بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

مراحل 12 گانه شناسایی Trojan و Backdoor در تست نفوذسنجی

اگر قصد دارید بصورت تخصصی در زمینه تست نفوذسنجی برای شناسایی تروجان ها و Backdoor های شبکه فعالیت کنید ، باید مراحل آن را به نیز به دقت بشناسید . در واقع ضمن اینکه شما باید با مفاهیم بدافزار و ... آشنا باشید ، باید به خوبی انواع تروجان ها و Backdoor ها را بشناسید و بتوانید روش عملکرد آنها را تحلیل کنید . امروز در توسینسو مراحل تست نفوذسنجی تخصصی Trojan و Backdoor را معرفی می کنم و امیدوارم این مطلب مورد توجه شما قرار بگیرد پس با ما باشید .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

برای مشاهده تخفیف های ویژه امروز کلیک کنید

سرفصل های این مطلب

1- پورت های باز را اسکن کنید
2- Process های فعال را اسکن کنید
3- کلیدهای رجیستری را اسکن کنید
4- درایورهای نصب شده در سیستم را اسکن کنید
5- سرویس های ویندوز را اسکن کنید
6- برنامه های Startup ویندوز را اسکن کنید
7- فایل ها و فولدرها را اسکن کنید
8- فعالیت های شبکه را اسکن کنید
9- تغییرات روی فایل های سیستم عامل را اسکن و مانیتور کنید
10- از ابزارهای اسکنر تروجان استفاده کنید
11- تمامی یافته های خود را مستند سازی کنید
12- سیستم عامل مورد نظر را از شبکه ایزوله کنید

1- پورت های باز را اسکن کنید

بدون شک شما دیگر می دانید که یکی از نکات اولیه در تست نفوذ سنجی در شبکه شناسایی پورت های باز و بی استفاده در شبکه است . ضمن اینکه شما برای تست پورت های باز اقدام می کنید بایستی توجه کنید که پورت های بدون استفاده در شبکه و سیستم عامل های شما بایستی توسط فایروال مسدود شوند . از طرفی همانطور که در مقالات متنوع در جزیره امنیت توسینسو توضیح دادیم ، تروجان ها و Backdoor ها می توانند از پورت های خاصی با شماره های مشخص برای نفوذ به شبکه شما استفاده کنند یا اینکه در شبکه شما فعال هستند و در حال سوء استفاده هستند . با دانستن شماره پورت های معمول تروجان ها و Backdoor ها می توانید وجود یا بعضا عدم وجود این نوع بدافزارها در شبکه و سیستم عامل را بررسی کنید.

2- Process های فعال را اسکن کنید

اکثر تروجان ها و Backdoor ها برای فعال شدن در سیستم شما نیازی به دستور کاربر ندارند . خودشان در پس زمینه مشغول به کار می شوند و شما می توانید با اسکن کردن پردازش های فعال در سیستم و پی بردن به اسامی فعالیت ها و البته شناسایی پردازش های مشکوک در سیستم ، به وجود یک تروجان یا Backdoor پی ببرید. به همین دلیل توصیه می شود که کلیه Process های فعال در سیستم مشکوک به آلودگی بدافزاری توسط ابزارهایی مثل What’s Running آنالیز و گزارشی از آنها ارائه شود .

3- کلیدهای رجیستری را اسکن کنید

خیلی به ندرت پیش می آید که تروجان یا بدافزاری بدون ایجاد کردن تغییرات در کلیدهای رجیستری کارهای خودش بر روی سیستم را انجام دهد. به همین دلیل شما با اسکن کردن فعالیت ها و تغییرات مشکوک و نامشخص در رجیستری ویندوز می توانید بدافزارهای این قسمت را شناسایی کنید . ابزارهای زیادی هستند که امکان اسکن کردن کلیدهای رجیستری را به شما می دهند . برای مثال شما می توانید از Registry Mechanic و JV Power Tools به این منظور استفاده کنید.

4- درایورهای نصب شده در سیستم را اسکن کنید

سیستم عامل های امروزی اکثرا درایورهای خاص خودشان را دارند . درایورها یکی از مواردی هستند که مستعد آلوده شدن توسط بدافزارها هستند . در واقع اگر درایورهای شما از سورس های جانبی نصب شده باشد بسیار محتمل است که به تروجان یا Backdoor آلودگی پیدا کرده باشد . سعی کنید تا جای ممکن از درایورهای Sign شده استفاده کنید . اما در مواردیکه تست نفوذسنجی انجام می شود یکی از توصیه ها اسکن کردن درایورهای سخت افزارهای نصب شده در سیستم برای پیدا کردن بدافزارها به ویژه تروجان ها و Backdoor ها است .

5- سرویس های ویندوز را اسکن کنید

محل دیگر بسیار مستعد برای رخنه کردن بدافزارهای تروجان و بک دور ، سرویس های ویندوزی است . فایل های اجرایی تروجان ها براحتی می توانند بعد از اجرا شدن ، خودشان را به عنوان یکی از سرویس های ویندوز معرفی کرده و دائما در حال فعالیت باشند . در تست نفوذ سنجی همیشه توصیه می شود که لیستی از سرویس های ویندوز تهیه کرده و سرویس های ناشناس و مشکوک را شناسایی کنید . شما می توانید از ابزارهایی مثل SRVMan برای اینکار استفاده کنید .

