محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

کاملترین معرفی انواع تروجان ( Trojan ) | شناخت 12 نوع تروجان مهم

تروجان چیست؟ چند نوع Trojan وجود دارد؟ بدافزار تروجان در چه قالب هایی اجرا می شود؟

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

انواع تروجان قسمت 1 : Command Shell Trojan چیست ؟ (ابزار NetCat)

قبلا در مورد تروجان ها بصورت کامل در توسینسو صحبت کرده ایم ، کافیست در قسمت جستجوی وب سایت کلمه تروجان را جستجو کنید تا ده ها مطلب جذاب در این خصوص که بصورت اختصاصی برای جزیره امنیت وب سایت توسینسو نوشته شده اند را مشاهده کنید .

اما قرار شد ضمن اینکه بصورت تیتروار در خصوص انواع تروجان ها صحبت می کنیم ، برخی از آنها را نیز مفصل تر معرفی کنیم و امروز نوبت به NetCat می رسد .یک Command Shell Trojan که به عنوان Backdoor هم شناخته می شود. ابزار NetCat به مهاجم اجازه می دهد که یک پورت یا یک Backdoor بر روی سیستم قربانی ایجاد شود

و مهاجم می تواند یک Shell به شکل DOS ( همان cmd خودمان ) در سمت خودش به قربانی در اختیار داشته باشد . با استفاده از دستور ساده ای مثل دستور زیر ، شما می توانید پورت مثلا 6000 را برای استفاده از NetCat در سیستم قربانی استفاده کنید :

C:\>nc –L –p 6000 –t –e cmd.exe

با استفاده از NetCat مهاجم می تواند هر نوع پورت ورودی یا خروجی از نوع TCP یا UDP را بر روی سیستم هدف بر روی هر شماره پورتی باز کند ! علاوه بر اینها NetCat قابلیت تغییر دادن Local Source Port و هر آدرس مبدا را نیز به شما می دهد و جالب است بدانید که خود NetCat یک قابلیت Port Scanner جالب درون خودش دارد !

یکی از قابلیت های بسیار جذاب NetCat قابلیت Loose Source-Routing است که به مخفی باقی ماندن هر چه بیشتر مهاجم کمک می کند از طرفی همین قابلیت به شما امکان این را می دهد که با استفاده از ورودی های استاندارد آرگومان های خاص را به هدف حمله ارسال کنید .

امکان دیگری که در این ابزار استفاده شده است اجازه پاسخگویی به ارتباطات ورودی یا Inbound Connections به نرم افزارهای دیگر است ، یعنی الزامی ندارد که در مقصد حتما NetCat پاسخگوی شما باشد و هر نرم افزاری که در حالت Established و Listening قرار دارد امکان جایگزینی را پیدا می کند.

در یک مثال ساده nc host port یا پورت مبداء در NetCat یک ارتباط TCP با پورت داده شده در مقصد در سیستم قربانی ایجاد می کند.دستورات ورودی به سمت سیستم قربانی ارسال می شوند و از طریق سیستم قربانی هم پاسخ ها به سمت سیستم مهاجم به حالت استاندارد ارسال می شوند.

این فرآیند ارسال و دریافت دستورات تا زمانیکه ارتباط شبکه ای بین دو سیستم برقرار باشد ادامه پیدا می کند . این فرآیند دقیقا برعکس سایر نرم افزارها است که بعد از خارج شدن از برنامه فعالیت برنامه هم پایان می پذیرد. قطعا اگر پاراگراف های بالا را مطالعه کرده باشید خودتان هم مثل من گیج می شوید !

