تروجان AlienSpy تهدیدی جدید برای مشتریان و شرکت‌ها

به تازگی یک تروجانِ دسترسی از راه دور - که عموما RAT خوانده می‌شوند - کاربران سازمان‌ها و مشتریان را مورد هدف قرار داده است. این RAT بر اساس جاواست و چندسکویی (multiplatform) بوده و AlienSpy نام دارد که به گفته‌ی پژوهشگرانِ شرکت امنیتیِ Fidelis، پس از تروجان‌های Frutas، Andwind و Unrecom جزو جدیدترین تروجان‌ها از سری تروجان‌های RAT محسوب می‌شود.

AlienSpy  قادر به جمع‌آوری اطلاعات سامانه، بارگذاری و اجرای بدافزارهای اضافی، دست‌یابیِ مخفیانه به صدا و تصویر کاربر از طریق میکروفن و وب‌کمِ رایانه‌ی وی، سرقت کلمه‌های عبور ذخیره شده در مرورگر‌ها و کلیدخوانی می‌باشد. هم‌چنین این تروجان به مهاجمان اجازه می‌دهد تا از راه دور به رایانه‌ی آلوده شده دسترسی داشته باشند.

AlienSpy  از آلودگی‌های موجود در دستگاه‌های مجهز به ویندوز، لینوکس، مَک و اندروید پشتیبانی کرده و می‌تواند تعدادی از ضدبدافزار‌ها و ابزار‌های امنیتی را غیرفعال نماید. به علاوه می‌تواند سندباکس (sandbox) را نیز شناسایی کند. تروجان مذکور برای حفظ ارتباط با کارگزارِ فرمان و کنترلِ خود (C&C server) از پروتکل‌های رمزنگاری TLS بهره می‌گیرد.

وبگاه net-security به نقل از پژوهشگران می‌نویسد: «AlienSpy از جمله RAT‌های نوشته شده بر اساس جاوا است که با ۱۲ افزونه (plugin) برای پلتفرم‌های سامانه‌های عامل مختلف، یک چارچوبِ افزونه‌ای را فراهم می‌کند. این چارچوبِ افزونه‌ایِ پیمانه‌ای (modular) کارِ مهاجمان را برای ارتقا دادن این RAT با افزایه‌ای که امکانات اضافی فراهم می‌کند، آسان می‌نماید.»

این بدافزار هم اکنون در انجمن‌های زیرزمینیِ اینترنتی، بر اساس نوع بسته‌ی آن (از بسته‌ی پایه تا نهایی) بین ۱۹ دلار و ۹۰ سنت تا ۲۱۹ دلار و ۹۰ سنت به فروش می‌رسد.

این تروجان از طریق رایانامه‌های ناخواسته گسترش می‌یابد. ظاهرا این رایانامه‌ها توسط افرادی فرستاده می‌شود که دریافت‌کنندگان را از جزییات پرداخت‌ها و پیام‌های مبادلاتیِ سامانه‌ی Swift، جزییات سفارش‌ها و خطا‌های رخ داده در ارسال وجه مطلع می‌کنند. تروجان مذکور در قالب فایلِ ضمیمه ارسال می‌شود که معمولا یک پرونده آرشیو با پسوند .zip یا .jar می‌باشد.

لازم به ذکر است که Swift، یا جامعه‌ی جهانی ارتباطات مالی بین بانکی، یک انجمن تعاونی غیرانتفاعی است که در ماه مه ۱۹۷۳ میلادی توسط ۲۳۹ بانک از پانزده کشور اروپایی و آمریکای شمالی راه اندازی گردید و هدف از آن جایگزینی روش‌های ارتباطی غیر استاندارد کاغذی و یا از طریق Telex در سطح بین‌المللی با یک روش استاندارد شده جهانی بود.

پژوهشگران هشدار دادند: «در حال حاضر شاهد آن هستیم که موج وسیعی از نمونه‌های AlienSpy به سرعت در حال گسترش بوده و علیه مشتریان و تشکیلات مختلف از جمله بخش‌های فناوری، خدمات مالی، دولت و بخش انرژی به کار گرفته می‌شود.»

