سه شنبه, ۲۹ دی ۱۳۹۴، ۰۹:۴۱ ق.ظ
انواع تروجان ها و عملکرد انها
تروجانهای Command Shell
تروجانهای Command Shell، از راه دور کنترل Command Shell را بر روی سیستم قربانی بدست میگیرند. تروجان سرور بر روی سیستم قربانی نصب میشد که وظیفه اولش باز کردن پورتها برای اتصال نفوذگر به سیستم است. کلاینت بر روی سیستم نفوذگر نصب میشود و باعث اتصال Command Shell ای نفوذگر به سیستم قربانی میشود.
نفوذگر با استفاده از Netcat، میتواند روی سیستم قربانی یک پورت خاص و یا یک backdoor را ایجاد کند که به او اجازه میدهد به DOS shell هدف، telnet بزند. با یک کامند ساده مثل C:\>nc –l –p 5000 –t –e cmd.exe، نفوذگر میتواند پورت 5000 را برای نفوذ اختصاص دهد. با استفاده از Netcat، کاربر میتواند ارتباط ورودی و خروجی TCP یا UDP را از به هر پورتی برای خود ایجاد کند. این کار چک کامل DNS Forward Reverse را برای کاربر ایجاد میکند. بعلاوه این قابلیت هم در اختیار نفوذگر یا کاربر قرار میگیرد که بتواند از هر سورس لوکالی استفاده کند و قابلیتهای پیش فرض Port-Scanning در دسترسش قرار گیرد.در سادهترین استفاده از Netcat یعنی nc host port یک ارتباط TCP را برای اختصاص دادن پورت بر روی هدف ایجاد میکند. سپس ورودی استاندارد بسوی هدف فرستاده میشود و هرچیزی که بتواند از طریق ارتباط برگشت داده شود، بسوی خروجی ارتباط ارسال میشود.این عمل تا زمانی که یکطرف ارتباط خاموش شود، بصورت پیوسته ادامه پیدا میکند. همچنین Netcat میتواند به عنوان یک سرور با قابلیت شنود ارتباطات ورودی بر روی پورتهای دلخواه عمل کند.
قابلیت و خاصیت اصلی این نوع تروجانها گرافیکی بودن ساخت آنهاست که توسط نرمافزارهای مختلفی صورت میپذیرد. از جمله این نرمافزارهای میتوان به MoSucker، Jumper و Biodox اشاره کرد.
اکثر کاربران علاقه زیادی به آپدیت و آپگرید سیستم عامل خود دارند اما این قضیه در مورد نرمافزارهای مرتبا انجام نمیشود. نفوذگران از این فرصت استفاده میکنند تا Document Trojan ها را نصب کنند. نفوذگرها معمولا یک تروجان را در قالب یک پوشه جاساز شده کرده و آن را بصورت یک فایل پیوست در ایمیلها، پوشههای اداری، صفحات وب یا فایلهای مالتی مدیا مثل فلش و PDF انتقال میدهند. هنگامی که کاربری پوشه حاوی تروجان جاساز شده را باز میکند، تروجان بر روی سیستم هدف نصب میشود.
این نوع تروجانها از طریق میلهای گروهی و گسترده پخش میشود. ویروسهای تروجان از طریق پیوست ایمیل ارسال میشود. هنگامی که کاربر ایمیل را باز میکند، ویروس وارد سیستم شده و پس از پخش شدن، سبب ایجاد خسارتهای زیادی به اطلاعات موجود درسیستم میشود.همیشه توصیه شده است که کاربران ایمیلهایی که از طرف فرستندههای ناشناس دریافت شده را باز نکنند. گاهی اوقات تروجانهای ایمیلی ممکن است بطور اتوماتیک تولید میل کنند و به تمام آدرسهای موجود در لیست مخاطبان سیستم قربانی ارسال نماید. بنابراین براحتی توانسته است خود را در بین آدرسهای مختلف، پخش کند
این تروجانها از طریق نرمافزارهای مختلفی قابل تولید هستند که از جمله آنها میتوان به RemoteByMail اشاره نمود.