بله این پاراگراف ها همان پاراگراف های ترجمه شده است که صبح تا شب به خوردمان می دهند ! خیلی ساده NetCat یک ارتباط بین مبدا و مقصد ایجاد می کند ، این ارتباط مخفی است و بر روی پورت های دلخواه ایجاد می شود ، ساختار Netcat بصورت کلاینت و سروری است و امکان انتقال فایل ( مثل آپلود و دانلود را نیز دارد ) به همین دلیل از NetCat به عنوان ابزار آلوده سازی در سرورها استفاده می شود ، اما باز هم برای اطلاعات بیشتر شما خلاصه ای از همه امکاناتی که NetCat در اختیار شما قرار می دهد را در ادامه معرفی می کنیم :

  1. امکان ایجاد کردن Connection های ورودی و خروجی از نوع TCP و UDP از و به هر شماره پورت
  2. امکان انجام کامل عملیات DNS Forwarding و Reverse Forward
  3. امکان استفاده از هر کدام از Local Source Port ها
  4. امکان استفاده از هر نوع Local Network Source Address
  5. قابلیت های پورت اسکن و Randomizer برای تغییر پورت
  6. قابلیت مخفی کردن Source Routing
  7. امکان خواندن آرگومان های دستوری از حالت استاندارد
  8. امکان ارسال داده بصورت Slow Mode ( هر چند ثانیه یک بسته )
  9. امکان دریافت Hex Dump از اطلاعات ارسال و دریافت شده
  10. امکان تغییر دادن نرم افزارهای Listener و ...
  11. امکان Bind شدن با ابزار Telnet
  12. و ...


از Netcat به عنوان چاقوی ارتش سویس در ابزارهای هک و امنیت نام می برند و یک تروجان براحتی از کانال NetCat می تواند وارد یک سیستم شود و نهایت کنترل و دسترسی را به مهاجم بدهد . امیدوارم نکات کافی در خصوص مفاهیم اولیه این ابزار را یاد گرفته باشید ، اگر نکته ای برای شما مبهم است که طبیعتا با توجه به وجود کلمات و واژه های تخصصی اینطور هم هست در ادامه مطرح کنید تا سعی کنیم به ساده ترین شکل برای شما تشریح کنیم .

انواع تروجان قسمت 2 : GUI Trojan چیست ؟ (ابزار MoSucker)

خوب در قسمت قبلی در خصوص Command Shell Trojan و به ویژه NetCat صحبت کردیم . امروز می خواهیم در خصوص یک تروجان قدیمی و اما همچنان کاربری به نام MoSucker صحبت کنیم . MoSucker یک تروجان گرافیکی است که به زبان برنامه نویسی ویژوال بیسیک نوشته شده است.

در این تروجان شما می توانید همه تنظیماتی که نیاز دارید را بصورت گرافیکی انجام بدهید و همه چیز در قالب Notification به کامپیوتر قربانی ارسال می شود . MoSucker در سیستم عامل های قدیمی مثل ویندوز XP و ویندوز سرور 2000 و 2003 بسیار کاربردی است و حتی امروزه هم از این تروجان می توان برای هک کردن این سیستم ها استفاده کرد. MoSucker در قالب system.ini و رجیستری سیستم قابل Load شدن است .

معرفی تروجان MoSucker معرفی ابزار تروجان


MoSucker می تواند قابلیت چگونه Load شدن بر روی سیستم را بصورت خودکار انتخاب کند. جالب است بدانید که امکان Notification فرستادن با SMS برای این ابزار تا مدتی در کشور آلمان وجود داشت ( دقت کنید فقط کشور آلمان ) . MoSucker قابلیت تکه تکه شدن به قطعاتی با اندازه های مختلف را دارد .

سیستم هشدار دهی سرور این برنامه معمولا خطایی به شکل Zip file damaged نشان می دهد که الزاما همیشه به این شکل نیست و می تواند آنرا در زمان ایجاد تغییر داد . سرور MoSucker معمولا فایل های سرور خودش را با اسامی مثل MSNETCFG.exe ، unin0686.exe ، calc.exe ، http.exe ، MSWINUPD.exe ، Ars.exe ، NETUPDATE.exe و همچنین Register.exe ارائه می کند .امکانات سروری این ابزار کوچک بصورت خلاصه شامل :

