشه و همیشه این قانون را به خاطر داشته باشید که وقتی که من می توانم کامپیوتر شما را لمس کنم !! کامپیوتر شما هک شده است ! وقتی به کسی اجازه این را می دهید که بتواند بصورت فیزیکی به کامپیوتر شما دسترسی داشته باشد قطعا آن شخص هر چقدر هم که مورد اعتماد باشد ممکن است به کامپیوتر شما صدمه بزند .

بنابراین دسترسی فیزیکی به کامپیوتر خودتان را تا جای ممکن محدود کنید . خیلی از موارد پیش آمده است که دوستان افراد قربانی بدون اجازه شخص مورد نظر ، پشت کامپیوتر او نشسته اند و براحتی تروجان مورد نظر خودشان را نصب کرده اند و بعدها از دوستشان سوء استفاده کرده اند.

یا در موارد مشابه دیگر از CD ها و DVD ها و حتی Flash مموری های آلوده و ایجاد کردن فایل های Autorun تروجان مورد نظرشان را نصب کرده اند ! بعد از اجرا شدن تروجان نیز آن را در حالت Auto Start در سیستم قرار می دهند که به محض روشن شدن کامپیوتر یا کلیک کردن بر روی فایل ها یا فولدرهای خاص اجرا شوند .

دقت کنید که Autorun شدن ممکن است برای برخی از دوستان یک مکانیزم بسیار قدیمی به نظر برسد اما فراموش نکنید که هنوز هم خیلی خیلی خیلی از ویندوزهای بسیار بسیار قدیمی در شبکه های سازمانی و حتی شبکه های بانکی کشور استفاده می شود چه برسد به افراد عادی ....

4-استفاده از باگ های نرم افزارهای ایمیل و مرورگرها

همیشه و همیشه یکی از ساده ترین روش های بالا بردن درجه امنیت سیستم شما به روز رسانی مرتب سیستم عامل و نرم افزارهای کاربردی است که بر روی آن نصب شده اند . وقتی شما با مرورگر یا نرم افزاری که خیلی قدیمی است و باگ های امنیتی زیادی دارد وارد محیط اینترنت می شوید ، هدف بسیار ساده ای برای آلوده شدن توسط بدافزارها خواهید شد .

تصور کنید که با یک مرورگر Internet Explorer نسخه 6 وارد یک وب سایت آلوده شوید و براحتی این وب سایت با استفاده از آسیب پذیری هایی که در IE وجود دارد بدافزارهای خودش را بر روی سیستم شما دانلود و نصب می کند و شما حتی ممکن است در جریان این اتفاق هم قرار نگیرید !

 

تصویر باگ های مرورگرها و نرم افزارهای ایمیل

همین مشکل ممکن است برای نرم افزار های چک کردن ایمیل قدیمی مثل Outlook Express هم رخ بدهد و شما بدون اینکه بدانید ایمیل ها و پیوست هایی بر روی سیستم شما اجرا می شوند که حاوی کدهای مخرب هستند .فراموش نکنید که همیشه نرم افزارهای خودتان را به آخرین نسخه و آخرین بسته به روز رسانی امنیتی مجهز کنید و تعصب به استفاده از ابزارهای قدیمی نداشته باشید.

 

تصویر نرم افزارهای جعلی

5-استفاده از نرم افزارهای جعلی یا Fake Programs برای انتشار تروجان

مهاجمین یا همان هکرهای بی تربیت بداخلاق !!! ( خخخ ) می توانند براحتی هدف حمله را ترقیب به دانلود کردن برنامه های رایگان و البته متناسب با نیازهای خودشان کنند !!! برای مثال این روزها که بحث کارت سوخت و ترکیب کردنش با کارت ملی هوشمند و ... مطرح شده است ، عده ای نرم افزارهایی را که درونشان کدهای مخرب هستند را بین کانال های تلگرام و ایمیل ها و ... تبلیغ می کنند

که مثلا شما می توانید با این نرم افزار این استعلام ها را بگیرید ! یا برای شما سرویس صورتحساب و مالی خانگی رایگان درست می کنند و انواع و اقسام نرم افزارهایی که ممکن است یک کاربر در طول یک روز بخواهد از آنها استفاده کند را برایشان تبلیغ می کنند که درونمایه نرم افزار تروجان یا کدهای مخرب دیگر مخفی شده است .