به محض اینکه مهاجم کنترل اوضاع را با استفاده از AlienSpy بدست گیرد، می‌تواند به دیگر سامانه‌های شبکه نیز نفوذ کرده و بدافزار‌های پیشرفته‌ای را پخش کند. هم‌چنین مهاجم قادر است ساما‌نه‌ای را که خود آلوده کرده، به دیگر مجرمانِ سایبری اجاره دهد.

گونه‌ی تغییر شکل یافته‌ی تروجان دسترسی از راه دورِ AlienSpy

محققان در مؤسسه‌ی امنیتی Fidelis می‌گویند: «بد‌افزار جاسوسی AlienSpy، قبل از ظهورِ خیره‌کننده در بلک‌هت، ۲۰ روز قبل روی تلفن‌همراه یک دادستان آرژانتینی مرده پیدا شد، ظاهراً کنترل‌کننده‌ی تروجان دسترسی از راه دورِ AlienSpy کار خود را تعطیل کرده، و این بدافزار جاسوسی را تغییر نام و شکل داده و سپس محدوده‌ی عملیات آن را به حوزه‌های جدیدی گسترش داده است.»

در دی‌ماه سال پیش، پیکر بی‌جان فردی که ظاهراً دادستانی بی‌پروا به نام آلبرتو نیسمن بود، پیدا شد. علت مرگ وی خودکشی اعلام شده بود اما شواهد با توجه به گزارش‌های منتشرشده این نتیجه‌گیری را رد می‌کنند.

بنا به گفته‌ی مدیر امنیتی First Look Media، گوشی اندرویدی نیسمن، به مدت ۶ هفته آلوده به AlienSpy بوده است.

«esterictamente secreto y confidencial.pdf.jar» پرونده‌ای است که در گوشی نیسمن پیدا شده، و مرکب از AlienSpy بوده است، تروجانی با دسترسی از راه دور که به زبان جاوا نوشته شده و توسط سایر تهدیدکنندگان بر علیه اهدافشان در زیرساخت‌های بحرانی استفاده شده است.

 

این RAT۱ نه‌تنها اطلاعات سامانه را جمع‌آوری کرده، و با ایجاد یک در پشتی پرونده‌های اجرایی مخرب ( ازجمله یک کی‌لاگر) را بارگیری کرده و داده‌های دزدی را استخراج می‌کند، بلکه می‌تواند جلسات وبکم را ضبط کند، به میکروفون سامانه گوش دهد، رومیزی دارای قابلیتِ کنترل از راه دور ایجاد کند، گواهی‌نامه‌های مرورگر را بدزدد و به پرونده‌ها دسترسی پیدا کند.

 

محققان Fidelis در ماه فروردین گزارشی را در مورد شیوع و گسترش AlienSpy به‌ وسیله‌ی پیام‌های فیشینگ منتشر کردند. طبق گفته‌ی Fidelis در گزارشی که اخیراً منتشر کرد، مدت کوتاهی بعد از انتشار گزارش قبلی، ثبت‌کننده‌ی دامنه‌ی GoDaddy، دامنه‌ی AlienSpy را تعلیق کرد و در طی دو هفته دامنه‌ی فعلی jsocket[.]org در eNom ثبت شد.

تا ۲۱ تیرماه AlienSpy وجود نداشته و از کاربران خواسته می‌شد که به jsocket[.]org مراجعه کنند که در یک میزبان بریتانیایی به نام LayerIP قرار داشته است.

بنا به گفته‌ی محققان، از آن زمان تاکنون، کمپین‌های فیشینگ به  استفاده از RAT برای اهداف جدید خود در صنایع، مانند ابزارها، آژانس‌های دولتی و مخابرات سوق پیدا کرده‌اند.

JSocket مانند نمونه‌ی قبلی خود، به صورت تجاری موجود است و مستعد حذف به همان شکل است.

