آموزش CEH (هکر کلاه سفید): مکانیزم آلوده‌سازی تروجان چگونه است؟

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

تروجان‌ها چرا استفاده می‌شوند؟

تروجان‌ها به دلایل مختلفی ساخته می‌شوند. برخی مخرب هستند و می‌توانند سیستم‌های کامپیوتری را غیر قابل استفاده کنند، در حالی که برخی دیگر فقط به دنبال سرقت اطلاعات خاص هستند. اگرچه همه آن‌ها سعی نمی‌کنند حضور خود را پنهان کنند، اما در مجموع تروجان‌ها خطرناک هستند زیرا وجود آن‌ها در یک سامانه بیان‌گر نقض قاعدع محرمانگی، یکپارچگی و دسترس‌پذیری است. در حالت کلی تروجان‌ها به دلایل زیر به کار گرفته می‌شوند:

■ سرقت اطلاعات کارت اعتباری: اطلاعات کارت اعتباری و بانکی اهداف بزرگی برای هکرها به شمار می‌روند. زمانی که هکرها این اطلاعات را به‌دست آورند، می‌توانند خریدهای آنلاین انجام داده یا از کارت برای ثبت نام دامنه، خرید سرویس‌های اینترنتی یا حتا پول‌شویی استفاده کنند.

■ گذرواژه‌ها: گذرواژه‌ها همیشه مورد توجه هکرها هستند. بسیاری از ما به دلیل آن‌که از گذرواژه یکسان در ارتباط با حساب‌های کاربری مختلف استفاده می‌کنیم مقصر هستیم. حتا اگر اینگونه نباشد، همیشه این خطر وجود دارد که یک هکر بتواند رمزهای ایمیل یا سایر گذرواژه‌های حساب آنلاین را استخراج کند.

■ سرقت اطلاعات توسط کارمندان داخلی سازمان: همه ما در طول زندگی این جمله را بارها و بارها به زبان آورده‌ایم که "اگر این موضوع را قبلا می‌دانستم." کارمندانی که درون سازمان وجود دارند ممکن است خطرناک‌تر از هکرها باشند و پیش از انتشار عمومی یک خبر یا دستاوردی با دریافت پول از دیگران خبر را زودتر منتشر کنند.

■  ذخیره‌سازی داده‌ها: هدف تروجان‌ها ممکن است فراتر از سرقت گذرواژه‌ها یا اطلاعات شخصی باشد. برخی از آن‌ها با هدف پیدا کردن داده‌هایی در ارتباط با فیلم‌ها، موسیقی، نرم افزارهای غیرقانونی (warez) یا حتا محتوای مستهجن به کار گرفته می‌شوند.

■ تهدید مداوم پیشرفته (APT): ممکن است هکر سیستم شما را برای هدف به کشورهای دیگری استفاده کند تا سامانه شما اطلاعات مهم موجود در سامانه‌های دیگر را به سرقت ببرد. از مهم‌ترین تروجان‌های این گروه می‌توان به تروجان Stuxnet و حمله APT مرتبط با RSA در سال 2011 اشاره کرد. مهاجمان ممکن است برای دستیابی به منابع حساس و حیاتی، وقت و هزینه قابل توجهی صرف کنند.

مکانیزم آلوده‌سازی تروجان‌ها

بعد از اینکه هکر تروجانی را نوشت در مرحله بعد باید آن‌را پخش کند. اینترنت ساده‌ترین ابزار در دسترس هکرها است. روش‌های مختلفی برای پخش و توزیع بدافزارها وجود دارد که به موارد زیر می‌توان اشاره کرد.

شبکه‌های نظیر به نظیر (P2P): برخی از کاربران تصور می‌کنند با مراجعه به شبکه‌های نظیر به نظیر جدیدترین نسخه از یک بازی رایانه‌ای یا نرم‌افزار آفیس مایکروسافت را دانلود می‌کنند، اما در واقعیت اتفاقات خیلی بیشتری رخ می‌دهد. شبکه‌های P2P و سایت‌های به‌اشتراک‌گذاری فایل مانند The Pirate Bay عموما بدون نظارت هستند و به هر کسی امکان می‌دهند برنامه‌های مورد نظر خود را چه قانونی یا غیر قانونی روی آن‌ها آپلود کند.