6- برنامه های Startup ویندوز را اسکن کنید

یکی از محبوب ترین محل های مخفی شدن برای بدافزارها ، Startup ویندوز است . یعنی به محض بوت شدن سیستم عامل و لاگین کردن به سیستم این بدافزارها اجرا می شوند . یکی از توصیه های اساسی در خصوص جلوگیری و یا حتی خنثی سازی فعالیت های یک بدافزار ، نظارت کردن بر برنامه هایی است که در Startup سیستم قرار می گیرند. این قسمت بسیار برای تروجان ها و Backdoor ها با توجه به اجرا خودکار آنها محبوب است . در تست نفوذ سنجی اسکن کردن و نظارت کامل بر این قسمت از سیستم عامل بسیار مهم است .

7- فایل ها و فولدرها را اسکن کنید

تروجان ها و Backdoor ها الزاما اجرا نشده اند ! ممکن است منتظر این باشند که در لحظه مناسب اقدام به آلوده کردن سیستم شما بکنند . طبیعتا بهترین محل برای مخفی شدن در بین فایل ها و فولدرهایی است که در فایل سرورها و حتی سیستم خودتان وجود دارند به همین دلیل توصیه می شود که همیشه یک Full Scan از کلیه فایل ها و فولدرهای سیستم ( غیرسیستمی ) در تست نفوذ سنجی گرفته شود .

8- فعالیت های شبکه را اسکن کنید

تروجان ها و Backdoor ما مستعد ایجاد کردن ترافیک های بسیار مشکوک در شبکه هستند . داشتن یک سیستم مانیتورینگ ترافیکی در شبکه و ارائه گزارش های امنیتی ( برای مثال از NetFlow استفاده کنید ) می تواند بسیار به تشخیص وجود بدافزارها در شبکه شما به ویژه شناسایی سیستم های آلوده به شما کمک کند. برای مثال سیستم آلوده در زمان فعالیت ممکن است بخواهد سیستم های دیگر را آلوده کند و ترافیک زیادی در شبکه ایجاد می کند که با شناسایی آن می توانید آن را مهار کنید .

9- تغییرات روی فایل های سیستم عامل را اسکن و مانیتور کنید

می توانیم به جرات بگوییم که بزرگترین ترس یک امنیت کار این است که فایل های اصلی سیستم عامل دچار آلودگی بدافزاری شوند . همیشه باید نسبت به تغییرات و دستکاری هایی که بر روی فایل های سیستم عامل انجام می شوند نظارت کامل داشته باشید . در چنین مواقعی همیشه توصیه می شود که از سیستم های پیشگیری مثل Tripwire استفاده کنید و یا در صورت عدم وجود چنین ابزاری ، از گرفتن و مقایسه کردن Hash فایل های اصلی سیستمی برای شناسایی آلودگی استفاده کنید .

10- از ابزارهای اسکنر تروجان استفاده کنید

طبیعتا استفاده کردن از ابزارهای امنیتی که با داشتن Signature های متنوع از نوع فعالیت های تروجان ها و Backdoor ها می توانند این بدافزارها را شناسایی و مهار کنند هم می توانید استفاده کنید . ترجیحا در شبکه و سیستم عامل های خود از یک Anti-X همه کار استفاده کنید .

11- تمامی یافته های خود را مستند سازی کنید

بعد از اینکه کل فرآیند های بالا را انجام دادید . بایستی کلیه نتایج را بصورت مفصل و دقیق مستند سازی کنید و تجزیه تحلیل خود را بر روی آنها انجام بدهید . نتیجه این تجزیه و تحلیل ها به شما می گوید که آیا شبکه شما دچار آلودگی بدافزاری از نوع تروجان و Backdoor است یا خیر ... هر مرحله برای خودش تجزیه و تحلیل جداگانه ای دارد .

12- سیستم عامل مورد نظر را از شبکه ایزوله کنید

اگر نتیجه تجزیه و تحلیل شما به این رسید که شما شما دچار آلودگی بدافزاری است . شما باید بلافاصله کامپیوترهای آلوده را از شبکه اصلی جدا کرده و آنها را ایزوله سازی کنید تا شبکه شما دچار آلودگی بیشتر نشود . می توانید برای پاکسازی کامپیوترهای آلوده از انواع و اقسام ابزارهای امنیتی و اسکنرهای ویروس استفاده کنید .

نویسنده : محمد نصیری

منبع : جزیره امنیت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است

0 1

محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات

البرز - کرج - شاهین ویلا - نبش خیابان هفتم شرقی - مجتمع تجاری مهرگان - طبقه 6 - واحد 704

زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18

فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود

شماره تماس: 02634209662

پشتیبانی تلگرام: کلیک کنید

توسینسو (ToSinSo) مخفف کلمه های Total Single Solutions می باشد و یک مجموعه آموزشی تخصص محور در حوزه فناوری اطلاعات بصورت آنلاین بوده که بیش از ده سال از فعالیت آن به زبان فارسی می گذرد. ارائه بهترین منابع آموزش شبکه ، آموزش لینوکس ، آموزش برنامه نویسی ، آموزش مجازی سازی ، آموزش هک و تست نفوذ و امنیت اطلاعات با همکاری اساتید بین المللی و حرفه ای از جمله مهمترین خدمات آموزشگاه توسینسو می باشد.

کلیه حقوق این وب سایت متعلق به مجموعه توسینسو است