در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

شناخت پورت های مورد استفاده توسط تروجان ها

همانطور که می دانید ارتباطات کامپیوتری توسط پروتکل ها انجام می شوند و هر پروتکلی برای خودش یک شماره پورت منحصر به فرد دارد که از جمله آنها پروتکل های معروف وب و دانلود فایل ها و حتی به روز رسانی سیستم عامل و نرم افزارها را می توانیم نام ببریم . این شماره پورت ها هستند که مثل برچسب ، نوع محتوای ارسالی و دریافتی را مشخص می کنند ، هر کامپیوتری برای خودش پورت های مشخصی برای ارسال و دریافت اطلاعات دارد . قبلا در مورد تروجان ها بصورت مفصل صحبت کرده ایم و فقط این نکته باقی می ماند که شما باید حواستان به ارتباطات فعال یا Active Connection های سیستم و البته پورت هایی که در حالت Listening بر روی سیستم قرار دارند باشد ، بعضا شما با بررسی همین پورت هایی که در این حالت ها قرار دارد و شناسایی نوع تروجانی که ممکن است از این پورت های عجیب و غریب استفاده می کنند ، متوجه نقض امنیتی سیستم خود بشوید ، بد نیست لیستی از این شماره پورت های مشهور که توسط تروجان های مشهور استفاده می شوند را گوشه ای در ذهن خود برای بررسی های آینده نگه دارید :


21	Blade Runner, Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash
23	Tiny Telnet Server
25	Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth,
Terminator, WinPC, WinSpy, Kuang2 0.17A-0.30
31	Hackers Paradise
80	Executor
456	Hackers Paradise
555	Ini-Killer, Phase Zero, Stealth Spy
666	Satanz Backdoor
1001	Silencer, WebEx
1011	Doly Trojan
1170	Psyber Stream Server, Voice
1234	Ultors Trojan
1243	SubSeven 1.0 – 1.8
1245	VooDoo Doll
1492	FTP99CMP
1600	Shivka-Burka
1807	SpySender
1981	Shockrave
1999	BackDoor 1.00-1.03
2001	Trojan Cow
2023	Ripper
2115	Bugs
2140	Deep Throat, The Invasor
2801	Phineas Phucker
3024	WinCrash
3129	Masters Paradise
3150	Deep Throat, The Invasor
3700	Portal of Doom
4092	WinCrash
4567	File Nail 1
4590	ICQTrojan
5000	Bubbel
5001	Sockets de Troie
5321	Firehotcker
5400	Blade Runner 0.80 Alpha
5401	Blade Runner 0.80 Alpha
5402	Blade Runner 0.80 Alpha
5400	Blade Runner
5401	Blade Runner
5402	Blade Runner
5569	Robo-Hack
5742	WinCrash
6670	DeepThroat
6771	DeepThroat
6969	GateCrasher, Priority
7000	Remote Grab
7300	NetMonitor
7301	NetMonitor
7306	NetMonitor
7307	NetMonitor
7308	NetMonitor
7789	ICKiller
8787	BackOfrice 2000
9872	Portal of Doom
9873	Portal of Doom
9874	Portal of Doom
9875	Portal of Doom
9989	iNi-Killer
10067	Portal of Doom
10167	Portal of Doom
10607	Coma 1.0.9
11000	Senna Spy
11223	Progenic trojan
12223	Hack´99 KeyLogger
12345	GabanBus, NetBus
12346	GabanBus, NetBus
12361	Whack-a-mole
12362	Whack-a-mole
16969	Priority
20001	Millennium
20034	NetBus 2.0, Beta-NetBus 2.01
21544	GirlFriend 1.0, Beta-1.35
22222	Prosiak
23456	Evil FTP, Ugly FTP
26274	Delta
30100	NetSphere 1.27a
30101	NetSphere 1.27a
30102	NetSphere 1.27a
31337	Back Orifice
31338	Back Orifice, DeepBO
31339	NetSpy DK
31666	BOWhack
33333	Prosiak
34324	BigGluck, TN
40412	The Spy
40421	Masters Paradise
40422	Masters Paradise
40423	Masters Paradise
40426	Masters Paradise
47262	Delta
50505	Sockets de Troie
50766	Fore
53001	Remote Windows Shutdown
54321	SchoolBus .69-1.11
61466	Telecommando
65000	Devil
	
UDP Port	Name of Trojan
1349	Back Ofrice DLL
31337	BackOfrice 1.20
31338	DeepBO
54321	BackOfrice 2000

اینها مجموعه ای از پرکاربرد ترین شماره پورت های تروجان ها هستند ، می توانید همین حالا با بررسی وضعیت Listening پورت های باز روی سیستم خودتان به این موضوع پی ببرید که کدامیک از این تروجان ها بر روی سیستم شما اجرا هستند و در حال سرویس دهی !!

نویسنده : محمد نصیری

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است

#تروجان_چگونه_سیستم_را_آلوده_میکند #شناسایی_تروجان #شماره_پورت_های_معروف #چگونه_یک_trojan_ایجاد_کنیم #روش_های_کاری_تروجان_ها #تروجان_چیست #تروجان_چیست؟ #پاکسازی_تروجان #معرفی_انواع_trojan_horse #معرفی_انواع_تروجان #trojan_wrapper_چیست #پورت_های_تروجان #trojan_horse_چیست #انواع_مختلف_تروجان #trojan_horse_چیست؟ #روش_کار_یک_تروجان #روش_کار_trojan_horse #هدف_از_ایجاد_کردن_trojan_horse_چیست
11 نظر
حامد مهدی

پورت 4444 هم زیاد استفاده میشه حین ساخت تروجان که خطای اون شخص هکر هست که یادش میره عوض کنه و پیش فرض همون رو میزاره

مهندس نظرتون درمورد این تیپ تروجان ها چی هستش؟

SANS-SEC560-Trojan

محمد نصیری

پورت ها خیلی زیاد هستن طبیعتا ، اینکه یه هکر سهل انگاری کنه و پورت پیشفرض رو تغییر نده نشان از خلاقیت نداشتنش داره ، من خودم اگر روزی بخام تروجان رو براش پورت تعریف کنم در وهله اول سعی می کنم اونقدر نزدیک به Wellknown ها قرارش بدم که کاربر کمتر مشکوک بشه ! مثلا 81 یا مثلا 24 یا مثلا چیزی تو همین محدوده ! نوع دومی هم که بیشتر ترجیح میدم پورت های بسیار بسیار بسیار بالا هست ! مثلا 65532 که تا زمانیکه مثلا شخصی بخاد Port Scan برای تست بزنه هم در حالت ساده زمان ببره تا بهش برسه ! و از اون باحالتر که بیایم Default Port یک سری Application ها رو تغییر بدیم و روی اون تروجان بفرستیم ! مثلا بیایم پورت 161 رو تغییر کاربری بدیم روش سرویس تروجان اجرا کنیم.

حامد مهدی

ترافیک رو Encapsulate کنیم بنظر بهتر بشه.یا یک رنج پورت براش تعریف کنیم که اگه فلان پورت بسته شد بره سراغ پورت های دیگه تا یک پورت باز پیدا کنه.توی عکس بالا که فرستادم اون اسکن کردن کاربر به مشکل میخوره.توی عکس اول آیپی هکر هست که پورت مدنظرش رو اسکن کنه بازهستش ولی اگه یه نفردیگه بجز آیپی هکر اسکنش کنه(عکس دوم) پورت رو بسته نشون میده.

این کار یکم فرآیند کار رو بهترمیکنه که دیرتر بشه به موضوع پی برد

محمد نصیری

اینم روش خوبیه ، البته من میگم یه روش بهتر هم هست ! روشی که ویروس های Companion انجام میدن ! به محض اینکه احساس می کنن نرم افزار آنتی ویروس یا اسکنری دنبالشون هست کلا پورت و محلشون رو تغییر میدن ! البته اینی که گفتم رو خودم اجرایی نکردم ولی تئوریش توی بدافزارها حسابی جواب میده !

حامد مهدی

منظورتون یه چیزی مثل Replication ای هست که worm ها انجام میدن؟

یه روشی چندروز پیش روش کارکردم که تروجان از بات تلگرامی به عنوان C&C استفاده کنه و برای اینکه ف**ی**ل**ت**ر** رو دور بزنه از پروکسی استفاده کنه .ولی به بات تلگرامی وصل نشه خود بات بهش بگه که به کجا وصل شو

یا یه روش دیگه که فک کنم خیلی بهتربشه.توی زمان های تصادفی اون بدافزارمون توی یه سری مسیرها مثلا سایت توسینسو بره توی یک مسیر مشخص یا حالا چندمسیر و... دنبال فلان پیام بگرده که وقتی پیداش کرد اونو دیکد کنه و دستورات داخلش رو انجام بده

(هنوز طراحی اش رو البته کامل نکردم تا یه حمله درست و حسابی بشه ازش انتظار داشت)

محمد نصیری

نه ! مکانیزم کاری این نوع ویروس ها اینطور هست که به محض تشخیص اینکه آنتی ویروس داره فایلی رو اسکن می کنه از سکتوری که هستن خودشون رو جابجا می کنن و به سکتوری که میدونن آنتی ویروس از روش رد شده توسط یک Covert Channel منتقل می کنن ! یعنی یه جوری مثل اینکه داریم اسکن می کنیم تا پورت 2000 رسیدیم بعد تروجان تا میفهمه اسکن هست پورتش رو می کنه 1000 و میبره پشت اسکن که دیده نشه !

حامد مهدی

ایده خیلی خوبی هست که روش کاربشه . برا مقابله باهاش چه solution ای ارائه دادند؟

محمد نصیری

ایجاد کردن Deadlock موقع اسکن ! یعنی انگار همه جا رو قفل کنن هیچ تبادل اطلاعاتی بدون اینکه از مسیر اسکن رد بشه نمیتونه انجام بشه ! البته گفتم این یک تئوری هست که فکر کنم هفت هشت سال پیش روش کار می شد و بدافزارهای هم هستن که با این روش کار می کنن ! ولی خوب خلاقیتش جالب بود

محمد

همانطور که می دانید ارتباطات کامپیوتری توسط پروتکل ها انجام می شوند و هر پروتکلی برای خودش یک شماره پورت منحصر به فرد دارد.

ممنون از مهندس نصیری عزیز.

یک دیدگاهی در رابطه با جمله ای که فرمودید داشتم می خواستم بدونم به نظرتون درست هست یا خیر/

ارتباطات کامپیوتری (که اکثرا باید یک برنامه ای باشه) توسط سوکت ها انجام میشه (داشتن IP,Port) و از طریق پروتکل ها این ارتباط Handel و مدیریت میشه. معمولا هر پروتکل برنامه نویسی شده و هر برنامه توی شبکه باید از یک Socket ای برای ارتباط استفاده کنه که اون سوکت بر فرض از پورت 80 استفاده می کنه و اینطوریه که میگن پروتکل http از پورت 80 استفاده می کنه.

بگیم پروتکل تشکیل شده از : یک آبجکت تحت شبکه (Socket) + یک سری قوانین

حامد مهدی

با کسب اجازه از مهندس نصیری عزیز ، محمد جان این اسلاید رو ببین فک کنم بتونه یه دیدی نسبت به این قضیه بده (البته اینم بگم مقایسه کاملش یکم طولانیه ولی این اسلاید یه دیدی نسبت به socket و http میده که اگه حالا سوالی بعدا درموردش بود یا سرچ یا حالا هرچی دیگه مشخص بشه باید دقیقا دنبال چی بودش تا سریع تر به جواب رسید)

SANS SEC542 by HamedMehdi

محمد

والا http یک مثال بود که گویا انتخاب بدی برای مثال کردم

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....