  1. چت کردن با قربانی
  2. مدیریت حافظه Clipboard قربانی
  3. بستن و حذف کردن سرور
  4. کنترل کردن حرکت ماوس
  5. امکان Crash کردن System File Manager
  6. بدست آوردن پسوردها و نام کاربری و اطلاعات سیستم قربانی
  7. مخفی کردن و نشان دادن منوی استارت ، Taskbar و System Tray
  8. Minimize کردن تمامی پنجره ها
  9. باز و بسته کردن CD-ROM
  10. Ping کردن سرور
  11. باز کردن یا Popup کردن منوی استارت
  12. استفاده به عنوان Keylogger
  13. امکان Shutdown و Restart و Standby و Logoff
  14. و ...


استفاده از سیستم عامل های قدیمی در سازمان ها


خوب خیلی از دوستان اشاره کردند که چرا ابزارهایی رو معرفی می کنید که عملا منسوخ شده هستند و دیگه استفاده ای ازشون نمیشه ! جوابشون رو به نظرسنجی که فقط 10 دقیقه توی وب سایت قرار گرفته قرار می دم تا بدونید که در حال حاضر در همین ایرانمون بیشتر از حداقل و کف کف 30 درصد سازمان ها و بانک ها و ... از سیستم عامل های بسیار قدیمی استفاده می کنند

و هنوز به دلیل بسیاری از مسائل به روز رسانی انجام نشده ، تصویر نظرسنجی رو در بالا می تونید مشاهده کنید ، امیدوارم هر چه زودتر به روزی برسیم که سازمان هامون درک کنند که هزینه های میلیاردی نیاز نیست برای امنیت انجام بدیم وقتی توی اساسی ترین موضوعش یعنی به روز رسانی سیستم ها اساسا مشکل داریم .

انواع تروجان قسمت 3 : GUI Trojan چیست؟ (ابزارهای Jumper و Biodox)

خوب در قسمت قبلی در خصوص تروجان گرافیکی MoSucker صحبت کردیم و امروز می خواهیم در خصوص تروجان های گرافیکی دیگری به نام Jumper و Biodox صحبت کنیم. به زبان ساده Jumper تروجانی است که به خودی خود برای دانلود کردن سایر تروجان ها و بدافزارها از اینترنت استفاده می شود

مهاجم می تواند با استفاده از نصب Jumper روی سیستم قربانی به اطلاعات مالی کاربر دسترسی پیدا کند اما Jumper خودش به تنهایی مدیریت از راه دور مناسبی را بصورت گرافیکی ارائه نمی کند به همین دلیل نیاز به یک ابزار مکمل به نام Biodox است که نام کامل آن Biodox Remote Administration Tool است .

معرفی تروجان BIODEX

این ابزار گرافیکی به شما اجازه می دهد که تروجان های مختلفی را از راه دور کنترل کنید و به سیستم قربانی از راه دور دسترسی داشته باشید. نکته اینجاست که وقتی BIODEX OE Edition.exe بر روی سیستم قربانی نصب می شود معمولا در پوشه System32 مخفی می شود و کمتر پیش می آید که در جای دیگری خودش را مخفی کند .

زمانیکه کامپیوتر با BIODEX آلوده شد کارایی و سرعت کامپیوتر به شدت افت می کند . Screen Saver کامپیوتر قربانی مرتب تغییر می کند ، تصاویر تبلیغاتی عجیب و غریب دیده می شود و اساسا تروجان گرافیکی خیلی تابلویی هست !! اساسا از تروجان های تابلو خوشم نمیاد ! تروجان باید ساکت باشه و بعدا هر کاری ازش خواستیم بکنه ، نه اینکه تا میاد داد و بیداد کنه ! به هر حال وظیفه معرفی کردن این تروجان هم بر عهده ما بود که به حمدالله حاصل شد تا تروجان بعدی خدا نگهدار.

