انواع تروجان و نحوه کارکرد آنها – بدترین تروجان ها کدامند؟

انواع تروجان و نحوه کارکرد آنها - بدترین تروجان ها کدامند؟

در این مقاله به شما انواع تروجان را معرفی‌کرده و نحوه کارکرد آنها‌را نیز بررسی خواهیم‌کرد؛ چنانچه مفهوم تروجان را به‌درستی‌ درک نکرده اید، پیشنهاد میکنیم در ابتدا مقاله کوتاه و مفید ما تحت عنوان “منظور از اسب تروجان چیست” را حتما مطالعه کنید.

تروجان ها انواع مختلفی دارند که هرکدام میتوانند یک یا چند پورت را در سیستم شما باز کنند و در دسترس سازنده تروجان(هکر یا نفوذگر) قرار دهند؛ در زیر ما به چند نوع از بدترین، شناخته شده ترین و متداول ترین تروجان هایی که تا کنون ساخته شده اند میپردازیم.


Command Shell

این نوع تروجان ها از راه دور کنترل Command Shell را بر روی سیستم قربانی بدست می‌گیرند. تروجان سرور بر روی سیستم قربانی نصب می‌شد که وظیفه اولش باز کردن پورت‌ها برای اتصال نفوذگر به سیستم است. کلاینت بر روی سیستم نفوذگر نصب می‌شود و باعث اتصال نفوذگر از طریق Command Shell به سیستم قربانی می‌شود.

Netcat

نفوذگر با استفاده از Netcat، می‎تواند روی سیستم قربانی یک پورت خاص و یا یک backdoor را ایجاد کند که به او اجازه می‎دهد به DOS shell هدف، telnet بزند. با یک کامند ساده نفوذگر می‎تواند پورت ۵۰۰۰ را برای نفوذ اختصاص دهد. با استفاده از Netcat، کاربر می تواند ارتباط ورودی و خروجی TCP یا UDP را از به هر پورتی برای خود ایجاد کند. این کار چک کامل DNS Forward Reverse را برای کاربر ایجاد می‎کند.

بعلاوه این قابلیت هم در اختیار نفوذگر یا کاربر قرار می‌گیرد که بتواند از هر سورس لوکالی استفاده کند و قابلیت‌های پیش فرض پورت اسکن را در دسترس خود قرار دهد. در ساده‌ترین روش استفاده از Netcat یعنی nc host port، نفوذگر یک ارتباط TCP را برای اختصاص دادن پورت بر روی هدف ایجاد می‌‌کند. سپس ورودی استاندارد بسوی هدف فرستاده می‌شود و هرچیزی که بتواند از طریق ارتباط برگشت داده شود، بسوی خروجی ارتباط ارسال می‎شود.این عمل تا زمانی که یک سمت ارتباط خاموش شود، بصورت پیوسته ادامه پیدا می‌کند. همچنین Netcat می‎تواند به عنوان یک سرور با قابلیت شنود ارتباطات ورودی بر روی پورت‎های دلخواه عمل کند.

GUI Trojans

قابلیت و خاصیت اصلی این نوع تروجان‏ها گرافیکی بودن ساخت آنهاست که توسط نرم‎افزارهای مختلفی صورت می‎گیرد. از جمله این نرم‎افزارها می‎توان به MoSucker، Jumper و Biodox اشاره کرد.

Document Trojans 

کاربران علاقه زیادی به آپدیت سیستم عامل خود دارند اما این قضیه در مورد نرم‎افزارها به طور مرتب انجام نمی‎شود! نفوذگران از این فرصت استفاده می‎کنند تا Document Trojan ها را نصب کنند. نفوذگرها معمولا یک تروجان را در قالب یک پوشه جاساز شده در آورده و آنرا بصورت یک فایل پیوست در ایمیلها، پوشه‎های اداری، صفحات وب یا فایل‎های مالتی مدیا مثل فلش و PDF انتقال می‎دهند. هنگامی که کاربری پوشه حاوی تروجان جاساز شده را باز میکند، تروجان بر روی سیستم هدف نصب می‎شود.

Emails Trojan

این نوع تروجان‎ها از طریق میل‏ های گروهی و گسترده پخش می‎شوند. هنگامی که کاربر ایمیل را باز می‎کند، ویروس وارد سیستم شده و پس از پخش شدن، سبب ایجاد خسارت‎های زیادی به اطلاعات موجود در سیستم می‌شود. همیشه توصیه شده است که کاربران ایمیل‎هایی که از طرف فرستنده ‏های ناشناس دریافت شده را باز نکنند. گاهی اوقات تروجان‎های ایمیلی ممکن است بطور اتوماتیک تولید مثل کنند و به تمام آدرس‏های موجود در لیست مخاطبان سیستم قربانی ارسال شوند.

Defacement Trojans

این نوع تروجان‏ها هنگامی که در کل سیستمی پخش می‎شوند، می‎توانند تمام محتوای موجود در دیتابیس را خراب کنند و یا تغییر دهند. این تروجان‎ها زمانی که هدف نفوذگر یک وب‎سایت باشد خطرناک تر هم میشوند؛ آن‎ها بصورت سخت‏ افزاری تمام فرمت HTML را تغییر می‏دهند و نتیجه آن تغییر فرمت محتوای موجود در وب‎سایت است.

 Botnet Trojans 

یک botnet مجموعه‏ ای از ربات‏ های نرم‌افزاری (Worms، Trojan Horses و Backdoors) است که بطور اتوماتیک اجرا می‏ شوند. بات‏نت مجموعه‏ ای از سیستم‎های بخطر افتاده هستند که تحت فرمان‏ های مرسوم و ساختاری کنترلی بطور خودکار برنامه‎های خاصی را اجرا می‎کنند. تولید کننده باتنت (نفوذگر) می‎تواند این گروه از سیستم‎های بخطر افتاده را از راه دور کنترل کند. این سیستم‎ها که به سیستم‏های زامبی معروف هستند، توسط تروجان‎ها و Worm ها آلوده شده اند. هدف کنترل کننده بات‏نت، شبکه‏ های آموزشی، دولتی، نظامی و دیگر شبکه ‏ها می‏ باشد. با کمک بات‏ نت‎ها حملاتی مثل DDoS به راحتی انجام می‎پذیرد. این نوع تروجان‎ها بر مبنای دو ساختار کار می‏ کنند: botnet و botmaster

انواع تروجان

Proxy Server Trojans

یک Proxy Server تروجان، نوعی از تروجان است که سیستم قربانی را طوری تنظیم می‏کند که به عنوان یک پروکسی سرور عمل کند. هنگامی که این تروجان سیستم هدف را آلوده کرد، بصورت مخفیانه سیستم را تبدیل به یک پروکسی سرور می‎کند. نفوذگر از این حربه برای اجرای فعالیت‎های مجرمانه مانند سرقت اطلاعات کارت بانکی و امثال آن استفاده می‎کند و حتی می‎تواند از طریق آن حملات دیگری را به اهداف مختلف ترتیب دهد.

FTP Trojans

یک FTP تروجان نوعی از تروجان است که طوری طراحی شده است تا پورت ۲۱ را باز کند و سیستم هدف را برای نفوذگر قابل دسترس کند. این تروجان یک FTP سرور را بر روی سیستم هدف نصب کرده و به نفوذگر اجازه می‎دهد تا به اطلاعات حساسی دسترسی پیدا کند و فایل‎ها و برنامه‎های موجود در سیستم هدف را با استفاده از پورت ۲۱ و پروتکل FTP، که قبلا باز شده است، منتقل کند.

VNC Trojans

این نوع تروجان به نفوذگر اجازه می‎دهد که از سیستم هدف به عنوان یک VNC سرور استفاده کند! این تروجان‏ها توسط آنتی ویروس قابل شناسایی نیستند چرا که VNCسرور خود را به عنوان یک مولفه سودمند نشان می‎دهد.

HTTP / HTTPS Trojans

تروجان‎های HTTP و HTTPs، می‌توانند ازهر فایروالی رد شوند و خلاف جهتی که یک تونل HTTP طی می‎کند، عمل کنند! آن‎ها از سخت‌افزارهای وب بیس و پورت ۸۰ برای عملکرد خود استفاده می‌کنند.

(Shttp Trojan – HTTPS (SSL

SHTTP یک HTTP سرور کوچک است که به راحتی می‎تواند در کنار هر برنامه‎ای خود را جاساز کند. SHTTP می‎تواند براحتی خودرا درقالب یک فایل Chess.exe کادوپیچ کند یا بصورت مخفیانه سیستم را تبدیل به یک وبسرور نماید.

ICMP Tunneling

شناخت مفهوم ICMP Tunneling ب سادگی از کانال اطلاعات دلخواه در بخش داده‌ها و با دو بسته ICMPECHO و ICMPECHOREPLY امکان‌پذیر است. به دلیل آن که دیوایس‌های شبکه نمی‎توانند محتوای ترافیک ICMP-ECHO را فیلتر کنند این مسیر یکی از راه‎های مورد علاقه و فعالیت نفوذگران و مهاجمان است. مهاجمان براحتی می‎توانند ترافیک را عبور دهند، آن‌ها را از بین ببرند و یا برگشت دهند. بسته های تروجان خودشان را بصورت ترافیک مرسوم ICMP-ECHO تغییر شکل می‎دهند و در نتیجه می‎توانند هر اطلاعاتی را که مورد نیازشان است از طریق Tunnel مخفی نگه دارند.

کانال‌های مخفی روشی هستند که مهاجم می‎تواند با استفاده از آن‎ها اطلاعات را در قالب پروتکلی که قابل شناسایی نیست، پنهان کند. آن‎ها با تکیه بر این روش‌ها که به Tunneling معروف است، به یک پروتکل این اجازه را می‏دهند تا توسط پروتکل دیگری حمل شود. یک کانال مخفی (Covert) مانند رگی است که از طریق آن اطلاعات می‎توانند عبور کنند و این روش عموما برای انتقال اطلاعات بصورت عمومی و مرسوم بکار نمی‎رود. بنابراین کانال‎های مخفی نمی‎توانند توسط روش‌های استاندارد امنیتی سیستم شناسایی شوند. هر فرآیند یا بخشی از دیتا می‎تواند یک کانال مخفی باشد. همین خصوصیات این روش را یکی از راه‎های انتقال اطلاعات برای هکر‌ها کرده است.

Remote Access Trojans

این نوع از تروجان‏ها کنترل کاملی از سیستم قربانی برای مهاجم ایجاد می‎کنند و به آن‏ها این امکان را می‏دهند تا بتوانند بصورت ریموت به فایل‎ها، اطلاعات خصوصی، اطلاعات مالی و نظیر آنها دسترسی پیدا کنند. این نوع تروجان‏ مثل یک سرور عمل می‏کند و روی پورتی شروع به شنود می‏کند که به نظر نمی‎رسد مورد استفاده هکرهای اینترنتی واقع شود. بنابراین اگر سیستم هدف پشت فایروال باشد، شانس کمی برای هکر وجود خواهد داشت که از راه دور بتواند با تروجان خود که بر روی سیستم هدف واقع شده است ارتباط برقرار کند و عمل شنود را انجام دهد. اما اگر نفوذگر در همان شبکه و از پشت فایروال بتواند به سیستم هدف دسترسی داشته باشد، می‏تواند براحتی با تروجان خود ارتباط برقرار نماید. این تروجان دقیقا برای پایه دسترسی ریموت کار می‏کند. مهاجم کنترل کامل گرافیکی سیستم هدف را بدست می‏گیرد. این فرآیند شامل مراحل زیر است:

  1. سیستم قربانی با server.exe آلوده می‎شود و بستر ارتباط معکوس برای تروجان را فراهم می‎کند.
  2. سپس تروجان با پورت ۸۰ سیستم مهاجم در ارتباط معکوس برقرار می‏کند.
  3. مهاجم کنترل کامل سیستم هدف را بدست خواهد گرفت.

Destructive Trojans

این تروجان که به M4sT3r معروف است، انحصارا برای تخریب یا پاک کردن فایل‏ها از سیستم قربانی طراحی شده است. فایل‎ها بطور خودکار توسط تروجان پاک می‌شوند، که این پروسه می‎تواند مستقیما توسط مهاجم کنترل شود و یا طبق یک برنامه از پیش تعین شده مثل یک بمب هوشمند برای انجام وظیفه خاصی در تاریخ و ساعت داده شده، عمل کند. این تروجان هنگامی که اجرا می‎شود، سیستم عامل را تخریب می‎کند. قربانی نمی‎تواند سیستم عامل را بوت کند. همچنین این تروجان تمام درایوهای لوکال و تحت شبکه سیستم را فرمت می‌کند.

 Notification Trojans

این نوع از تروجان‏ها آدرس آی‌پی سیستم قربانی را برای مهاجم ارسال می‎کنند. هر زمان که سیستم هدف شروع بکار کند، Notification Trojan مهاجم را آگاه می‏کند! برخی از Notification ها شامل:

  • SIN Notification: مستقیما سرور مهاجم را مطلع می‎سازند.
  • ICQ Notification: مهاجم را با استفاده از کانال‏های ICQ مطلع می‎سازد.
  • PHP Notification: اطلاعات را با اتصال به سرور PHP که روی سرور مهاجم است، ارسال می‏کند.
  • Email Notification: هشدار را از طریق ایمیل ارسال می‏کند.
  • Net Send Notification: هشدار از طریق دستور Net Send ارسال می‌شود.
  • CGI Notification: اطلاعات با استفاده از اتصال به PHP سرور که بر روی سرور مهاجم است، ارسال می‎شود.
  • IRC Notification: مهاجم را با استفاده از کانال‏های IRC مطلع می‎سازد.

Data Hiding Trojans

این تروجان‏ها اطلاعات موجود در سیستم قربانی را رمزگذاری کرده و استفاده از تمام اطلاعات را غیرقابل استفاده جلوه می‎دهند: “سیستم شما هنگامی که در سایت‎های پورن وبگردی می‏کردید، قربانی نرم‌افزار ما شده است، تمام فولدرهای شما، فایل‎های متنی و دیتابیس با پسورد پیچیده‎ای رمزگذاری شده‎اند.” در این حالت مهاجمان به ازای پس دادن اطلاعات یا باج‏خواهی میکنند و یا کاربر را مجبور می‎کند که جنسی را از فروشگاه‏های آنلاینشان خرید نمایند تا پسورد باز کردن قفل اطلاعات به آن‏ها داده شود.




امیدواریم ازین آموزش نهایت بهره را برده باشید.


همینک دیدگاه خود را برای ما بنویسید!