به گفته‌ی هاردیک مودی محقق در زمینه‌ی تهدید و معاون Fidelis، «این بدافزار به صورت عمومی در‌ دسترس بوده و با یک تراکنش بیت‌کوین می‌توانید بسته را دریافت کنید. آن‌ها در فضای باز عمل می‌کنند، آن‌ها رد خود را پاک می‌کنند. ما هنوز متوجه نشده‌ایم که چه کسانی این بدافزار را ایجاد و توزیع می‌کنند، اما به صورت فروشی و تحت مجوز مبتنی بر اشتراک در دسترس بوده و سازنده به سامانه‌ی آن‌ها وصل می‌شود. این دلیل اصلی از کار افتادن این شبکه در فروردین بود؛ ثبت‌کننده‌ی آن‌ها بعد از انتشار گزارش‌های عمومی در این زمینه، شبکه را تعطیل کرد. آن‌ها دامنه را حذف کردند و همه‌ی نسخه‌های آن بسته‌ی نرم‌‌افزاری را که به آن نقطه مربوط بود را لغو کردند.»

نسخه‌ای که روی تلفن نیسمن بود بدافزاری برای آسیب‌رسانی به یک ماشین ویندوز بود؛ AlienSpy در درجه‌ی اول تهدیدی برای ویندوز است و از بستر‌های اندروید، لینوکس و Mac OS X پشتیبانی نمی‌کند. هنوز مشخص نیست که آیا نیسمن رایانامه‌ی فیشینگ را روی لپ‌تاپ خود بازکرده است یا نه.

JSocket هنوز مبتنی بر جاوا است و با یک برنامه‌ی رمزگذاری و کلید جدید به‌روزرسانی شده است که بازکردن بسته و تحلیل آن را مشکل می‌کند.

JSocket همچنین در صورتی که یک سرویس‌گیرنده‌ی جاوا روی ماشین قربانی وجود نداشته باشد، سعی می‌کند که آن را نصب کند.

«عمل‌کرد این RAT قابل مقایسه با سایر RAT‌ها است ولی سازمان‌های بسیاری به‌طور طبیعی از ورود محتوای قابل اجرا، پرونده‌های PE ویندوز، به محیط جلوگیری می‌کنند. اما به پرونده‌های جاوا تا این حد توجه نمی‌شود. پرونده‌های jar که به محیط وارد می‌شوند با این دقت بررسی نمی‌شوند.»

تروجان های از راه دور و دسترسی انها به سیستم ها

پیش‌تر در این ماه، سازمان مدیریت کارمندان آمریکا گزارش داده ‌بود که ۵/۲۱ میلیون شماره‌ی تأمین اجتماعی از شهروندان آمریکایی به همراه سایر اطلاعات حساس آن‌‌ها در جریان دومین رخنه‌ی اطلاعاتی در پایگاه داده‌ی OPM به سرقت رفته ‌است. در پی انتشار این خبر، کاترین آرکولتا، مدیر OPM استعفا داد. گفته می‌شود تروجان دسترسی از راه دور (RAT) سکولا۱ با این حمله مرتبط بوده‌ است.

RAT‌ها بسیار رایج بوده و طراحی شده‌اند تا به حمله‌کننده کمک کنند تا کنترل کامل سامانه‌ی‌ قربانی را به دست بگیرند. آن‌ها می‌توانند برای سرقت اطلاعات حساس، جاسوسی از قربانیان، و کنترل رایانه‌های آلوده از راه‌ دور به کار روند.

حملات RAT عموماً در قالب اسپیرفیشینگ۲ و یا مهندسی اجتماعی۳ صورت می‌گیرند. بیشتر آن‌ها در قالب کدهای باینری‌ هستند که در مراحل بعدی اجرای بدافزار ظاهر می‌شوند.

اگرچه برخی اوقات، RAT‌ها ابزار اصلی حمله‌کنندگان در حملات سایبری محسوب می‌شوند، تشخیص و ردیابی آن‌ها به دلایل زیر کماکان مشکل است:

• آن‌ها پورت‌های قانونی را روی ماشین‌های آلوده باز می‌کنند. به دلیل این‌که این کار معمول است، از نظر محصولات امنیتی به عنوان اشکال شناسایی نمی‌شود.
• آن‌ها از ابزارهای مدیریت از راه دور تجاری و قانونی تقلید می‌کنند.
• آن‌ها از روش‌هایی استفاده می‌کنند که بدافزارهای رایج انجام نمی‌دهند.