این نوع تروجانها هنگامی که درکل سیستمی پخش میشوند، میتوانند تمام محتوای موجود در دیتابیس را خراب کنند و یا تغیر دهند. این تروجانهای بدریخت خطرناکتر هم میشوند اگر هدف نفوذگر یک وبسایت باشد؛ آنها بصورت سختافزاری تمام فرمت HTML را تغیر میدهند و نتیجه آن تغیر فرمت محتوای موجود در وبسایت است.
Restorator یکی از نرمافزارهایی است که Defacemen Trojan تولد میکند.
یک باتنت مجموعه ای از روبات های نرمافزاری ( Worms، Trojan Horses و Backdoors) است که بطور اتوماتیک اجرا می شوند. بات نت مجموعه ای از سیستمهای بخطر افتاده هستند که تحت فرمان های مرسوم و ساختاری کنترلی بطور خودکار برنامههای خاصی را اجرا میکنند. تولید کننده بات نت (نفوذگر) میتواند این گروه از سیستمهای بخطر افتاده را از راه دور کنترل کند. این سیستمها که به سیستمهای زامبی معروف هستند، توسط تروجانها، Wormها آلوده شدند.هدف کنترل کننده بات نت، شبکه های آموزشی، دولتی، نظامی و دیگر شبکه ها می باشد. با کمک بات نتها حملاتی مثل DDoS براحتی انجام میپذیرد. این نوع تروجانها بر مبنای دو ساختار کار می کنند:
چهار نوع توپولوژی که باتنت از آن استفاده میکند:
یک Proxy Server تروجان، نوعی از تروجان است که سیستم قربانی را طوری تنظیم میکند که به عنوان یک پروکسی سرور عمل کند. هنگامی که این تروجان سیستم هدف را آلوده کرد، بصورت مخفیانه سیستم را تبدیل به یک پروکسی سرور میکند. نفوذگر از این حربه برای اجرای فعالیتهای مجرمانه مانند سرقت اطلاعات کارت بانکی و امثال آن استفاده میکند و حتی میتواند از طریق آن حملات دیگری را به اهداف مختلف ترتیب دهد.
یک FTP تروجان نوعی از تروجان است که طوری طراحی شده است تا پورت 21 را باز کند و سیستم هدف را برای نفوذگر قابل دسترس کند. این تروجان یک FTP سرور را بر روی سیستم هدف نصب کرده و به نفوذگر اجازه میدهد تا به اطلاعات حساس دسترسی پیدا کند و فایلها و برنامههای موجود در سیستم هدف را با استفاده از پورت 21 و پروتکل FTP، که قبلا باز شده است، منتقل کند.
این نوع تروجان به نفوذگر اجازه میدهد که از سیستم هدف به عنوان یک VNC سرور استفاده کند. این تروجانها بعد از آنکه اجرایی شدند، توسط آنتی ویروس قابل شناسایی نیستند چرا که VNC سرور خود را به عنوان یک مولفه سودمند نشان میدهد.
تروجانهای HTTP/HTTPs، میتوانند از هر فایروالی رد شوند و خلاف جهتی که یک تونل HTTP طی میکند، عمل کند. آنها از سختافزارهای وب- بیس و پورت 80 برای عملکرد خود استفاده میکنند.
SHTTP یک HTTP سرور کوچک است که براحتی میتواند در کنار هر برنامهای خود را جاساز کند. SHTP میتواند براحتی خود را در قالب یک فایل Chess.exe کادوپیچ کند و یا بصورت مخفیانه سیستم را تبدیل به یک وب سرور نماید.
تروجانهای Command Shell، از راه دور کنترل Command Shell را بر روی سیستم قربانی بدست میگیرند. تروجان سرور بر روی سیستم قربانی نصب میشد که وظیفه اولش باز کردن پورتها برای اتصال نفوذگر به سیستم است. کلاینت بر روی سیستم نفوذگر نصب میشود و باعث اتصال Command Shell ای نفوذگر به سیستم قربانی میشود.
Netcat چیست ؟
نفوذگر با استفاده از Netcat، میتواند روی سیستم قربانی یک پورت خاص و یا یک backdoor را ایجاد کند که به او اجازه میدهد به DOS shell هدف، telnet بزند. با یک کامند ساده مثل C:\>nc –l –p 5000 –t –e cmd.exe، نفوذگر میتواند پورت 5000 را برای نفوذ اختصاص دهد. با استفاده از Netcat، کاربر میتواند ارتباط ورودی و خروجی TCP یا UDP را از به هر پورتی برای خود ایجاد کند. این کار چک کامل DNS Forward Reverse را برای کاربر ایجاد میکند. بعلاوه این قابلیت هم در اختیار نفوذگر یا کاربر قرار میگیرد که بتواند از هر سورس لوکالی استفاده کند و قابلیتهای پیش فرض Port-Scanning در دسترسش قرار گیرد.در سادهترین استفاده از Netcat یعنی nc host port یک ارتباط TCP را برای اختصاص دادن پورت بر روی هدف ایجاد میکند. سپس ورودی استاندارد بسوی هدف فرستاده میشود و هرچیزی که بتواند از طریق ارتباط برگشت داده شود، بسوی خروجی ارتباط ارسال میشود.این عمل تا زمانی که یکطرف ارتباط خاموش شود، بصورت پیوسته ادامه پیدا میکند. همچنین Netcat میتواند به عنوان یک سرور با قابلیت شنود ارتباطات ورودی بر روی پورتهای دلخواه عمل کند.
GUI Trojans ( تروجانهای گرافیکی)
قابلیت و خاصیت اصلی این نوع تروجانها گرافیکی بودن ساخت آنهاست که توسط نرمافزارهای مختلفی صورت میپذیرد. از جمله این نرمافزارهای میتوان به MoSucker، Jumper و Biodox اشاره کرد.
Document Trojans یا تروجان هایی که مستندات متصل می شوند
اکثر کاربران علاقه زیادی به آپدیت و آپگرید سیستم عامل خود دارند اما این قضیه در مورد نرمافزارهای مرتبا انجام نمیشود. نفوذگران از این فرصت استفاده میکنند تا Document Trojan ها را نصب کنند. نفوذگرها معمولا یک تروجان را در قالب یک پوشه جاساز شده کرده و آن را بصورت یک فایل پیوست در ایمیلها، پوشههای اداری، صفحات وب یا فایلهای مالتی مدیا مثل فلش و PDF انتقال میدهند. هنگامی که کاربری پوشه حاوی تروجان جاساز شده را باز میکند، تروجان بر روی سیستم هدف نصب میشود.
Emails Trojan یا تروجان های ایمیلی
------این نوع تروجانها از طریق میلهای گروهی و گسترده پخش میشود. ویروسهای تروجان از طریق پیوست ایمیل ارسال میشود. هنگامی که کاربر ایمیل را باز میکند، ویروس وارد سیستم شده و پس از پخش شدن، سبب ایجاد خسارتهای زیادی به اطلاعات موجود درسیستم میشود.همیشه توصیه شده است که کاربران ایمیلهایی که از طرف فرستندههای ناشناس دریافت شده را باز نکنند. گاهی اوقات تروجانهای ایمیلی ممکن است بطور اتوماتیک تولید میل کنند و به تمام آدرسهای موجود در لیست مخاطبان سیستم قربانی ارسال نماید. بنابراین براحتی توانسته است خود را در بین آدرسهای مختلف، پخش کند
این تروجانها از طریق نرمافزارهای مختلفی قابل تولید هستند که از جمله آنها میتوان به RemoteByMail اشاره نمود.
Defacement Trojans تروجان های تغییر ظاهر
این نوع تروجانها هنگامی که درکل سیستمی پخش میشوند، میتوانند تمام محتوای موجود در دیتابیس را خراب کنند و یا تغیر دهند. این تروجانهای بدریخت خطرناکتر هم میشوند اگر هدف نفوذگر یک وبسایت باشد؛ آنها بصورت سختافزاری تمام فرمت HTML را تغیر میدهند و نتیجه آن تغیر فرمت محتوای موجود در وبسایت است.
Restorator یکی از نرمافزارهایی است که Defacemen Trojan تولد میکند.
Botnet Trojans تروجان های بات نت
یک باتنت مجموعه ای از روبات های نرمافزاری ( Worms، Trojan Horses و Backdoors) است که بطور اتوماتیک اجرا می شوند. بات نت مجموعه ای از سیستمهای بخطر افتاده هستند که تحت فرمان های مرسوم و ساختاری کنترلی بطور خودکار برنامههای خاصی را اجرا میکنند. تولید کننده بات نت (نفوذگر) میتواند این گروه از سیستمهای بخطر افتاده را از راه دور کنترل کند. این سیستمها که به سیستمهای زامبی معروف هستند، توسط تروجانها، Wormها آلوده شدند.هدف کنترل کننده بات نت، شبکه های آموزشی، دولتی، نظامی و دیگر شبکه ها می باشد. با کمک بات نتها حملاتی مثل DDoS براحتی انجام میپذیرد. این نوع تروجانها بر مبنای دو ساختار کار می کنند:
- Botnet
- Botmaster
چهار نوع توپولوژی که باتنت از آن استفاده میکند:
- سلسله مراتبی ( Hierarchical)
- سرورهای مختلف ( Multi Server)
- ستارهای ( Star)
- رندوم ( Mesh)
Proxy Server Trojans یا تروجان های پروکسی سرور
یک Proxy Server تروجان، نوعی از تروجان است که سیستم قربانی را طوری تنظیم میکند که به عنوان یک پروکسی سرور عمل کند. هنگامی که این تروجان سیستم هدف را آلوده کرد، بصورت مخفیانه سیستم را تبدیل به یک پروکسی سرور میکند. نفوذگر از این حربه برای اجرای فعالیتهای مجرمانه مانند سرقت اطلاعات کارت بانکی و امثال آن استفاده میکند و حتی میتواند از طریق آن حملات دیگری را به اهداف مختلف ترتیب دهد.
FTP Trojans
یک FTP تروجان نوعی از تروجان است که طوری طراحی شده است تا پورت 21 را باز کند و سیستم هدف را برای نفوذگر قابل دسترس کند. این تروجان یک FTP سرور را بر روی سیستم هدف نصب کرده و به نفوذگر اجازه میدهد تا به اطلاعات حساس دسترسی پیدا کند و فایلها و برنامههای موجود در سیستم هدف را با استفاده از پورت 21 و پروتکل FTP، که قبلا باز شده است، منتقل کند.
VNC Trojans
این نوع تروجان به نفوذگر اجازه میدهد که از سیستم هدف به عنوان یک VNC سرور استفاده کند. این تروجانها بعد از آنکه اجرایی شدند، توسط آنتی ویروس قابل شناسایی نیستند چرا که VNC سرور خود را به عنوان یک مولفه سودمند نشان میدهد.
HTTP/HTTPS Trojans
تروجانهای HTTP/HTTPs، میتوانند از هر فایروالی رد شوند و خلاف جهتی که یک تونل HTTP طی میکند، عمل کند. آنها از سختافزارهای وب- بیس و پورت 80 برای عملکرد خود استفاده میکنند.
(Shttp Trojan – HTTPS (SSL
SHTTP یک HTTP سرور کوچک است که براحتی میتواند در کنار هر برنامهای خود را جاساز کند. SHTP میتواند براحتی خود را در قالب یک فایل Chess.exe کادوپیچ کند و یا بصورت مخفیانه سیستم را تبدیل به یک وب سرور نماید.
- سیستم هدف را با فایل Chess.exe آلوده میکند.
- SHTTP در پشت زمینه اجرا میشود و روی پورت 443 (SSL) شنود میکند.
- با استفاده از مرورگر به سیستم هدف وصل میشود: Http:/10.0.0.5:443