برای من جالب بود که برخی اوقات می دیدم که افراد عادی نرم افزاری را دانلود می کنند و آن را در لیست اعتماد یا Trusted List آنتی ویروس خودشان هم قرار می دادند ! یا قبل از نصب نرم افزار آنتی ویروس خودشان را غیرفعال می کردند و وقتی از آنها در خصوص این مشکل سئوال می کردم جواب می دادند که در قسمت Readme یا راهنمای نصب این موارد گفته شده است !

خوب آدم عاقل چرا باید برای نصب یک نرم افزار ! ابزار امنیتی غیرفعال شود ! غیر از این است که هدف یا کد مخربی در نرم افزار مذکور وجود دارد یا خیر ؟ بسیاری از این نرم افزارها برای ارسال و دریافت ساده ایمیل و SMS و ... تبلیغ می شوند و به محض نصب کردن آنها یک کپی از هر ایمیل و البته SMS های که شما ارسال و بعضا دریافت می کنید برای هکر ارسال می شود.

بر اساسا نوع ابزار مخربی که در این روش نصب می شود ممکن است هکر حتی دسترسی کامل به سیستم هدف نیز پیدا کند و این بدترین حالت ممکن است . هکرها این روزها بیشتر از خلاقیت استفاده می کنند و ممکن است حتی به وسیله فایل های صوتی و یا ویدیویی یا حتی همین فایل های متنی Readme که براحتی هر کسی بر روی آنها کلیک می کنند ابزارهای مخرب خودشان را به عنوان یک ابزار اصلی به شما قالب کنند ! همیشه قانون Too Good To Be True را حتی زمانیکه می خواهید یک نرم افزار رایگان استفاده کنید در ذهن داشته باشید و AntiX خودتان را نیز مرتبا به روز کنید و البته هر چند وقت یکبار یک اسکن کامل از سیستم بگیرید.

 

تصویر برنامه های مخرب Wrap شده و پیوست ایمیل ها

6-استفاده از Shrink Wrapped ها و پیوست ایمیل ها

یکی از کارهای مرسومی که معمولا پرسنلی که از شرکت یا سازمان اخراج شده اند یا در حال اخراج هستند انجام می دهند ، آلوده کردن نرم افزارهایی است که بصورت Share شده در شبکه برای نصب قرار می گیرند و با استفاده از همان تکنیک معروف Wrapping تروجان خودشان را درونش قرار می دهند تا انتقام بگیرند.

اما از آن خطرناک تر و ملموس تر همیشه و همیشه پیوست ها هستند ! پیوست ها یا Attachment ها معمولا یا از طریق ایمیل یا از طریق وارد شدن به وب سایت های سکسی و پورن در قالب فایل های اجرایی بر روی سیستم هدف می نشینند ، برای مثال حتی برای اینکه کاربر مشکوک نشود از فایل دانلودی به عنوان ترافیک رایگان اینترنت نام می برند و به این روش تعداد نصب نرم افزار را بالا می برند ( احتمال اجرا کردن نرم افزار توسط کاربر ) .

جالب است بدانید که ارسال تروجان از طریق ایمیل هدفمند و با ترکیب کردن حملات مهندسی اجتماعی جواب بیشتری می دهد ! برای مثال شما می دانید که اهداف شما در یک شرکت نفتی کار می کنند و لیست ایمیلی از افراد ( پرسنل ) آن سازمان دارید ، ایمیلی با مضمون نرم افزار تخصصی محاسبه اضافه حقوق و دستمزد شرکت نفت جمهوری اسلامی ایران را در فایل پیوست می توانید نصب کنید !