 

در زیربه طور مختصر، به تعدادی از RATهای رایج اشاره شده‌است:

 

RAT۱

گفته می‌شود Sakula با حمله‌ی OPM اخیر در ارتباط بوده‌ است. این بدافزار امضا‌شده۴ است، ظاهرش همانند نرم‌افزارهای عادی است، و به حمله‌کننده توانایی مدیریت از راه دور سامانه‌‌ی قربانی را می‌دهد. Sakula به هنگام ارتباط با کارگزار کنترل و فرمان‌دهی (C&C) درخواست‌‌های HTTP را آغاز می‌کند. این بدافزار برای عبور از تصدیق هویت از ابزاری با نام mimkatz استفاده می‌کند که مقدار درهم۵ را به جای متن رمزگذاری‌نشده ارسال می‌کند.

 

RAT۲

گفته می‌شود KjW۰rm با رخنه‌ی اطلاعاتی اخیر ایستگاه‌های تلویزیونی در فرانسه مرتبط است. KjW۰rm با VBS نوشته ‌شده ‌است که تشخیص آن را سخت‌تر هم می‌کند. این تروجان راه ‌گریز امنیتی ایجاد می‌کند که به حمله‌کننده امکان می‌دهد کنترل ماشین را به دست گرفته، اطلاعات را استخراج کرده و آن‌ها را به کارگزار C&C بفرستد.

 

RAT۳

Havex سامانه‌‌‌های کنترل صنعتی (ICS) را هدف قرار می‌دهد. این RAT بسیار پیشرفته بوده و کنترل کامل ماشین قربانی را برای حمله‌کننده فراهم می‌کند. Havex انواع مختلفی دارد. ارتباطات با کارگزار کنترل و فرمان‌دهی‌اش را از طریق HTTP و HTTPS برقرار می‌کند. اثر باقی‌مانده از این بدافزار در ماشین قربانی حداقل مقدار ممکن است.

 

RAT۴

Agent.BTZ/ComRat یکی از مشهورترین RAT‌های موجود است. گفته می‌شود این RAT توسط دولت روسیه و به منظور هدف قراردادن شبکه‌های ICS  در اروپا تهیه شده‌ است. Agent.BTZ  (که با نام Uroburos نیز شناخته می‌شود) از طریق حملات فیشینگ انتشار می‌یابد. به منظور جلوگیری از تحلیل، از رمزنگاری پیشرفته استفاده می‌کند و اطلاعات حساس استخراج‌شده را به کارگزار C&Cاش می‌فرستد.

 

RAT۵

Dark Comet نیز مدیریت جامع روی دستگاه آلوده را امکان‌پذیر می‌کند. اولین‌بار در سال ۲۰۱۱ شناخته شد و هنوز هم هزاران رایانه را آلوده می‌کند. Dark Comet از Crypter برای مخفی‌شدن از ابزارهای ضدبدافزار استفاده می‌کند و کارهای مدیریتی مختلفی را انجام می‌دهد، از جمله: غیرفعال کردن مدیریت وظیفه۶، دیوار آتش و UAC‌ در ویندوز.

 

RAT۶

AlienSpy سامانه‌‌های ‌عامل OS X  اپل را هدف قرار می‌دهد. این سامانه‌‌‌ی عامل تنها از روش‌های سنتی محافظت مانند ضدبدافزار استفاده می‌کند. AlienSpy اطلاعات سامانه‌ را جمع آوری کرده، وب‌کم را فعال کرده،  ارتباطات امن با کارگزار C&C برقرار کرده، و کنترل کامل را روی سامانه‌ی قربانی فراهم می‌کند. این RAT هم‌چنین از روش‌های ضدتحلیل مانند تشخیص حضور ماشین‌های مجازی استفاده می‌کند.