انواع تروجان قسمت 4 : Document Trojan چیست ؟ 

خوب در قسمت های قبلی در خصوص تروجان های Command Shell و تروجان های گرافیکی صحبت کردیم و نوبتی هم باشد نوبت تروجان های فایل های مستندات یا Document Trojan ها می رسد . اکثر کاربران کامپیوتری که مثلا به امنیت کامپیوتر خودشان اهمیت می دهند همیشه سیستم عامل خودشان را به آخرین بسته های به روز رسانی مجهز می کنند که مثلا هک نشوند

اما معمولا از به روز رسانی خود نرم افزارهای کاربردی که در این سیستم عامل ها وجود دارند خودداری می کنند یا تنبلی می کنند . هکرها نیز از همین نقطه ضعف امنیتی برای رخنه کردن در سیستم عامل های کاربران با استفاده از نصب تروجان هایی که به فایل های Document متصل می شوند سوء استفاده می کنند .

Trojan Document چیست

برای اینکار مهاجمین معمولا فایل های تروجان خودشان را در قالب فایل های ورد ، اکسل ، اکسس ، پاورپوینت ، txt و حتی فایل های Access بصورت پیوست شده به ایمیل ، فایل های پیوست شده به صفحات وب ( دانلودی ) ، فایل های فلش و حتی فایل های ویدیویی قرار می دهند و آن را برای قربانی ارسال می کنند .

زمانیکه کاربر بر روی فایل مستند مورد نظر کلیک می کند تا محتویات آن را مشاهده کند بصورت مخفی تروجان نیز بر روی سیستم قربانی نصب می شود .بعد از اینکه برنامه هایی که از مجموعه هایی مثل Office یا Adobe هستند اجرا می شوند از آسیب پذیری های این نرم افزارها استفاده می کنند

و عملیات های مخرب خودشان را اجرایی می کنند . ساده ترین مثال این آسیب پذیری در بسیاری از همین سازمان های ایرانی وجود دارد که کاربر اصرار دارد که مثلا از Flash Player های قدیمی ، Office 2003 و مثلا Adobe بسیار قدیمی استفاده کند و نمی داند که چه خطراتی در پس اینکار وجود دارد .

انواع تروجان قسمت 5 : Email Trojan  چیست ؟ (ابزار RemoteByMail)

خوب در قسمت های قبلی در خصوص Command Shell Trojan ، GUI Trojan ها و Document Trojan ها صحبت کردیم و امروز می خواهیم در خصوص تروجان های ایمیلی یا Email Trojan صحبت کنیم . همانطور که از اسم این نوع تروجان ها مشخص است با استفاده از مکانیزم های ارسال ایمیل انبوه در اینترنت یا همان Bulk Email منتشر می شوند .

تروجان ها معمولا بصورت فایل های پیوست یا بصورت لینک درون این ایمیل ها قرار می گیرند ، کاربر به محض دانلود و کلیک بر روی پیوست ایمیل یا کلیک بر روی لینک باعث اجرای تروجان بر روی سیستم خودش می شود و کلی تخریب بر روی سیستم قربانی انجام می شود .

به همین دلیل است که همیشه توصیه می شود ایمیل های ناشناخته از افراد ناشناس را نه به هیچ عنوان باز کنید و اگر باز می کنید به هیچ عنوان بر روی لینک ها و البته به ویژه پیوست ها هر چند موضوع جذابی داشته باشند کلیک نکنید. در برخی اوقات تروجان بصورت خودکار لیست مخاطبین شما را از Address Book ایمیل های شما بیرون می کشد

و برای هر کدام از دوستان شما از طرف شما ایمیل آلوده ارسال می کند که احتمال تکثیر این نوع تروجان را بسیار زیاد می کند. بنابراین یکی از اهداف اصلی تروجان های ایمیلی Contact List های شما هستند. مهاجم درون ایمیل آلوده خود به تروجان دستوراتی را از قبل برای اعمال روی سیستم قربانی می دهد که به محض باز شدن بر روی سیستم قربانی اجرا می شود . از معروف ترین ابزارهای تولید ایمیل تروجان می توانیم به ابزار RemoteByMail اشاره کنیم.