صرفا تا همین امشب فرصت نصب دارید در غیر اینصورت برای دریافت نرم افزار باید 30 هزار تومان پرداخت کنید و کاربران هم از ترس پرداخت 30 هزار تومن پیوست ایمیل را باز می کنند و آلوده می شوند. به این موضوع هم توجه کنید که فایل هایی که با عنوان به روز رسانی فلان نرم افزار یا سیستم عامل ارائه می شوند را براحتی نصب نکنید ! مگر اینکه مطمئن باشید فایل از مرجع اصلی تولید کننده نرم افزار ارائه شده باشد.

7-آلوده شده از طریق وب سایت های ناامن و Freeware ها

اما موارد دیگری نیز برای آلودگی وجود دارد ! وب سایت های Darkweb و DeepWeb که فضاهای زیادی را بعضا برای انتشار نرم افزارهای به ظاهر سالم و از درون آلوده اختصاصی می دهند . وب سایت هایی که به نظر حتی ظاهری قابل قبول و موجه و حرفه ای دارند اما در باطن بسیار مخرب و آلوده هستند ، هیچ فرقی نمی کند که یک حرفه ای باشید یا یک فرد عادی ! وقتی از چنین وب سایت هایی بازدید می کنید در خطر آلودگی قرار دارید .

 

تصویر استفاده از Freeware  ها و وب سایت های غیرقابل اعتماد

بسیاری از مرورگرهای امروزی زمانیکه وارد یک وب سایت می شوید آنقدر آلودگی گزارش شده دارند که به شما هشدار می دهند که ممکن است این وب سایت به شما آسیب بزند و باید به این هشدارها توجه کنیم . حتما برای تهیه نرم افزارها از وب سایت های موجه و معتبر استفاده کنیم و از طرفی به هیچ عنوان از منابع غیر معتبر نرم افزار دانلود نکنیم !

فراموش نکنید که همیشه واژه Free به معنی رایگان بودن نیست ! Freeware ها یا نرم افزارهای رایگان را فقط از طریق وب سایت های رسمی معتبر دنیا و یا وب سایت تولید کننده دانلود کنید ، حتما بعد از دانلود Hash فایل را با Hash فایل اصلی تطبیق بدهید تا متوجه شوید که فایل آلوده است یا خیر ....

 

 تصویر آلودگی از طریق Sharing

8-آلوده شده از طریق NetBIOS Sharing

یکی از روش های آلودگی شبکه ای تروجان ! استفاده کردن از آسیب پذیری ها و ضعف های امنیتی پروتکل NetBIOS است که برای به اشتراک گذاری فایل و پرینتر در سرویس های مایکروسافت استفاده می شوند . در واقع هر زمان که شما سیستمی را اسکن کردید و پورت 139 بر روی آن سیستم باز بود به احتمال زیاد این سرویس برای به اشتراک گذاری فایل و پرینتر فعال شده است .

این پورت و سرویس قدیمی آن می تواند باعث انتشار تروجان و نصب شدن آن از طریق شبکه باشد.تا جای ممکن از نسخه های جدیدتر پروتکل SMB و NetBIOS استفاده کنید و از استفاده از سیستم عامل های قدیمی به عنوان فایل سرور و پرینت سرور خودداری کنید . جالب است

بدانید که آنقدر آسیب پذیری بر روی SMB وجود دارد که بسیاری از باج افزارها یا همان Ransomware ها نیز از این پروتکل استفاده می کنند . یک نکته امنیتی برای حسن ختام این سری آموزشی اینکه ! اگر روی سروری فایل به اشتراک نمی گذارید و پرینتر هم تحت شبکه ندارید به کلی پروتکل SMB را از روی سیستم عامل Uninstall کنید و البته در سرویس ها سرویس NetBIOS Sharing را غیر فعال کنید.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات