تروجان ها و عملکردشان بخش دوم

انواع تروجان ها و عملکرد آنها بخش دوم :

ICMP Tunneling چیست ؟

---

شناخت مفهوم ICMP Tunneling بسادگی از کانال اطلاعات دلخواه در بخش داده‌ها و با دو بسته ICMP-ECHO و ICMP-ECHOREPLY امکان‌پذیر است. به علت آن که دیوایس‌های شبکه نمی‎توانند محتوای ترافیک ICMP-ECHO را فیلتر کنند این مسیر یکی از راه‎های مورد علاقه و فعالیت نفوذگران و مهاجمان است.مهاجمان براحتی می‎توانند ترافیک را عبور دهند، آن‌ها را از بین ببرند و یا برگشت دهند. بسته های تروجان خودشان را بصورت ترافیک مرسوم ICMP-ECHOتغیر شکل می‎دهند و در نتیجه می‎توانند هر اطلاعاتی را که مورد نیازشان است از طریق Tunnel مخفی نگه دارند.کانال‌های مخفی (Covert) روشی هستند که مهاجم می‎تواند با استفاده از آن‎ها اطلاعات را در قالب پروتکلی که قابل شناسایی نیست، پنهان کند. آن‎ها با تکیه بر این روش‌ها که به Tunneling معروف است، به یک پروتکل این اجازه را می‏دهند تا توسط پروتکل دیگری حمل شود. یک کانال مخفی (Covert) مانند رگی است که از طریق آن اطلاعات می‎توانند عبور کنند و این روش عموما برای انتقال اطلاعات بصورت عمومی و مرسوم بکار نمی‎رود. بنابراین کانال‎های مخفی نمی‎توانند توسط روش‌ها استاندارد امنیتی سیستم شناسایی شوند. هر فرآیند یا بخشی از دیتا می‎تواند یک کانال مخفی باشد. همین خصوصیات این روش را یکی از راه‎های انتقال اطلاعات برای هکر‌ها کرده است.

Remote Access Trojans چیست ؟

---

این نوع از تروجان‏ها کنترل کامل سیستم قربانی برای مهاجم ایجاد می‎کنند و به آن‏ها این امکان را می‏دهند تا بتوانند بصورت ریموت به فایل‎ها ، اطلاعات خصوصی، اطلاعات مالی و نظایر آن دسترسی پیدا کنند. این نوع تروجان‏ مثل یک سرور عمل می‏کند و روی پورتی شروع به شنود می‏کند که به نظر نمی‎رسد مورد استفاده هکرهای اینترنتی واقع شود. بنابراین اگر سیستم هدف پشت فایوال باشد، شانس کمی برای هکر وجود خواهد داشت که از راه دور بتواند با تروجان خود که بر روی سیستم هدف واقع شده است ارتباط برقرار کند و عمل شنود را انجام دهد. اما اگر نفوذگر در همان شبکه و از پشت فایروال بتواند به سیستم هدف دسترسی داشته باشد، می‏تواند براحتی با تروجان خود ارتباط برقرار نماید. این تروجان دقیقا برای پایه دسترسی ریموت کار می‏کند. مهاجم کنترل کامل گرافیکی سیستم هدف را بدست می‏گیرد. این فرآیند شامل مراحل زیر است:

1. سیستم قربانی با server.exe آلوده می‎شود و بستر ارتباط معکوس برای تروجان را فراهم می‎کند.
2. سپس تروجان با پورت 80 سیستم مهاجم در ارتباط معکوس برقرار می‏کند.
3. مهاجم کنترل کامل سیستم هدف را بدست خواهد گرفت.

برای نمونه می‏توان به تروجان‏های Back Orifice و Netbus اشاره کرد

E-banking Trojans چه هستند ؟

---

این تروجان‏ها در نوع خود بسیار خطرناک هستند و پایه مهمترین حملات به تراکنش‏های بانکی که بصورت آنلاین صورت می‏گیرند را تشکیل می‏دهند.این تروجان طبق روش های مرسوم با کلیک کاربر بر روی تبلیغات و یا پیوست ایمیل و روش های مشابه، برروی سیستم هدف نصب شده و هنگامی که قربانی به سایت بانک خود وصل می‎شود و یا تراکنش آنلاینی را انجام می‏دهد، اقدام به سرقت اطلاعات می‏کند.این تروجان طوری طراحی شده است تا بتواند حداقل و حداکثر سرقت اطلاعات را بسته به خواست مهاجم انجام دهد. یکی دیگر از راه‏های سوء استفاده این تروجان طراحی صفحه ای شبیه صفحه بانکی هدف است و تا زمانی که کاربر دقت کافی نداشته باشد و پارامترهای اصلی صفحه بانک را با صفحه اصلی مقایسه نکند، متوجه نخواهد شد که در واقع بر روی صفحه ای جعلی اقدام به وارد کردن اطلاعات خود کرده است.

مهاجم در ابتدا پیامی تبلیغاتی را آلوده کرده و آن را در وب‌سایتی قانونی منتشر می‎کند. هنگامی که قربانیان به وب‌سایت آلوده وارد می‎شوند، بطور خودکار به وب‌سایتی که بسته نفوذ ( Exploit kit) را روی سیستم قربانیان لود می‎کند، هدایت می‎شوند. بنابراین بسته نفوذ به مهاجم این امکان را می‎دهد که آنچه را که بر روی سیستم قربانیان لود ده است، کنترل کنترل کند و از آن برای برای نصب تروجان استفاده نماید. این بدافزار بسیار مبهم است و فقط توسط تعداد کمی از آنتی ویروس ها قابل شناسایی است. سیستم قربانی اکنون یک بات‎نت است و تروجان براحتی می‎تواند دستورالعمل ها را از/به سرور کنترل و دستور دریافت/ ارسال کند و تمام این اتفاقات بدون اطلاع کاربر در حال رخ دادن است. هنگامی که قربانی توسط سیستم الوده‎اش به اکانت بانکی خود وارد شد، تمام اطلاعات حساس که در وارد شدن به اکانت بانکی قربانی مورد نیاز است، به سرور کنترل و دستور ارسال می‎شود. هنگامی که کاربر از طریق سایت بانکی قصد انجام تراکنش مالی را داشته باشد، تمام اطلاعاتی را که کاربر در فرم مورد نظر پر می‎کند قبل از آن‎که به وب‌سایت بانک برود، به سرور کنترل و فرمان فرستاده می‎شود. این سرور اطلاعات را آنالیز می‎کندو در فرصت مناسب مهاجم برای برداشت مبلغ دلخواه، از آن‏ها استفاده خواهد کرد.همچنین تروجان از سرور کنترل و دستور، دستورالعملی را دریافت می‎کند که بر مبنای آن باید آخرین فرم مالی را که توسط سرور کنترل و دستور بروز شده است را به بانک ارسال کند تا بواسطه آن بتواند بحساب جعلی خودش مبلغ مورد نظر را برداشت کند. همچنین در ادامه تروجان باید پیغام موفقیت آمیز بودن یا موفق نبودن تراکنش را به سرور کنترل و دستور ارسال کند.

Banking Trojan Analysis

---

یک تروجان بانکی، برنامه‎ای مخرب است که اطلاعات شخصی درباره کاربران و کلاینت‎هایی که از سیستم پرداخت الکترونیک و بانکداری آنلاین استفاده ‎می‎کنند، بست می‌آورد. تحلیل تروجان بانکی شامل سه نوع زیر می‎شود:

• TanGabbler: یک Transaction Authentication Number(TAN) برای تائید اعتبار تراکنش بانکی آنلاین مورد استفاده قرار می‎گیرد که با استفاده از یک پسورد یکبار مصرف انجام می‎‌شود. تروجان بانکی مستقیما به سرویس آنلاین بانکی قربانی حمله می‏کند که بر مبنای TAN است. هنگامی که TAN وارد شد، تروجان بلافاصله عدد وارد شده را سرقت می‎کند و آن را با عدد رندوم دیگری که صحیح نیست تغیر می‌دهد و بجای کاربر به بانک ارسال می‎کند. یک مهاجم می‏تواند با در دست داشتن جزئیات ورود به سایت بانک سیستم هدف از TAN سرقت شده، سوء استفاده کافی را ببرد.
• HTML injection: این نوع از تروجان بخش‎های مختلف سایت‏های بانکی را کپی و تکثیر می‎کند و از آن‌ها برای جمع آوری جزئیات اکانت قربانیان، شماره کارت اعتباری، سال تولد و غیره استفاده می‏کند. مهاجمان همچنین از این اطلاعات برای جعل هویت و بخطر انداختن اکانت قربانی استفاده می‎کنند.
• Form Grabber: این نوع روش پیشرفته‎ای برای جمع آوری اطلاعات از مرورگرهای مختلف اینترنتی است. این روش موثرترین راه برای جمع آوری ID ها، پسورد و دیگر اطلاعت حساس قربانی است.

