تروجان ها یکی از انواع بدافزارها هستند که با نفوذ به سیستم ها میتوانند مخاطراتی را برای کاربران به وجود آورند. البته خود آنها نیز دسته بندی های مختلفی داشته و حتی تروجانهایی وجود دارد که می توانند سطح دسترسی شان به سیستم ها را افزایش دهند. به عبارت دیگر، قابلیت ارتقای سطح دسترسی خود به سیستم را به میزان سطح دسترسی کاربر دارند.
اگرچه تروجان ها مانند ویروسها (دسته دیگری از بدافزارها) خود به خود تکثیر پیدا نمی کنند اما همچنان به اندازه آنها مخرب هستند تا حدی که میتوانند سیستم های رایانه ای را به صورت کامل از کار بیندازند. این نوع از بدافزارها نامشان را از یک افسانه باستانی یونانی به نام «جنگ تروجان (اسب تروجان)» گرفته اند که هدف اصلی آن گمراه کردن اشخاص بوده است. یونانی ها در این افسانه، سربازان جنگی خود را جهت فریب محافظان، درون یک اسب چوبی پنهان کرده و آن را به قلعه دشمنان خود فرستادند.
تروجانها سعی میکنند کاربران را فریب داده تا با دست خودشان آنها را بر روی سیستم نصب کنند. در واقع آنها نرمافزارهایی هستند که با مخفی شدن در قالب برنامههای به ظاهر بیخطر، ظاهر شرورانه خود را از دید کاربر پنهان نگه میدارند. به بیان دیگر، تروجانها نوعی فایل مخرب هستند که هکر با توجه به نیازش و دسترسی به اطلاعات قربانی، آن را آماده و برای کاربر ارسال میکند.
تروجانها انواع مختلفی داشته و به روشهای متفاوتی نیز به سیستم ها نفوذ می کنند. با این وجود، همه آنها در نهایت برای آلوده کردن سیستمها نیاز به انجام فعالیت خاصی از طرف کاربران دارند؛ زیرا این برنامهها یا توسط کاربر و به صورت مستقیم روی سیستم مورد نظر نصب میشوند یا اینکه با کلیک قربانی بر روی یک لینک یا سایت مخرب نصب و اجرا خواهند شد.
اهداف و کاربردها
هدف اصلی مجرمان سایبری از این بدافزارها انجام یکی از اقدامات شرورانه زیر است:
- پاک کردن فایل های کاربران
- دستکاری اطلاعات کاربران
- رمزنگاری فایل های موجود بر روی سیستم
- کپی کردن غیرمجاز (سرقت) اطلاعات سیستم
- ارسال و دریافت فایل ها
- کاهش سرعت و عملکرد رایانه
- کاهش سرعت شبکه
- قرار دادن در پشتی بر روی رایانه قربانی
- نمایش صفحه آبی مرگ سیستم عامل
- نصب کیلاگر بر روی سیستم کاربر
- اضافه کردن رایانه قربانی به یک باتنت
- سوءاستفاده از رایانه آلوده به عنوان پروکسی، با هدف حمله به سایر رایانهها و انجام فعالیتهای غیرقانونی
انواع تروجانها
برخلاف ویروسها که تنوع آنها نسبتاً محدود است، تروجانها یک قالب ثابت نداشته و شکل ها و فرمهای مختلفی دارند؛ از جمله در پشتی (که از راه دور می تواند به رایانه هدف دسترسی داشته و آن را در کنترل خود بگیرد) و دانلود کنندهها (که میتوانند سایر برنامههای مخرب را بر روی سیستم قربانی، دانلود و نصب کنند).
تروجان ها ممکن است به صورت یک عکس، فایل ویدیویی، نرمافزارهای رایگان و غیره در اختیار کاربران قرار گیرند. در واقع هکر از طریق ترکیب تروجان مورد نظر با یک فایل تصویری، اجرایی یا پیوست کردن آن به ایمیل ها وارد سیستم می شود. به این فرایند که عملیات مخفی کردن تروجان در پشت برنامههای کاربردی است، در اصطلاح “Wrapping” گفته می شود. به این ترتیب هکرها با دور زدن راهکارهای امنیتی سیستم ها همچون از کار انداختن فایروالها و آنتیویروسها تروجان را وارد سیستم قربانی کرده و قادر خواهند بود به راحتی اطلاعات کاربر را دچار مخاطره کنند.
1- ArcBomb
این گروه از تروجانها به صورت فایلهای آرشیو طراحی شدهاند و زمانی که کاربر اقدام به باز کردن آنها می کند، رفتار عادی از خود نشان میدهند. فایلهای آرشیو ArcBomb، سرعت سیستم را به شدت کند کرده یا آن را از کار میاندازند.
در طراحی این فایلهای آرشیو ویرانگر از فنون مختلفی استفاده میشود. به عنوان مثال ممکن است در آنها از هدرهای ساختگی یا دادههای مخربی استفاده شود که منجر به نقص عملکرد الگوریتم آرشیو کننده فایل ها یا باز کننده آنها شود. همچنین ممکن است شامل اشیای حجیمی متشکل از دادههای یکسان و تکراری باشند که امکان بستهبندی آنها در قالب یک فایل آرشیو کوچک وجود دارد. مثلاً یک فایل 10 گیگابایتی می تواند به یک فایل آرشیو 400 کیلوبایتی تبدیل شود.
2- در پشتی (Back Door)
درهای پشتی امکان کنترل رایانهها را از راه دور، در اختیار مجرمان سایبری قرار می دهند. آنها از این طریق تغییراتی را روی سیستمها ایجاد میکنند به گونهای که هکرها و سایر بدافزارها بتوانند به آنها دسترسی داشته باشند. مهاجمان همچنین امکان آن را دارند که بر روی رایانههای آلوده اقدامات مختلفی از جمله ارسال، دریافت، حذف یا اجرای فایل ها و نیز نمایش هشداری روی صفحه نمایش رایانه یا حتی راه اندازی مجدد سیستم را انجام دهند.
این تروجانها امکان دانلود و نصب کدهای دیگر را هم به مهاجمان می دهند. آنها همچنین می توانند کلیدهای تایپ شده بر روی صفحه کلید رایانه را ثبت و ذخیره کرده (عملکردی شبیه کیلاگرها) یا دوربین و میکروفون سیستم را روشن کنند. گاهی وقت ها از این درهای پشتی برای مدیریت یک گروه از رایانه های آلوده (و اخیراً تجهیزات اینترنت اشیا) در قالب باتنت ها استفاده میشود.
علاوه بر این از طریق شبکه میتوان یک نوع در پشتی دیگر را هم توزیع کرد (مثل کرمهای رایانهای). معمولاً این درهای پشتی به صورت مستقل منتشر نمیشوند بلکه از طراحشان فرمان میگیرند.
3- تروجانهای بانکی
تروجانهای بانکی با هدف سرقت اطلاعات محرمانه کاربران مثل اطلاعات ورود به حساب کاربری، کلمه عبور، کدهای احراز هویت پیامکی یا اطلاعات حساب بانکی طراحی و تولید میشوند. این بدافزارها به نرمافزارهای بانکی که روی سیستم نصب هستند، حمله میکنند.
Emotet
بدافزار Emotet یکی از تروجان های معروف در زمینه سرقت اطلاعات احراز هویت کاربران است. این بدافزار که در سال 2014 میلادی شناسایی شد، در ابتدا برای سرقت اطلاعات حساب های بانکی ایجاد شده بود ولی به مرور زمان قابلیتهای دیگری مثل ارسال هرزنامه و دانلود بدافزار هم به آن اضافه شد.
به این ترتیب و با اضافه شدن قابلیت های جدید به Emotet، این بدافزار دیگر قادر به انجام فعالیت های مخرب بر روی سیستم کاربران بود. عملکرد این بدافزار به این صورت است که میتواند آنتیویروسها را دور زده و از دید سیستم های امنیتی رایانه مخفی بماند. این بدافزار، فایلهای خود را از طریق هرزنامه های آلوده در شبکههای مختلف منتشر کرده و به سرعت در رایانههای عضو شبکه منتشر میشود. بدافزار Emotet از روشهای مهندسی اجتماعی مانند ترغیب کاربران جهت کلیک بر روی یک لینک آلوده نیز استفاده میکند.
TrickBot
بدافزار TrickBot که در سال 2016 شناسایی شد، هنوز هم یکی از پرکاربردترین تروجانهای بانکی به شمار می رود. TrickBot علاوه بر هدف گرفتن حسابهای بانکی می تواند رمزارزهای کاربران را هم از کیف پولهای دیجیتالی آنها سرقت کند.
این تروجان از چندین ماژول مختلف تشکیل شده است که در قالب یک فایل پیکربندی (فایلهای متنی که تنظیمات مربوط به نرمافزار یا بازی در آن، با ساختار و قالب خاصی ذخیره شده است) با هم ترکیب شدهاند. هر یک از این ماژولها کار خاصی را مثل سرقت اطلاعات حساب بانکی، ایجاد شرایط حضور پایدار در سیستم قربانی و رمزنگاری اطلاعات انجام میدهد. این تروجان از مودمهای بیسیم هک شده برای دسترسی به سرورهای فرماندهی و کنترل خود استفاده میکند.
البته تاکنون تروجانهای بانکی دیگری نیز شناسایی شده اند که از جمله آنها می توان به ZeuS، Dridex، Kovter، Cryptowall و Gh.st اشاره کرد.
4- کلیک کنندهها (Clicker)
این تروجانها برای دسترسی به سرورها و وب سایتهای اینترنتی طراحی و تولید شدهاند. به دلیل آنکه کلیک کنندهها به مرورگرهای اینترنتی فرمان ارسال میکنند بنابراین کاربران امکان اطلاع از فعالیت آنها را ندارند. این تروجانها همچنین میتوانند فایلهای اصلی سیستم عامل ویندوز که آدرسهای اینترنتی در آنها درج می شود را هم تغییر دهند.
معمولاً از کلیک کنندهها برای انجام کارهای مختلفی استفاده میشود که عبارتند از:
- افزایش حجم ترافیک وب برای کسب درآمد بیشتر از طریق تبلیغات
- اجرای حملات محروم سازی از سرویس توزیع شده (DDoS)
- هدایت کاربران به سمت صفحات حاوی بدافزار یا سایر فریب های مشابه
5- محروم سازی از سرویس توزیع شده (DDoS)
هدف تروجانهای DDoS، اجرای حملات محرومسازی از سرویس است که آیپیهای خاصی را هدف قرار می دهند. این تروجان ها می توانند سیستم ها را از دسترس سایر کاربران خارج کنند. هنگامی که حملات آنها آغاز شود، به منظور ایجاد اختلال در عملکرد سرور یا سایت قربانی، حجم زیادی از درخواستها را از طرف سیستم های آلوده به سوی آن ارسال میکنند.
بنابراین این حملات، از طریق ارسال فرامین و درخواستها از رایانه های آلوده، حملات به آدرسهای وب خاصی را هدایت کرده و در نتیجه میتوانند سیستم مربوطه را با مشکلات جدی مواجه سازند.
مجرمان سایبری برای افزایش احتمال موفقیت حملات DDoS باید سیستمهای زیادی را با استفاده از تروجانهای DDoS آلوده کنند. برای دستیابی به این هدف، معمولاً از حملات فیشینگ و ارسال هرزنامههای انبوه استفاده میشود. به محض اینکه باتنت آماده شد همزمان تمامی رایانههای آلوده، به سیستم قربانی حمله میکنند.
6- دانلود کنندهها
این تروجانها همانطور که از اسم شان مشخص است، قابلیت دانلود و اجرای بدافزارها از جمله سایر تروجانها را داشته و همچنین امکان دانلود و نصب نسخههای جدید آنها را نیز بر روی رایانه کاربران دارند. دادههای مربوط به محل و نام برنامههایی که باید دانلود شوند، در کد تروجان ذخیره شده یا از سروری که تحت کنترل طراح تروجان قرار دارد، دریافت میشود.
از تروجانهای دانلود کننده برای نفوذ اولیه به سیستمها استفاده میشود. کاربران ناآگاه، وارد وب سایتهای آلوده به اکسپلویت شده و سپس این اکسپلویتها تروجانهای دانلود کننده را بر روی سیستم آنها نصب می کنند. در نهایت هم سایر اجزای پیلود مخرب بر روی سیستم قربانی دانلود و اجرا می شود.
7- قطره چکان (Dropper)
این نرمافزارها برای نصب مخفیانه بدافزارها یا ویروس ها و نیز جلوگیری از تشخیص برنامههای مخرب طراحی شدهاند. آنها معمولاً حاوی بدافزارهای دیگری هستند که مبهمسازی شده و در کد آنها مخفی شدهاند.
این کار به منظور جلوگیری از شناسایی بدافزار توسط آنتیویروس ها انجام میشود. بسیاری از آنتیویروسها قادر به تحلیل همه اجزای قطره چکانها نیستند. این تروجان ها ابتدا در یک پوشه موقت بر روی سیستم کاربر ذخیره شده و آنگاه بدون اطلاع او اجرا میشوند.
8- آنتیویروسهای جعلی
نرمافزارهای مخربی مثل آنتیویروسهای جعلی، در ظاهر شبیه به آنتیویروسهای واقعی رفتار کرده و هشدارهای مختلفی را مانند «رفع کندی سیستم» یا «حذف ویروسهای سیستم» به کاربر نمایش میدهند تا با ترفندهای متنوع بتوانند وی را فریب دهند.
کاربران کم تجربه، ممکن است وحشت کرده و نسخه کامل این آنتیویروسهای جعلی را خریداری کنند به این امید که از شر تهدیدات امنیتی غیرواقعی که این بدافزارها ادعای آن را دارند، خلاص شوند. در حالی که آنها با انجام چنین اقدامی به راحتی مسیر را برای سایر تروجانهای تقلبی باز میکنند.
9- تروجانهای سرقت اطلاعات بازی
این تروجانها هم مثل تروجانهای بانکی با هدف سرقت اطلاعات محرمانه کاربران طراحی شدهاند. آنها بیشتر تمایل به سرقت اطلاعات مربوط به حساب کاربری بازیهای آنلاین داشته و توسط روشهای مختلف انتقال، جهت ارسال دادههای به سرقت رفته برای هکرها اقدام میکنند.
یکی از انواع تروجانهای سرقت اطلاعات بازی، تروجانهای FTP هستند. این تروجانها پورت 21 رایانه که پورت ارسال اطلاعات است را باز می کنند. در نهایت، مهاجمان می توانند از این طریق اطلاعات مدنظر خود را به سرقت ببرند.
10- تروجانهای پیامرسان
تروجانهای پیامرسان، نام کاربری و کلمه عبور کاربران را سرقت کرده و از این اطلاعات برای دسترسی به سرویسهای پیام رسانی همچون اسکایپ و واتساپ استفاده میکنند. سپس این اطلاعات را از طریق ایمیل، درخواستهای وب، FTP و سایر روشها برای مهاجمان ارسال میکنند. همچنین این بدافزارها پس از تسلط بر گوشی تلفن همراه کاربر، بدون اطلاع وی پیامکهایی را به شمارههای ناشناس ارسال میکنند.
11- تروجانهای بارگذاری
بارگذار یا Loader، یک قطعه کد است که برای نصب نسخه کامل یک ویروس از آن استفاده میشود. معمولاً ابتدا یک بارگذار کوچک وارد سیستم شده (مثلاً وقتی کاربر، یک فایل عکس آلوده را باز میکند) و در طول زمان اجرای این فرایند، بارگذار به یک سرور متصل شده و سایر اجزا را دانلود و نصب میکند.
12- تروجانهای جستجو کننده ایمیل
تروجانهای جستجو کننده ایمیل، آدرس ایمیل کاربران را از روی رایانههای آنها جمعآوری کرده و برای هکرها ارسال میکنند. هکرها هم از اطلاعات جمعآوری شده برای اجرای حملات فیشینگ و ارسال هرزنامه استفاده میکنند.
این بدافزارها میتوانند به سیستم ایمیل افراد وارد شده و ایمیلهای دریافتی و ارسالی کاربران را ذخیره کنند. یک نوع پیشرفته آنها حتی قادر به ارسال ایمیل از آدرس ایمیل کاربر و بدون اطلاع وی، به آدرسهای ایمیل ناشناس است.
13- اطلاع دهنده (Notifier)
این نوع از بدافزارها اطلاعات رایانه آلوده و وضعیت آن را برای طراح خود ارسال میکند. این اطلاعات میتواند شامل پورتهای باز، نرمافزارهای مورد استفاده و سرویسهای در حال اجرا باشد. از اطلاع دهندهها عموماً در هنگام اجرای حملات پیچیده از جمله نصب بدافزارهای چندقسمتی استفاده میشود؛ چون هکر باید مطمئن شود که همه اجزای بدافزارش به صورت کامل بر روی سیستم قربانی نصب و اجرا شدهاند.
14- پروکسیها
این تروجانها به مهاجمان امکان میدهند با استفاده از رایانه قربانی به عنوان ابزار واسط، به صورت ناشناس به وب سایتهای اینترنتی دسترسی پیدا کنند. در واقع این تروجانها تحت عنوان پروکسی سرور و برای تخریب برنامههای رایانه قربانی طراحی میشوند.
مجرمان سایبری از پروکسی ها برای مخفی شدن در پشت آیپی قربانیان جهت انجام فعالیتهای غیرقانونی، ارسال هرزنامه، کلاهبرداری از کارتهای بانکی و اجرای سایر حملات سایبری به رایانههای دیگر استفاده میکنند.
15- ابزارهای سرقت کلمه عبور
این ابزارها نیز همان گونه که از نامشان پیدا است، اقدام به سرقت کلمه عبور کاربران از رایانههای آلوده می کنند. تروجانهایی از این نوع، رمز عبور کاربران را در فایلها یا مرورگرهای اینترنتی جستجو میکنند. بعضی از مدلهای آنها توانایی سرقت مجوزهای نرمافزاری و کلمه عبور تجهیزات شبکهها و سیستمهای رایانه ای را دارند.
16- تروجانهای باجافزاری
تروجانهای باجافزاری میتوانند فایلهای کاربران را رمزنگاری کرده یا دسترسی به یک رایانه را مسدود نموده تا کاربران نتوانند از آن استفاده نمایند. پس از انجام این کار، به قربانی اعلام میشود که برای بازگرداندن سیستم به حالت قبلی باید مبلغ مشخصی را پرداخت کند. در حال حاضر این تروجانها محبوبیت بسیار زیادی داشته و بعضی از مجرمان سایبری توانستهاند در بازههای زمانی کوتاه با این روش میلیونها دلار به دست آورند.
17- تروجانهای پیامکی
این تروجانها پیامکهایی را از گوشیهای هوشمند آلوده به شمارههایی خاص ارسال میکنند تا برای کاربر، هزینه و برای مهاجم درآمد ایجاد کنند. گاهی وقت ها از این تروجانها برای تفسیر پیامک در حین اجرای حملات چندمرحلهای که شامل احراز هویت دومرحلهای میشوند هم استفاده میشود.
تروجانها چگونه کار میکنند؟
همه تروجانها از دو بخش کلاینت و سرور تشکیل شده اند. کلاینت، با کمک پروتکل TCP/IP به سرور متصل میشود. ممکن است کلاینت برای مدیریت از راه دور، یک رابط کاربری و یک مجموعه کلید و فیلد ورودی نیز داشته باشد.
بخش سرور نیز بر روی دستگاه قربانی نصب شده، فرمانها را از کلاینت دریافت و اجرا کرده و دادههای مختلف را برای آن ارسال میکند. سمت سرور پس از ورود به رایانه، یک پورت خاص را در نظر گرفته و منتظر دریافت فرمان از آن پورت میماند. سپس مهاجم، یکی از پورتهای میزبان آلوده را پینگ میکند. در صورت نصب موفقیت آمیز بخش سرور، این بخش نام شبکه و آیپی سیستم آلوده را برای مهاجم ارسال میکند. پس از برقراری ارتباط اولیه، کلاینت شروع به ارسال فرمان به بخش سمت سرور مینماید.
نشانه های آلودگی به تروجانها
از مهمترین نشانه های آلودگی سیستم به تروجان ها می توان به موارد زیر اشاره کرد:
- نصب برنامههای کاربردی جدید در منوی استارت سیستم کاربر
- نمایش پیامهای جعلی به کاربر (مثلاً در خصوص آلودگی به ویروس ها)
- گرفتن اسکرین شات از صفحه نمایش کاربر
- پخش صدا یا نمایش عکس بر روی سیستم قربانی
- راه اندازی ناگهانی سیستم
نحوه مقابله با تروجانها
بیشتر تروجانها برای اجرا نیاز به مجوز کاربر دارند. کاربران با کلیک بر روی پیوستهای دریافتی ایمیل ها یا صدور مجوز اجرای ماکروها در فایلهای آفیس، باعث اجرای بدافزارها میشوند. بنابراین بهترین سازوکار حفاظتی در برابر تروجانها، آموزش و آگاهی بخشی امنیتی به کاربران است. اگر قرار است فایلی را دانلود کنید باید از منبع آن کاملاً مطمئن باشید.
همواره همه نرمافزارها و به خصوص سیستم عامل، آنتیویروس و مرورگرهای وب را به روز نگهدارید. معمولاً مهاجمان از حفرههای امنیتی موجود در این نرمافزارها برای نصب تروجان استفاده میکنند. برای حفظ امنیت ارتباطات اینترنتی حتماً فایروال سیستم را فعال کنید. نرمافزارهای آنتیویروس خوب قادر به شناسایی و حذف خودکار تروجانها هستند. به منظور عملکرد بهتر این نرمافزارها می بایست به صورت مداوم آنها را به روزرسانی کنید.
منبع: csoonline