تصویر ابزار RemoteByMail تروجان ایمیلی

ابزار RemoteByMail ابزاری است که به هکر ( مهاجم ) این امکان را می دهد که از طریق ایجاد و ارسال ایمیل بتواند دستوراتی را بر روی سیستم قربانی از راه دور اجرا کند و بر روی سیستم هدف کنترل داشته باشد. این ابزار به مهاجم اجازه می دهد که براحتی لیستی از کلیه فایل ها و فولدرهای مستقر بر روی سیستم را برای مهاجم ارسال کند 

فایل های مورد علاقه مهاجم را به حالت فشرده در بیاورد و در زمان مناسب برای هکر ارسال کند ، امکان اجرا کردن نرم افزارها و فایل های اجرایی مخرب را توسط هکر از راه دور فراهم می کند و ... دستوراتی که این ابزار ارسال و دریافت می کند بسیار شبیه به دستوراتی است که ما در خط فرمان از آن استفاده می کنیم ( DIR SEND GET و ... ) .

انواع تروجان قسمت 6 : Defacement Trojan چیست ؟ 

خوب در قسمت های قبلی در خصوص Command Shell Trojan ، GUI Trojan ها ، Document Trojan ها و البته Email Trojan ها صحبت کردیم و حالا نوبت به تروجان های Defacement یا تغییر چهره می رسد . زمانیکه شما درگیر یک تروجان از نوع Defacement می شوید و در تمام سیستم شما رخنه می کند .

تقریبا هر چیزی که در سر راهش باشد و در پایگاه داده تروجان تعریف شده باشد را تخریب می کند. این نوع تروجان ها زمانیکه به وب سایت ها حمله می کنند بعضا بسیار خطرناک تر هستند و باعث می شوند کلی از صفحات HTML و CSS وب سایت تغییر کند و به شکل دلخواه مهاجم در بیاید 

از طرفی اگر تروجان های Defacement هدف اصلی خودشان را کسب و کارهای الکترونیکی قرار بدهند این امر بسیار خطرناک تر است ! تصور کنید وارد صفحه پرداخت الکترونیک وب سایت زرین پال می شوید و ببینید که تروجان صفحه را تغییر داده و مثلا عنوان هک شده است را درج کرده است !!!


Defacement Trojan چیست

در چنین حالتی آبرو و اعتبار وب سایت و مجموعه به کلی خدشه دار می شود . اینگونه تروجان ها بعد از نصب بر روی سیستم عامل ، تقریبا هر چیزی که دارای رابط کاربری و گرافیکی است را می توانند تغییر ظاهر بدهند ، از برنامه های ویندوزی گرفته تا منوهای نرم افزارهای مختلف ، آیکن ها و ... در واقع این نوع تروجان ها به عنوان Resource Editor هم معروف هستند 

ابزارهای Resource Editor امکان باز کردن Source های قالب و ظاهر نرم افزارها را دارند و می توانند بر روی آنها تغییرات اعمال کنند ( نمونه هاش همین برنامه هایی که به عنوان فارسی و بومی ارائه میشه در واقع با همین Resource Editor ها انجام شده ) شما بعد از حمله این نوع تروجان ها احتمالا با پیام ها و جملات و واژه ها و لوگوها و آیکن های عجیب و غریب بر روی برخی نرم افزارهای موجود در سیستم مواجه خواهید شد.

انواع تروجان قسمت 7 :  Botnet Trojan چیست ؟ 

خوب تا این قسمت از سری مطالب معرفی انواع تروجان با پنج نوع از مهمترین انواع تروجان ها آشنا شدید . امروز می خواهیم در خصوص تروجان های بات نتی یا Botnet Trojan صحبت کنیم. قطعا اگر شما با مفهوم شبکه های Bot یا Botnet آشنایی داشته باشید زیاد نیاز به توضیح اضافه در خصوص این نوع تروجان ها ندارید