 

RAT۷

Heseber BOT به عنوان بخشی از کارکردش، رایانش شبکه‌ی مجازی (VNC) را پیاده‌سازی می‌کند و از آن‌جا که VNC یک ابزار مدیریت از راه دور قانونی است، این امر مانع از شناسایی آن توسط ضدبدافزار می‌شود. Hesber از VNC برای انتقال پرونده‌ها و در اختیار گرفتن کنترل سامانه‌‌ی قربانی استفاده می‌کند.

 

شناسایی RATها کار بسیار دشواری است چرا که آن‌ها شبیهِ نرم‌افزارهای مدیریت از راه دور مجاز عمل می‌کنند. به همین دلیل روش‌های سنتی محافظت که مبتنی بر امضاهای ایستا هستند در شناسایی انواع RAT‌ها ناتوان‌‌اند. روش کارآمد تشخیصRAT ها نظارت بر فرآیند‌های سامانه‌ی‌است تا فعالیت بدافزارها ردیابی شود.

 

تروجان ها چه شکی هستند و چه طوری باهاشون مقابله کنیم....

تروجان ها چه شکی هستند و چه طوری باهاشون مقابله کنیم....

عملکرد اسب تروا ممکن است هر گونه فعالیت نامطلوب برای کاربر باشد؛ مانند تخریب اطلاعات کاربر یا ایجاد روشی برای عبور از سد نظارتهای معمول برای دسترس غیر مجاز به رایانه آلوده. هکر ها با ایجاد روشهای دسترس غیر مجاز به سامانه های رایانه ای قدرتمند و متصل به شبکه هایی با پهنای باند وسیع با تروجانها ناشناس می مانند.

اغلب برنامه های هک( مانند password sender ها) آلوده به تروجانهایی است که هکرها برای نفوذ به سامانه های دیگر و استفاده از آن سامانه برای حمله به سایر سامانه ها طراحی کرده اند. در یک کلام، هکر خوب و حرفه ای برای هک سایت باید رمز عبور و کد کاربری سایت را بداند. اسب تراوا را برای رایانه ای که سایت یا وبلاگ را بروز می کند می فرستد و با انجام شدن جاسوسی این کد و رمز عبور را می یابد و حال او با تغییر رمز عبور صاحب تمام و کمال و شش دانگ سایت شماست!!

 تروجان میتواند خود را به شکلهای: عکس و یک فایل صوتی و یک فایل نقاشی و یک فایل Setup و....

پس میبینید تروجان یک شکل مخصوص ندارد .

چگونه متوجه شویم که در کامپیوتر ما تروجان فعال است:

1- در صورت از کار افتادن Task Manager و Msconfig

2- از کار افتادن ویروس کش

3- تغییر در شکل توپی پسورد در مسنجر و یا save نشدن آن

4- در صورت دیدن علائم مشکوک در مسنجر(باز و بسته شدن یک پنجره pm

5- فعال بودن نرم افزار های مشکوک مثل Task Manager و Msconfig

6- خوانده شدن ایمیل های که ما آنها را قبلا نخوانده ایم در ایمیلمان

ولی ما برای مقابله با این نوع جاسوسها چه کارهایی باید انجام دهیم؟

1- داشتن یک ویروس کش قوی و به روز

2- داشتن یک فایروال خوب یا فعال کردن فایروال خود ویندوز در مقالات بعدی این مبحث پرداخته میشود

3- این را بدانید همیشه پسوند عکس (jpg,gif,.. میباشد و هیچ وقت یک عکس دارای پسوند exeنمیباشد و همیشه اگر فایل(عکس,نوشته و...) را گرفتید که داری پسوند مشکوک بود هرگز باز نکنید

4- همیشه Task Manager و Msconfig خود را چک کنید اگر چیزی مشکوک دیدید مثل sender.exeبروید و در درایو ویندوز پوشه windows/system۳۲دنباله چنین فایلی باشید که مشکوک بود و آن را پاک کنید

5- هر گز از کسی که شناخت کافی ندارید فایلی دریافت نکنید

6- سعی کنید اگر میخواهید نرم افزار دانلود کنید از سایتهای معتبر دانلود کنید.