پیام‌رسان‌های فوری IM: پیام‌رسان‌های فوری بدون هیچ‌گونه کنترل‌های امنیتی ساخته می‌شوند. بنابراین، شما هرگز درباره محتوای واقعی یک فایل یا برنامه‌ای که شخصی برای شما ارسال کرده اطلاعات دقیق به دست نمی‌آورید. کاربران IM در عرض خطر بزرگی از جانب تهدیدات تروجانی و سایر بدافزارها قرار دارند.

Internet Relay Chat: نرم‌افزارهای IRC مملو از افراد آماده حمله به تازه‌کارانی است که علاقه‌مند به بارگیری یک برنامه یا نرم‌افزار رایگان هستند.

ضمیمه‌های ایمیلی: پیوست‌ها روش متداول دیگری برای انتشار یک تروجان هستند. برای اینکه کاربران متقاعد شوند که آن‌ها را باز کنند، ممکن است هکرها از پیام‌های جذابی همچون این ایمیل از سوی یک سازمان قانونی ارسال شده استفاده کنند. این پیام ممکن است به یک جایزه ارزشمند، یک نرم‌افزار محبوب یا مواردی این چنینی اشاره داشته باشد. اگر در مورد ایمیل کنجکاو شده‌اید، بهتر است ابتدا در مورد پیسوت‌ها تحقیق کنید و ضمایم را توسط یک ضدویروس بررسی کنید. پیوست‌های ایمیل اصلی‌ترین ابزار هکرها برای ارسال بدافزارها هستند. به عنوان کارشناس امنیت باید در مورد این موضوع تحقیقات کاملی انجام دهید تا بتوانید از کارمندان شبکه به خوبی محافظت کنید.

دسترسی فیزیکی: اگر هکر به سیستم قربانی دسترسی فیزیکی داشته باشد، می‌تواند تروجان را روی هارددیسک کپی کند. هکر حتا می‌تواند با ساخت یک تروجان که منحصر به سیستم یا شبکه خاصی است یک حمله هدفمند را پیاده‌سازی کند. این حمله ممکن است یک صفحه ورود جعلی به سیستم یا حتا یک پایگاه داده جعلی باشد.

باگ‌های مرورگرها: بسیاری از کاربران به محض انتشار به‌روزرسانی، مرورگرهای خود را وصل نمی‌کنند. مرورگرهای وب غالباً به محتواهایی که توسط وب‌سایت‌ها به آن‌ها داده می‌شود اعتماد می‌کنند. اما در دنیای اینترنت نمی‌توان به هیچ یک از صفحات وب اعتماد کرد، زیرا ممکن است خواسته یا ناخواسته آلوده به کدهای مخرب باشند. یک وب‌سایت می‌تواند به روش‌های مختلف از داده‌های مرورگرتان سوء استفاده کرده یا کدهای مخرب را ارسال کرده، رخنه امنیتی در سیستم به وجود آورده و در نهایت تروجانی را روی سیستم شما نصب کند.

سوراخ آب: ایده این است که ابتدا وب‌سایتی که کاربران به آن مراجعه می‌کنند توسط هکرها آلوده می‌شود. در ادامه هکر به سادگی منتظر می‌ماند تا قربانی به سایت مربوطه مراجعه کند و سپس سیستم او را آلوده می‌کند.

نرم‌های افزار رایگان: هیچ چیز در زندگی رایگان نیست و این موضوع در مورد نرم‌افزارها نیز صدق می‌کند. کاربران هنگام بارگیری نرم‌افزارهای رایگان از یک منبع ناشناخته، ریسک بزرگی انجام می‌دهند، زیرا نرم‌افزار نه تنها ممکن است به تروجانی آلوده باشد، بلکه نرم‌افزار رایگان ممکن است به جاسوس‌افزارها یا تبلیغ‌افزارها آلوده شده باشد.

نکته: همواره به این نکته دقت کنید که ایمیل‌های اصلی‌ترین روش انتقال بدافزارها هستند.