بصورت خلاصه Botnet مجموعه ای از کامپیوترهای آلوده شده به انواع ویروس ، ورم ، تروجان و یا Backdoor ها هستند که کاملا در اختیار مهاجمین قرار دارند و مثل ربات می توان آنها را از راه دور مدیریت کرد و به همین دلیل به آنها بات نت گفته می شود. مهاجم می تواند از راه دور شبکه از کامپیوترهای موجود در بات نت ها را مدیریت کند

و تقریبا هر کاری که بخواهد با آنها انجام بدهد . به کامپیوترهای آلوده شده در شبکه بات نت در اصطلاح فنی Zombie گفته می شود و اگر زامبی ها یا مرده های متحرک را بشناسید احتمالا مفهوم زامبی بودن در شبکه های بات نت را نیز متوجه خواهید شد .


بات نت چیست

مهاجم از تروجان های بات نتی برای گسترش شبکه تروجانی خودش استفاده می کند تا بتواند ایمیل های اسپم ، ویروس ها ، حملات DOS و DDOS خودش را به بهترین شکل و از طریق قربانی های خودش انجام بدهد . مالکین شبکه های بات نت معمولا اهدافی مثل اهداف آموزشی ، سازمانی ، نظامی و شبکه های اینچنینی را مورد هدف قرار می دهند

و با استفاده از سوء استفاده های متنوعی که از این شبکه می توانند انجام بدهند اهداف ثانوی ( اصلی ) خودشان را عملی می کنند . برای مثال به سرقت بردن و سوء استفاده از ایمیل ها ، سرقت کردن سریال لایسنس نرم افزارها ، اطلاعات احراز هویتی افراد ، شماره کارت های اعتباری و ... وقتی در قالب یک شبکه بزرگ انجام شود بسیار خطرناک تر هستند و درصد موفقیت آنها برای هکر نیز بیشتر است .

Botnet Trojan ها صورت کلی دو جزء اصلی دارند که شبکه Botnet و Botmaster به آنها گفته می شود . جالب است بدانید که تروجان های بات نتی برای خودشان توپولوژی هم دارند که بصورت خلاصه توپولوژی های موروثی ( سلسله مراتبی ) یا Hierarchical ، توپولوژی چند سروری یا Multi Server ، توپولوژی ستاره ای یا Star و توپولوژی Mesh از جمله این توپولوژی ها هستند.

انواع تروجان قسمت 8 : Proxy Server Trojan چیست ؟ 

یکی از مهمترین کارهایی که یک هکر مخرب در نظر دارد که انجام بدهد و باید جزو اولویت های خودش باشد ، مخفی ماندن است . خوب چه راهی بهتر از اینکه مبدا همه حملاتی که بر روی هدف اصلی انجام می شوند یک کامپیوتر عادی و یک آدم معمولی باشد ؟ !!!

چطور اینکار ممکن است ؟ این دقیقا کاری است که تروجان های پروکسی سرور انجام می دهند ، یعنی خودشان را بر روی سیستم قربانی نصب می کنند و آن را به عنوان یک واسط برای انجام حملات خودشان در نظر می گیرند . کلیه لاگ هایی که بر روی سرور شرکت قربانی اصلی انجام می شود به نام کامپیوتر واسط یا در اصطلاح Proxied Zombie ثبت می شوند !

تروجان های پروکسی سرور

همان بنده خداهایی که روحشان هم از ماجرا خبر ندارد ! این نوع پروکسی ها ساختاری شبیه به ساختار Botnet Trojan ها بصورت کلی دارند زیرا در Botnet Trojan ها هم کامپیوترهای قربانی نقش واسط برای حمله را دارند و حملات به نام آنها ثبت و ضبط می شود . هرگونه سوء استفاده ای که از هدف نهایی در نتیجه هک شدن سرور اصلی انجام شود

از جمله به سرقت رفتن اطلاعات هویتی و مالی ، خرابکاری و دستکاری و ... همگی در لاگ های ثبت شده در سرور مقصد به نام کامپیوتر قربانی وجود خواهند داشت . کاری که این نوع تروجان انجام می دهد به نوعی همان کاری است که وقتی کسی کارت شناسایی شما را به سرقت می برد و از طریق شما اعمال خلاف مرتکب می شود را شبیه سازی می کند .

انواع تروجان قسمت 9 :  تروجان FTP یا FTP Trojan چیست ؟ 

در ادامه معرفی انواع تروجان ها که در قسمت مطالب مرتبط پایین وب سایت بصورت کامل لیستی از آنها را مشاهده می کنید به تروجان های سرویس FTP می رسیم . تروجان های FTP نوعی از تروجان ها هستند که بصورت ویژه برای باز کردن پورت شماره 21 ( پورت مورد استفاده FTP )

و ایجاد دسترسی از راه دور به مهاجم طراحی شده اند . مکانیزم کاری این تروجان تقریبا شبیه به سرویس FTP است ! بعد از نصب شدن بر روی سرور قربانی یک FTP Server راه اندازی می کند و امکان دانلود و آپلود هر نوع فایلی از و به سرور قربانی را می دهد .

تروجان های FTP

همچنین در ادامه اینکه بر روی سیستم قربانی سرور FTP نصب و راه اندازی می کند بدافزارهای دیگری مثل Keylogger و ... را نیز بر روی سرور نصب می کند تا اطلاعات کارت های اعتباری ، اطلاعات محرمانه ، آدرس های ایمیل و اساسا هر نوع دیتای قابل استفاده را دریافت کند و در ادامه برای مهاجم این اطلاعات ارسال می شود .

اسکن کردن پورت های باز بر روی سیستم و مطمئن شدن از فعال نبودن سرویس FTP می تواند یکی از روش های ساده پیدا کردن این نوع تروجان ها باشد که هر چند امکان تغییر پورت برای این نوع تروجان ها نیز وجود دارد و الزامی به استفاده از پورت 21 استاندارد ندارند.

انواع تروجان قسمت 10 :  تروجان VNC یا VNC Trojan چیست ؟ 

یکی از تروجان های جالب همین VNC Trojan هست ، جالبترین نکته در خصوص این نوع تروجان ها این هست که میان سیستم هدف رو تبدیل به یک VNC Server می کنن ! خوب یعنی اینکه از نظر خیلی از آنتی ویروس ها این یک ابزار کاربردی هست و برای VNC یا ریموت به سیستم از راه دور استفاده میشه و مشکلی نداره !

زمانیکه این نوع تروجان بر روی سیستم قربانی اجرا شد بصورت مخفی در پس زمینه سرویس VNC Server رو اجرا می کنه و این امکان رو به مهاجم می ده که از طریق پورت VNC و قابلیت VNC Viewer با پسورد پیشفرض secret به سیستم قربانی متصل بشه . دو نوع از معروف ترین VNC Trojan ها به اسم های WinVNC و VNC Stealer وجود دارند

که تقریبا هر کاری که بشه توسط پروتکل و سرویس VNC انجام بشه رو برای مهاجم روی سیستم قربانی انجام میدن ، از اجرا کردن Process ها ، کانال های رمزنگاری شده ، دستکاری کلید های رجیستری ، Hijack کردن Virtual Memory ، ایجاد کردم فایل و فولدر ، ایجاد پاپ آپ و خطا و هشدارهای سیستمی و کلی کار دیگه ...

ساده ترین راه حل تشخیص و جلوگیری از اجرای این نوع تروجان ها در صورتیکه نرم افزار امنیتی مناسب رو نداشته باشید همین هست که پورت VNC رو در فایروال ببیندید و مطمئن بشید که هیچ ابزاری از این پورت و سرویس روی سیستم شما استفاده نمی کنه.

انواع تروجان قسمت 11 :  تروجان های HTTP و HTTPS

یکی از خطرناک ترین انواع تروجان هست ! چرا ؟ چون نیازی به باز کردن و نشون دادن یک سرویس خاص روی سیستم شما نداره ! وقتی در مورد HTTP و HTTPS تروجان ها صحبت می کنیم یعنی در مورد چیزی صحبت می کنیم که هر کسی در طی روز مجبور به استفاده ازش هست و اون وب و اینترنت هست !

این نوع تروجان ها به راحتی فایروال ها رو دور می زنن چون اکثر فایروال ها برای دسترسی دادن به اینترنت همیشه پورت های 80 و 443 رو باز می زارن تا به کاربرها اجازه دسترسی به اینترنت رو بدن و این دقیقا همون پورتی هست که این نوع تروجان ها ازش استفاده می کند .

اونها رابط کاربری ندارن ! یعنی رابط کاربری سیستم عاملی ندارن بلکه همه کارشون رو از طریق یک رابط کاربری تحت وب انجام می دن. زمانیکه بر روی سیستم قربانی اجرا شدند در وهله های زمانی خاص پروسس های فرزندی رو تولید می کنن که درخواست های وب رو به سرور اصلی که ازش مدیریت میشه ارسال می کنه

و این درخواست در اینترنت ارسال میشه و تقریبا از هر فایروالی به راحتی عبور می کنه . در پاسخ به سیگنال هایی که قربانی به سمت سرور هدف ارسال میکنه ، سرور هدف هم دستوراتی رو بازگشت می ده که معمولا بصورت کد شده هست و از قبل طراحی شده که چه کاری رو از طریق سیستم قربانی باید انجام دبه !

تمامی ارتباطات هم تا حد زیادی رمزنگاری میشه و شما بر روی لاگ های فایروال فقط یه سری دستورات مشخص GET رو مشاهده می کنید بدون اینکه متوجه باشید برای چی هست و چه کاری قرار هست انجام بده . ساختار کاری این نوع تروجان بصورت SLAVE MASTER هست . و همه چیز بصورت دستوری از طریق سرور به قربانی دستور داده میشه که اجرا بشه . حتما برای شناسایی و جلوگیری این نوع حملات از ابزارهای امنیتی برای اسکن و امن کردن سیستم استفاده کنید .

انواع تروجان قسمت 12 : تروجان های ICMP 

فکر می کنم درک مفهوم Tunneling برای شمایی که دارید حوزه امنیت رو کار می کنید چندان سخت نباشه ! در حقیقت اطلاعات در پروتکل ICMP می تونه از طریق Tunnel ای که از طریق قیمت ICMP_ECHO و ICMP_ECHOREPLY هست رد و بدل بشه . در قسمت ICMP_ECHO قسمتی وجود داره که این امکان رو می ده که یک Covert Channel ایجاد بشه

و البته این رو هم باید مد نظر داشته باشیم تجهیزات شبکه معمولا در 99 درصد موارد ترافیک ICMP_ECHO رو فیلتر نمی کنن و این کانال امن برای انتقال ترافیک برای هکرها بسیار جذاب هست . مهاجمین براحتی این بسته ها رو میگیرن ، ارسال می کنند و البته Drop می کنن !

خوب اینکار توسط تروجان های تخصصی که برای استفاده از این امکان پروتکل ICMP وجود دارن انجام میشه . قبلا در مورد Covert Channel ها مفصل صحبت کردیم ، کانال های ارتباطی که بصورت معمول نیستن و مخفی هستند . طبیعی هست که ICMP Tunneling Trojan ها دستورات خودشون رو در قالب همین Convert Channel ای که در این پروتکل وجود داره ارسال و دریافت می کنن .


  • تروجان چیست؟

    تروجان یا Trojan یک نوع بدافزار است که خودش را در قالب یک نرم افزار مفید جا می زند و وارد سیستم ها می شود و آنها را آلوده می کند.
  • چند نوع تروجان وجود دارد؟

    بصورت کلی بیش از 12 نوع تروجان ( بدافزار Trojan ) وجود دارد که هر کدام به روش خاص خودشان عمل می کنن و در این مقاله بصورت کامل به معرفی آنها پرداخته شده است.

محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات