سه شنبه, ۲۹ دی ۱۳۹۴، ۰۹:۴۹ ق.ظ
تروجان ها و عملکردشان بخش دوم
انواع تروجان ها و عملکرد آنها بخش دوم :
ICMP Tunneling چیست ؟
شناخت مفهوم ICMP Tunneling بسادگی از کانال اطلاعات دلخواه در بخش دادهها و با دو بسته ICMP-ECHO و ICMP-ECHOREPLY امکانپذیر است. به علت آن که دیوایسهای شبکه نمیتوانند محتوای ترافیک ICMP-ECHO را فیلتر کنند این مسیر یکی از راههای مورد علاقه و فعالیت نفوذگران و مهاجمان است.مهاجمان براحتی میتوانند ترافیک را عبور دهند، آنها را از بین ببرند و یا برگشت دهند. بسته های تروجان خودشان را بصورت ترافیک مرسوم ICMP-ECHOتغیر شکل میدهند و در نتیجه میتوانند هر اطلاعاتی را که مورد نیازشان است از طریق Tunnel مخفی نگه دارند.کانالهای مخفی (Covert) روشی هستند که مهاجم میتواند با استفاده از آنها اطلاعات را در قالب پروتکلی که قابل شناسایی نیست، پنهان کند. آنها با تکیه بر این روشها که به Tunneling معروف است، به یک پروتکل این اجازه را میدهند تا توسط پروتکل دیگری حمل شود. یک کانال مخفی (Covert) مانند رگی است که از طریق آن اطلاعات میتوانند عبور کنند و این روش عموما برای انتقال اطلاعات بصورت عمومی و مرسوم بکار نمیرود. بنابراین کانالهای مخفی نمیتوانند توسط روشها استاندارد امنیتی سیستم شناسایی شوند. هر فرآیند یا بخشی از دیتا میتواند یک کانال مخفی باشد. همین خصوصیات این روش را یکی از راههای انتقال اطلاعات برای هکرها کرده است.
Remote Access Trojans چیست ؟
این نوع از تروجانها کنترل کامل سیستم قربانی برای مهاجم ایجاد میکنند و به آنها این امکان را میدهند تا بتوانند بصورت ریموت به فایلها ، اطلاعات خصوصی، اطلاعات مالی و نظایر آن دسترسی پیدا کنند. این نوع تروجان مثل یک سرور عمل میکند و روی پورتی شروع به شنود میکند که به نظر نمیرسد مورد استفاده هکرهای اینترنتی واقع شود. بنابراین اگر سیستم هدف پشت فایوال باشد، شانس کمی برای هکر وجود خواهد داشت که از راه دور بتواند با تروجان خود که بر روی سیستم هدف واقع شده است ارتباط برقرار کند و عمل شنود را انجام دهد. اما اگر نفوذگر در همان شبکه و از پشت فایروال بتواند به سیستم هدف دسترسی داشته باشد، میتواند براحتی با تروجان خود ارتباط برقرار نماید. این تروجان دقیقا برای پایه دسترسی ریموت کار میکند. مهاجم کنترل کامل گرافیکی سیستم هدف را بدست میگیرد. این فرآیند شامل مراحل زیر است:
- سیستم قربانی با server.exe آلوده میشود و بستر ارتباط معکوس برای تروجان را فراهم میکند.
- سپس تروجان با پورت 80 سیستم مهاجم در ارتباط معکوس برقرار میکند.
- مهاجم کنترل کامل سیستم هدف را بدست خواهد گرفت.
برای نمونه میتوان به تروجانهای Back Orifice و Netbus اشاره کرد
E-banking Trojans چه هستند ؟
این تروجانها در نوع خود بسیار خطرناک هستند و پایه مهمترین حملات به تراکنشهای بانکی که بصورت آنلاین صورت میگیرند را تشکیل میدهند.این تروجان طبق روش های مرسوم با کلیک کاربر بر روی تبلیغات و یا پیوست ایمیل و روش های مشابه، برروی سیستم هدف نصب شده و هنگامی که قربانی به سایت بانک خود وصل میشود و یا تراکنش آنلاینی را انجام میدهد، اقدام به سرقت اطلاعات میکند.این تروجان طوری طراحی شده است تا بتواند حداقل و حداکثر سرقت اطلاعات را بسته به خواست مهاجم انجام دهد. یکی دیگر از راههای سوء استفاده این تروجان طراحی صفحه ای شبیه صفحه بانکی هدف است و تا زمانی که کاربر دقت کافی نداشته باشد و پارامترهای اصلی صفحه بانک را با صفحه اصلی مقایسه نکند، متوجه نخواهد شد که در واقع بر روی صفحه ای جعلی اقدام به وارد کردن اطلاعات خود کرده است.
مهاجم در ابتدا پیامی تبلیغاتی را آلوده کرده و آن را در وبسایتی قانونی منتشر میکند. هنگامی که قربانیان به وبسایت آلوده وارد میشوند، بطور خودکار به وبسایتی که بسته نفوذ ( Exploit kit) را روی سیستم قربانیان لود میکند، هدایت میشوند. بنابراین بسته نفوذ به مهاجم این امکان را میدهد که آنچه را که بر روی سیستم قربانیان لود ده است، کنترل کنترل کند و از آن برای برای نصب تروجان استفاده نماید. این بدافزار بسیار مبهم است و فقط توسط تعداد کمی از آنتی ویروس ها قابل شناسایی است. سیستم قربانی اکنون یک باتنت است و تروجان براحتی میتواند دستورالعمل ها را از/به سرور کنترل و دستور دریافت/ ارسال کند و تمام این اتفاقات بدون اطلاع کاربر در حال رخ دادن است. هنگامی که قربانی توسط سیستم الودهاش به اکانت بانکی خود وارد شد، تمام اطلاعات حساس که در وارد شدن به اکانت بانکی قربانی مورد نیاز است، به سرور کنترل و دستور ارسال میشود. هنگامی که کاربر از طریق سایت بانکی قصد انجام تراکنش مالی را داشته باشد، تمام اطلاعاتی را که کاربر در فرم مورد نظر پر میکند قبل از آنکه به وبسایت بانک برود، به سرور کنترل و فرمان فرستاده میشود. این سرور اطلاعات را آنالیز میکندو در فرصت مناسب مهاجم برای برداشت مبلغ دلخواه، از آنها استفاده خواهد کرد.همچنین تروجان از سرور کنترل و دستور، دستورالعملی را دریافت میکند که بر مبنای آن باید آخرین فرم مالی را که توسط سرور کنترل و دستور بروز شده است را به بانک ارسال کند تا بواسطه آن بتواند بحساب جعلی خودش مبلغ مورد نظر را برداشت کند. همچنین در ادامه تروجان باید پیغام موفقیت آمیز بودن یا موفق نبودن تراکنش را به سرور کنترل و دستور ارسال کند.
Banking Trojan Analysis
یک تروجان بانکی، برنامهای مخرب است که اطلاعات شخصی درباره کاربران و کلاینتهایی که از سیستم پرداخت الکترونیک و بانکداری آنلاین استفاده میکنند، بست میآورد. تحلیل تروجان بانکی شامل سه نوع زیر میشود:
- TanGabbler: یک Transaction Authentication Number(TAN) برای تائید اعتبار تراکنش بانکی آنلاین مورد استفاده قرار میگیرد که با استفاده از یک پسورد یکبار مصرف انجام میشود. تروجان بانکی مستقیما به سرویس آنلاین بانکی قربانی حمله میکند که بر مبنای TAN است. هنگامی که TAN وارد شد، تروجان بلافاصله عدد وارد شده را سرقت میکند و آن را با عدد رندوم دیگری که صحیح نیست تغیر میدهد و بجای کاربر به بانک ارسال میکند. یک مهاجم میتواند با در دست داشتن جزئیات ورود به سایت بانک سیستم هدف از TAN سرقت شده، سوء استفاده کافی را ببرد.
- HTML injection: این نوع از تروجان بخشهای مختلف سایتهای بانکی را کپی و تکثیر میکند و از آنها برای جمع آوری جزئیات اکانت قربانیان، شماره کارت اعتباری، سال تولد و غیره استفاده میکند. مهاجمان همچنین از این اطلاعات برای جعل هویت و بخطر انداختن اکانت قربانی استفاده میکنند.
- Form Grabber: این نوع روش پیشرفتهای برای جمع آوری اطلاعات از مرورگرهای مختلف اینترنتی است. این روش موثرترین راه برای جمع آوری ID ها، پسورد و دیگر اطلاعت حساس قربانی است.
Destructive Trojans یا ترجان های تخریب کننده
این تروجان که به M4sT3r معروف است، انحصارا برای تخریب یا پاک کردن فایلها از سیستم قربانی طراحی شده است. فایلها بطور خودکار توسط تروجان پاک میشوند، که این پروسه میتواند مستقیما توسط مهاجم کنترل شود و یا طبق یک برنامه از پیش تعین شده مثل یک بمب هوشمند برای انجام وظبفه خاصی در تاریخ و ساعت داده شده، عمل کند.این تروجان هنگامی که اجرا میشود، سیستم عامل را تخریب میکند. قربانی نمیتواند سیستم عامل را بوت کند. همچنین این تروجان تمام درایوهای لوکال و تحت شبکه سیستم را فرمت میکند.
Notification Trojans
این نوع از تروجانها آدرس آیپی سیستم قربانی را برای مهاجم ارسال میکنند. هر زمان که سیستم هدف شروع بکار کند، Notification Trojan مهاجم را آگاه میکند. برخی از Notificationها شامل:
- SIN Notification: مستقیما سرور مهاجم را مطلع میسازند.
- ICQ Notification: مهاجم را با استفاده از کانالهای ICQ مطلع میسازد.
- PHP Notification: اطلاعات را با اتصال به سرور PHP که روی سرور مهاجم است، ارسال میکند.
- Email Notification: هشدار را از طریق ایمیل ارسال میکند.
- Net Send Notification: هشدار از طریق دستور Net Send ارسال میشود.
- CGI Notification: اطلاعات با استفاده از اتصال به PHP سرور که بر روی سرور مهاجم است، ارسال میشود.
- IRC Notification: مهاجم را با استفاده از کانالهای IRC ( Internet Rely Chat) مطلع میسازد.
(Data Hiding Trojans ( Encrypted Trojans
این تروجانها اطلاعات موجود در سیستم قربانی را رمزگذاری کرده و استفاده از تمام اطلاعات را غیرقابل استفاده جلوه میدهند: "سیستم شما هنگامی که در سایتهای پورن وبگردی میکردید، قربانی نرمافزار ما شده است، تمام فولدرهای شما، فایلهای متنی و دیتابیس با پسورد پیچیدهای رمزگذاری شدهاند." در این حالت مهاجمان به ازای پس دادن اطلاعات یا باجخواهی میکنند و یا کاربر را مجبور میکند که جنسی را از فروشگاههای آنلاینشان خرید نمایند تا پسورد باز کردن قفل اطلاعات به آنها داده شود.
OS X Trojan: Crisis
OSX.Crisis یک اسب تروا است که بالقوه اطلاعات حساس را ار روی سیستم قربانی سرقت میکند و یک Backdoor را برای نفوذهای آتی، روی سیستم بخطر افتاده (سیستم قربانی) باز میکند.
هنگامی که تروجان اجرا شود، پوشهها و فایلهای زیر را ایجاد میکند:
موارد زیر نمونه کارهایی است که OSX,Crisis انجام میدهد:
- مانیتور ترافیک صوتی اسکایپ
- مانیتور سافاری یا فایرفاکس برای تصویر برداری از وبسایتهای مورد استفاده
- ضبط مکالمات در مسنجر MS و Adium
- ارسال فایلها به سرور کنترل و دستور