7- در صورت مشکوک شدن به وجود تروجان سریع اطلاعات خود را عوض کنید(پسورد ID ,پسورد ویندوز و..

8- سعی کنید ویندوز خود را عوض کنید و درایو ویندوز قبلی را فرمت کنید.
9-در کنار ویروس کش های قوی از Anti Spyware و Anti Trojan های معروف و قدرتمند هم استفاده کنید.
10- های ماهیانه ماکروسافت رو حتما در یافت کنید (اونهایی رو هم که ماله ماههای پیش هستن و ندراین رو هم در صورت امکان بگیرین)

تروجان ها چه طور وارد سیستم میشوندو امکانات آنها چیست...

روش های وارد شدن تروجان ها به سیستم ها:

1-در حال چت کردن هستید فرد مقابل برایتان میخواهد عکس خودش یا نرم افزاری را سند کند .شما آن را میگیرید ولی آیا این فایل سالم است.از کجا مطمئن هستید که حاوی تروجان نیست؟

2- در حال گشت در یک سایت آموزش هک هستید میخواهید یک نرم افزار دانلود کنید از کجا مطمئن هستید که این نرم افزار سالم است؟

3- برایتان یک ایمیل می‌آید.ایمیلی که فرستنده آن نامشخص است ایا ایمیل سالم است؟

4- یک فلاپی دیسکت یا سی دی به شما داده می شود در درایو می گذارید تا از محتویات آن بهره ببرید با انجام نرم افزار های اجرا خودکار تروجان وارد قلب کامپیوتر شما می شود و کامپیوتر شما قربانی و آلوده می گردد
5-استفادا از فلش ها که شما را قربانی هدف قرار می دهد.

و اما امکانات یک تروجان امروزی چیست؟ تروجانهای امروزی میتوانم بگویم دیگر رشد کامل خود را تا حد زیادی طی نموده است امکان دارد با ورود یک تروجان به کامپیوتر شما:
1- فرستاده شدن پسورد ID مخصوصا ID و پسورد مسنجر شما برای هکر(به ایمیل هکر یا ایدی یا یک ftp مشخص شده توسط هک)
2- فرستاده شدن اکانت اینترنت شما برای هکر
3- فرستاده شدن نام کامپیوتر شما همراه با پسورد ویندوز برای هکر
4- محدود کردن کارهای شما با کامپیوتر(قفل شدن Task Manager یا Ms config یا Registry و...) کامپیوتر شما توسط هکر
5- از کار انداختن ویروس کش و فایروال کامپیوتر شما
6- در اختیار داشتن هارد شما توسط هکر(پاک کردن فایل از کامپیوتر شما و یا اضافه کردن فایل توسط هکر)
بله همه اینها که خواندید امکان دارد.فقط کافیست یک تروجان روی کامپیوتر شما توسط هکر فعال شود.

اسب تراوا

تروجان چیست چرا به ان اسب تراوا می گویند؟

 

 

با گسترش فرهنگ استفاده از کامپیوتر و راهیابی آن به ادارات، منازل، این ابزار از حالت آکادمیک و تحقیقاتی بدر آمد و مبدل به پاره ای از نیازهای معمول زندگی شد. یکی از دستاوردهای این پیشرفت، ظهور شبکه اینترنت است که به سرعت در کشورها توسعه یافته و به یک پدیده اجتماعی مبدل گشته است.

اجتماع بزرگ کاربران اینترنت در سرتاسر دنیا از هر منطقه و نژادی که باشند شامل افراد خوب و بد خواهند بود، عده ای در جهت کسب منافع برای خود و دیگران تلاش می کنند و عده ای در جهت جذب منابع دیگران برای خود. با توجه به نو پا بودن اینترنت نمی توان انتظار داشت که یک فرهنگ صحیح و غنی بر آن حاکم شده باشد و لذا احتمال سرقت اطلاعات و یا دستکاری و انهدام آنها بنا به انگیزه های ناسالم، اهداف سیاسی، جذب نامشروع ثروت می رود.
 

یک Trojan Horse چیست؟



می توان تعاریف زیر را مطرح کرد:



یک برنامه ظاهراً بدون نویسنده یا به عبارتی با یک نویسنده غیر مشخص که اعمال ناشناخته و حتی ناخواسته از طرف کاربر انجام دهد.



یک برنامه قانونی و معروف که داخلش دگرگون شده است، بطوری که کدهای ناشناخته ای به آن اضافه گردیده و اعمال شناخته نشده ای بطور ناخواسته از طرف کاربر انجام می دهند.



هر برنامه ای که ظاهر مطلوب پسندیده ای به همراه برخی از اعمال مورد نیاز داشته باشد بطوریکه کدهای محقق شده ای که از نظر کاربر مخفی است درون آن موجود می باشد. یک سری اعمال نا شناخته و غیر منتظره ای که بطور حتم با نظر کاربر نبوده است را انجام می دهد.

اسب تراوا نامی است که از یک افسانه قدیمی گرفته شده که درباره چگونگی نفوذ یونانیان بر محل دشمنان خود از طریق ساختن یک اسب بزرگ و هدیه دادن آن به دشمن که نیروهایشان در داخل مجسمه اسب قرارگرفته بودند. هنگام شب سربازان یونانی اسب را شکستند و به دشمنانشان حمله نمودند و بطور کامل آنها غافلگیر کردند و در جنگ فاتح میدان شدند.

تروجان ها چگونه کار می کنند؟

تروجان ها به دو قسمت تقسیم می شوند. یک قسمت Client (خدمات گیرنده) و دیگری Server (خدمات دهنده). وقتی قربانی ندانسته قسمت Server را روی سیستم خودش اجرا می کند. حمله کننده بوسیله قسمت Client با Server که روی کامپیوتر قربانی است متصل می شود و از آن پس می تواند کنترل سیستم قربانی را در دست بگیرد . پروتکل TCP/IP که استاندارد معمول برای برقراری ارتباطات است به این تروجان آلوده میشود و تروجان از طریق آن کارش را انجام می دهد. البته لازم به ذکر است که برخی اعمال تروجانها نیز از پروتکل UDP استفاده می کنند. معمولاً زمانی که Server روی کامپیوتر قربانی اجرا می شود. خود را در جایی از حافظه مخفی می کند تا پیدا کردن یا تشخیص آن مشکل شود و به برخی درگاههای خاص (Port) گوش می دهد تا ببیند درخواست ارتباطی به سیستم از طرف حمله کننده آمده است یا نه، از طرفی رجیستری را نیز به گونه ای ویرایش می کند که برخی از اعمال بطور خودکار روی سیستم شروع به کار کنند.

برای نفوذ کننده لازم است که IP قربانی را بداند برای اینکه بتواند به سیستم او متصل شود. اکثر قریب به اتفاق تروجانها بصورتی برنامه ریزی شده اند که IP قربانی را برای حمله کننده ارسال می کنند همانند سیستم پیغام گذار از طریق ICQ یا IRS . این زمانی اتفاق می افتد که قربانی IP دینامیک داشته باشد بدین معنی که هر زمان به اینترنت متصل میشود و یک IP متفاوت از قبل داشته باشد که اغلب سیستم هایی که به روش dial- up به اینترنت متصل می شوند از این قانون پیروی می کنند. کاربران ASDL معمولا IP های ثابت دارند به همین علت IP آلوده شده همواره برای حمله کننده شناخته شده است و این حالت باعث تسهیل درامر اتصال به سیستم قربانی می گردد.

اغلب تروجانها از روش شروع اتوماتیک استفاده می کنند. بصورتی که اگر شما کامپیوترتان را خاموش کنید آنها قادر خواهند که فعالیتهایشان را مجددا ً آغاز کنند و دسترسی لازم به حمله کننده را روی سیستم شما بدهند و ساختن تروجانها با قابلیت شروع روشهایی هستند که همیشه مورد استفاده قرار می گیرند. یکی از این روشها، محلق کردن تروجان به یک فایل اجرایی که کاربرد زیادی دارد می باشد، به عبارت دیگر محلق نمودن تروجان به یک برنامه پرکاربرد ، موجب عملی شدن تفکرات حمله کننده خواهد شد. روشهای شناخته شده نیز همانند دستکاری فایلهای ریجستری ویندوز می تواند به عملی شدن افکار حمله کننده بیانجامد. فایلهای سیستمی ویندوز قرار دارند که می توانند بهترین انتخابهای حمله کنندگان باشند.

به جهت اینکه دوستان بتوانند سیستم خود را در برابر این حمله ها محافظت نمایند، قسمتهای مختلف ویندوز که می توان از آن استفاده نمود را در اینجا بررسی می کنیم.



پوشه شروع خودکار



پوشه ای که بصورت خودکار در شروع کار ویندوز فراخوانی می شود و فایلهای داخل آن بصورت اتوماتیک اجرا می شوند در آدرس زیر قرار دارند.

C: windows start Menu programs startup



البته فرض برای این است که سیستم عامل ویندوز در درایو C و در شاخه windows نصب شده باشد.

فایل Win.ini

فرمت شروع خودکار در این فایل بصورت زیر می باشد :



Load = Trojan.exe



Run = Trojan.exe



فایل System.ini



فرمت بکارگیری تروجان در این فایل سیستمی بصورت زیر است:



Shell = explorer.exe Trojan.exe



که باعث می شود بعد از هر بار اجرای Explorer فایل Trojan.exe اجرا شود.



فایل Wininit.ini



این فایل توسط Setup.exe برنامه های نصب شوند مورد استفاده قرار می گیرد.



بدین صورت که یک بار اجرا شود، قابلیت حذف خودکار را نیز دارد که برای تروجان ها بسیار سهل می باشد.



Winstart.bat



این فایل دسته ای هم در ابتدای شروع به کار ویندوز فراخوانی شده و فرامین داخل آن به ترتیب اجرای می شوند که تروجان می تواند با افزودن خط زیر خود را در حافظه بار کند.

@ Trojan.exe

فایل Autoexec.bat



این فایل دسته ای هم از فایلهای معروف فراخوانی شده در ابتدای کار سیستم عامل می باشد که می توان با دستکاری و اضافه نمودن خط زیر بر آن تروجان مورد نظر را در سیستم قربانی اجرا نمود:



C: Trojan.exe



فایل Config.sys



این فایل نیز از معروفترین فایلهای پیکر بندی سیستم است و می تواند در امر اجرای تروجان کاربرد داشته باشد.

---

نام تروجان چه شد که شد اسب تراوا:

دلیل نام گذاری این کدهای مخرب به نام تروجان از سابقه تاریخی داستان حمله یونانیان برمی گردد یادتان باشد در روزگارانی یونانیان در برابر فتح یه قلعه ماهها محدود ماندند با یک حربه وارد قلعه شدند چطوری ، یک مجسمه اسب بزرگ درست کردند و داخل آنان سربازان یونانی مستقرشدند ، دشمن بادیدن چنین مجسمه بزرگ اسب چوبی را وارد شهر کرد شب هنگام و درهنگام خفتن دشمن سربازان از قلعه خارج شدند و شهر فتح شد.
در مورد تروجان هم همین حادثه رخ می دهد شما فایل مخرب را وارد سیستمتان می کنید، کدهای مخرب مانند سربازان یونانی عمل می کنند و زمانی که شما با خیال آسوده با کامپیوتر کار می کنید کل اطلاعات ریز و درشت کامپیوترتان را به ایمیل یا کامپیوتر نفوذگر ارسال می کنند و بعبارتی شما تحت چنگال خون آشام نفوذگر خود هستید ، نفوذگری که می تواند حتی کامپیوتر شما را فرمت و یا کل اطلاعاتتان را کپی یا پاک کند فرض کنید عکس خانوادگی و ... در دست یک نفوذگر بیافتد تکلیف مشخص است. نابودثی سیستم و از دست دادن اطلاعات شخصی تان .....