تاثیرات تروجان‌ها

تأثیرات تروجان‌ها روی یک سیستم می‌تواند مشهود یا غیر قابل تشخیص باشد. افرادی که سیستم آن‌ها آلوده می‌شود ممکن است هرگز متوجه این موضوع نشوند. بیشتر هکرها تمایلی ندارند، قربانی از این موضوع آگاه شود، بنابراین برای پنهان‌سازی تروجان‌ها و فعالیت‌های مخرب اقدامات پیچیده مختلفی انجام می‌دهند. از این گذشته، هکرها به سیستم قربانی به عنوان یک صندوق شخصی نگاه می‌کنند. اگر قربانی از حضور تروجان آگاه شود، اقدامات متقابلی انجام می‌دهد که توانایی حمله‌کننده برای کنترل کامپیوتر را محدود می‌کند. در بعضی موارد، برنامه‌هایی که ظاهراً خودشان باز هستند شبیه به مرورگرهای وب، صفحاتی که کاربر آن‌ها را باز نکرده نشانه‌هایی دال بر وجود تروجان‌ها هستند. با این حال، به دلیل اینکه هکر کامپیوتر را کنترل می‌کند، این توانایی را دارد تا بیشتر عملیات را پس‌زمینه انجام دهد و هر کلیدی که کاربر تایپ می‌کند را ضبط کند.

تروجان‌های آماده

اکنون که با تروجان‌ها، روش‌های انتقال آن‌ها، هدف از طراحی آن‌ها و فعالیت‌ آن‌ها در پس‌زمینه سامانه‌های کامپیوتری آشنا شدیم، وقت آن‌ رسیده تا برخی از تروجان‌های آماده را بررسی کنیم.

Tini یک تروجان درب پشتی کوچک است که تنها حدود 3 کیلوبایت حجم دارد. Tini برای ویندوز نوشته شده و به درگاه 7777 پروتکل TCP  گوش می‌دهد و به هر شخصی که این تروجان را روی سیتم قربانی نصب کند، اجازه می‌دهد فرامین موردنظر خود را اجرا کند. این تروجان از آدرس زیر قابل دریافت است.

http://www.ntsecurity.nu/toolbox/tini

بزرگ‌ترین عیبی که تروجان فوق دارد این است که همواره به درگاه 7777 گوش می‌دهد. از آن‌جایی که امکان تغییر پورت وجود ندارد، برای یک کارشناس تست نفوذ آسان است که بتواند این پورت باز را اسکن و پیدا کند. BlackHole RAT نمونه‌ای از یک تروجان با دسترسی از راه دور است. RATها کنترل از راه دور روی سیستم قربانی را در اختیار هکرها قرار می‌دهند. RATها معمولاً به شکل نامریی اجرا می‌شوند و عمدتا با باز کردن اسنادی که فرمت‌های فایلی pdf ، .ppt ، .doc یا .xls دارند سامانه قربانیان را آلوده می‌کنند.

RAT‌ها معمولاً از دو مؤلفه سرور و کلاینت ساخته می‌شوند. سرور روی رایانه قربانی اجرا می‌شود و برنامه کلاینت روی رایانه هکر اجرا می‌شود. پس از نصب RAT در رایانه قربانی، یک درگاه از پیش تعریف شده در رایانه قربانی باز می‌شود. از آن درگاه برای اتصال به نرم‌افزار کلاینت که هکر آن‌را اجرا می‌کند استفاده می‌شود. NetBus یکی از اولین RAT‌ها بود. همه RATها برای انجام یک کار مشابه استفاده می‌شوند. اگر درباره NetBus و SubSeven تحقیق جامعی انجام دهید که قادر به انجام چه کاری هستند در ادامه با نحوه عملکرد نمونه‌های جدیدتر همچون Poison Ivy و Shady Rat آشنا خواهید شد. به‌طور مثال، Poison Ivy یک هکر را قادر می‌سازد که رایانه قربانی را کنترل کند و فعالیت‌های زیادی را روی سامانه قربانی انجام دهد. شکل زیر تصویر تروجان فوق را نشان می‌دهد.