Destructive Trojans یا ترجان های تخریب کننده

---

این تروجان که به M4sT3r معروف است، انحصارا برای تخریب یا پاک کردن فایل‏ها از سیستم قربانی طراحی شده است. فایل‎ها بطور خودکار توسط تروجان پاک می‌شوند، که این پروسه می‎تواند مستقیما توسط مهاجم کنترل شود و یا طبق یک برنامه از پیش تعین شده مثل یک بمب هوشمند برای انجام وظبفه خاصی در تاریخ و ساعت داده شده، عمل کند.این تروجان هنگامی که اجرا می‎شود، سیستم عامل را تخریب می‎کند. قربانی نمی‎تواند سیستم عامل را بوت کند. همچنین این تروجان تمام درایوهای لوکال و تحت شبکه سیستم را فرمت می‌کند.

Notification Trojans

---

این نوع از تروجان‏ها آدرس آی‌پی سیستم قربانی را برای مهاجم ارسال می‎کنند. هر زمان که سیستم هدف شروع بکار کند، Notification Trojan مهاجم را آگاه می‏کند. برخی از Notificationها شامل:

• SIN Notification: مستقیما سرور مهاجم را مطلع می‎سازند.
• ICQ Notification: مهاجم را با استفاده از کانال‏های ICQ مطلع می‎سازد.
• PHP Notification: اطلاعات را با اتصال به سرور PHP که روی سرور مهاجم است، ارسال می‏کند.
• Email Notification: هشدار را از طریق ایمیل ارسال می‏کند.
• Net Send Notification: هشدار از طریق دستور Net Send ارسال می‌شود.
• CGI Notification: اطلاعات با استفاده از اتصال به PHP سرور که بر روی سرور مهاجم است، ارسال می‎شود.
• IRC Notification: مهاجم را با استفاده از کانال‏های IRC ( Internet Rely Chat) مطلع می‎سازد.

(Data Hiding Trojans ( Encrypted Trojans

---

این تروجان‏ها اطلاعات موجود در سیستم قربانی را رمزگذاری کرده و استفاده از تمام اطلاعات را غیرقابل استفاده جلوه می‎دهند: "سیستم شما هنگامی که در سایت‎های پورن وبگردی می‏کردید، قربانی نرم‌افزار ما شده است، تمام فولدرهای شما، فایل‎های متنی و دیتابیس با پسورد پیچیده‎ای رمزگذاری شده‎اند." در این حالت مهاجمان به ازای پس دادن اطلاعات یا باج‏خواهی میکنند و یا کاربر را مجبور می‎کند که جنسی را از فروشگاه‏های آنلاینشان خرید نمایند تا پسورد باز کردن قفل اطلاعات به آن‏ها داده شود.

OS X Trojan: Crisis

---

OSX.Crisis یک اسب تروا است که بالقوه اطلاعات حساس را ار روی سیستم قربانی سرقت می‏کند و یک Backdoor را برای نفوذهای آتی، روی سیستم بخطر افتاده (سیستم قربانی) باز می‏کند.
هنگامی که تروجان اجرا شود، پوشه‎ها و فایل‏های زیر را ایجاد می‏کند:

موارد زیر نمونه کارهایی است که OSX,Crisis انجام می‏دهد:

• مانیتور ترافیک صوتی اسکایپ
• مانیتور سافاری یا فایرفاکس برای تصویر برداری از وب‎سایت‏های مورد استفاده
• ضبط مکالمات در مسنجر MS و Adium
• ارسال فایل‎ها به سرور کنترل و دستور