Poison Ivy به هکرها امکان دسترسی به سیستم فایل محلی و همچنین امکان مرور، ایجاد و حذف دایرکتوری‌ها و حتا ویرایش Registry را می‌دهد. هکر با استفاده از روش‌های مهندسی اجتماعی کاربر را ترغیب می‌کند که تروجان فوق را نصب کند. این تروجان عمدتا همراه با ضمایم ایمیلی برای کاربر ارسال می‌شوند. برخی نسخه‌ها این قابلیت را دارند که خود را در یک جریان داده مخفی کنند. پس از نصب، برنامه خود را در رجیستری قرار می‌دهد تا پس از راه‌اندازی سیستم اجرا شود. هکرها توانایی اتصال به سرورها از طریق رابط کاربری گرافیکی کلاینت (رمزگذاری شده) را دارند. فهرست کاملی از دستورات در فایل readme که Trojan را همراهی می‌کند، وجود دارد. تروجان Tr0 Gh0st RAT  برای روشن کردن وب کم، ضبط صدا و امکان کنترل میکروفن داخلی برای جاسوسی از افراد طراحی شده است. تنها در یک مورد تروجان فوق موفق شد از طریق یک فایل پی‌دی‌اف آلوده بیش از 1000 رایانه را آلوده کند. برای کسب اطلاعات بیشتر در مورد این تروجان به آدرس https://en.wikipedia.org/wiki/Gh0st_RAT مراجعه کنید. از دیگر RAT‌های مهم در این زمینه به موارد زیر می‌توان اشاره کرد:

■ Let Me Rule: این RAT به زبان برنامه‌نویسی دلفی نوشته شده و به‌طور پیش‌فرض از پورت TCP 26097 استفاده می‌کند.

■ Jumper: این تروجان روی سیستم‌های ویندوزی کار می‌کند. این تروجان از الگوریتم رمزگذاری RC4، تزریق کد و ارتباطات رمزگذاری شده استفاده می‌کند.

■ Phatbot: یک نوع تروجان  Agobot بوده و از خانواده بزرگ روبات‌های IRC است. این تروجان می‌تواند اطلاعات شخصی مانند آدرس‌های ایمیل، شماره کارت‌های اعتباری و اعتبارنامه‌ نرم‌افزار‌ها را سرقت کرده و به جای ارسال این اطلاعات از طریق یک آدرس ایمیل به کانال IRC، اطلاعات را با استفاده از شبکه P2P منتقل کند. Phatbot همچنین می‌تواند بسیاری از محصولات ضدویروس یا نرم‌افزارهای دیوارآتش را غیرفعال کند تا قربانیان مستعد آلوده شدن به حملات ثانویه شوند.

Amitis: این تروجان یک درگاه TCP را باز می‌کند و به هکر اجازه می‌دهد کنترل کاملی روی کامپیوتر قربانی به‌دست آورد.

Zombam.B: این تروجان  به هکر امکان می‌دهد از یک مرورگر وب برای دسترسی به رایانه شما استفاده کند. این تروجان از 80 که به صورت پیش‌فرض باز است استفاده می‌کند و توسط یک ابزار تولیدکننده تروجان به‌نام HTTPRat نوشته شده است. تروجان فوق تلاش می‌کند فرآیندهای مختلف ضدویروسی و دیوارآتشی را متوقف کند.

■ Beast: این اولین تروجان است با استفاده از تزریق DLL و اتصالات معکوس به سامانه قربانیان وارد می‌شود. به عبارت دقیق‌تر، خود را به یک فرآیند موجود تزریق می‌کند. تروجان فوق قابل به روش‌های سنتی قابل مشاهده نیست و به همین دلیل شناسایی آن سخت بوده و در نتیجه پاک کردن آن از روی سامانه‌ها نیز به سختی امکان‌پذیر است. پورت پیش‌فرض تروجان فوق TCP 6666 است.

■ MoSucker: یک تروجان نوشته شده به زبان ویژوال بیسیک است. MoSucker به هکرها امکان دسترسی به سیستم پرونده محلی و همچنین امکان مرور، ایجاد و حذف دایرکتوری‌ها و حتا ویرایش رجیستری را می‌دهد.

نکته: تروجان‌ها فقط برای سیستم‌های مایکروسافتی نوشته نشده‌اند. با محبوبیت بیشتر محصولات اپل، هکرها شروع به تولید تروجان‌ها برای سیستم‌عامل OS X کرده و نمونه‌هایی شبیه به DNSChanger و Hell Raiser را با موفقیت روی سامانه قربانیان نصب کرده‌اند. فقط این نکته را به خاطر داشته باشید که تروجان‌ها می‌توانند برای اهدافی فراتر از دسترسی از راه دور استفاده شوند. ابزارهای ساخت تروجان‌ها همچون WinVNC و VNC Stealer دسترسی از طریق اتصال VNC را فراهم می‌کنند، در حالی که برخی دسترسی به FTP ، ICMP یا حتا HTTP را ارائه می‌کنند.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH