انواع تروجان‌ها و روش‌های محافظت در برابر آنها

تروجان ها یکی از انواع بدافزارها هستند که با نفوذ به سیستم ها می‌توانند مخاطراتی را برای کاربران به وجود آورند. البته خود آنها نیز دسته بندی های مختلفی داشته و حتی تروجان‌هایی وجود دارد که می توانند سطح دسترسی شان به سیستم ها را افزایش دهند. به عبارت دیگر، قابلیت ارتقای سطح دسترسی خود به سیستم را به میزان سطح دسترسی کاربر دارند.

تروجان ها یکی از انواع بدافزارها هستند

اگرچه تروجان ها مانند ویروس‌ها (دسته دیگری از بدافزارها) خود به خود تکثیر پیدا نمی کنند اما همچنان به اندازه آنها مخرب هستند تا حدی که می‌توانند سیستم های رایانه ای را به صورت کامل از کار بیندازند. این نوع از بدافزارها نامشان را از یک افسانه باستانی یونانی به نام «جنگ تروجان (اسب تروجان)» گرفته اند که هدف اصلی آن گمراه کردن اشخاص بوده است. یونانی ها در این افسانه، سربازان جنگی خود را جهت فریب محافظان، درون یک اسب چوبی پنهان کرده و آن را به قلعه دشمنان خود فرستادند.

تروجان‌ها سعی می‌کنند کاربران را فریب داده تا با دست خودشان آنها را بر روی سیستم نصب کنند. در واقع آنها نرم‌افزارهایی هستند که با مخفی شدن در قالب برنامه‌های به ظاهر بی‌خطر، ظاهر شرورانه خود را از دید کاربر پنهان نگه می‌دارند. به بیان دیگر، تروجان‌ها نوعی فایل مخرب هستند که هکر با توجه به نیازش و دسترسی به اطلاعات قربانی، آن را آماده و برای کاربر ارسال می‌کند.

تروجان‌ها انواع مختلفی داشته و به روش‌های متفاوتی نیز به سیستم ها نفوذ می کنند. با این وجود، همه آنها در نهایت برای آلوده کردن سیستم‌ها نیاز به انجام فعالیت خاصی از طرف کاربران دارند؛ زیرا این برنامه‌ها یا توسط کاربر و به صورت مستقیم روی سیستم مورد نظر نصب می‌شوند یا اینکه با کلیک قربانی بر روی یک لینک یا سایت مخرب نصب و اجرا خواهند شد.

 

اهداف و کاربردها

هدف اصلی مجرمان سایبری از این بدافزارها انجام یکی از اقدامات شرورانه زیر است:

 

انواع تروجان‌ها

برخلاف ویروس‌ها که تنوع آنها نسبتاً محدود است، تروجان‌ها یک قالب ثابت نداشته و شکل ها و فرم‌های مختلفی دارند؛ از جمله در پشتی (که از راه دور می تواند به رایانه هدف دسترسی داشته و آن را در کنترل خود بگیرد) و دانلود کننده‌ها (که می‌توانند سایر برنامه‌های مخرب را بر روی سیستم قربانی، دانلود و نصب کنند).

تروجان ها ممکن است به صورت یک عکس، فایل ویدیویی، نرم‌افزارهای رایگان و غیره در اختیار کاربران قرار گیرند. در واقع هکر از طریق ترکیب تروجان مورد نظر با یک فایل تصویری، اجرایی یا پیوست کردن آن به ایمیل ها وارد سیستم می شود. به این فرایند که عملیات مخفی کردن تروجان در پشت برنامه‌های کاربردی است، در اصطلاح “Wrapping” گفته می شود. به این ترتیب هکرها با دور زدن راهکارهای امنیتی سیستم ها همچون از کار انداختن فایروال‌ها و آنتی‌ویروس‌ها تروجان را وارد سیستم قربانی کرده و قادر خواهند بود به راحتی اطلاعات کاربر را دچار مخاطره کنند.

 

1- ArcBomb

 

این گروه از تروجان‌ها به صورت فایل‌های آرشیو طراحی شده‌اند و زمانی که کاربر اقدام به باز کردن آنها می کند، رفتار عادی از خود نشان می‌دهند. فایل‌های آرشیو ArcBomb، سرعت سیستم را به شدت کند کرده یا آن را از کار می‌اندازند.

در طراحی این فایل‌های آرشیو ویرانگر از فنون مختلفی استفاده می‌شود. به عنوان مثال ممکن است در آنها از هدرهای ساختگی یا داده‌های مخربی استفاده شود که منجر به نقص عملکرد الگوریتم آرشیو کننده فایل ها یا باز کننده آنها شود. همچنین ممکن است شامل اشیای حجیمی متشکل از داده‌های یکسان و تکراری باشند که امکان بسته‌بندی آنها در قالب یک فایل آرشیو کوچک وجود دارد. مثلاً یک فایل 10 گیگابایتی می تواند به یک فایل آرشیو 400 کیلوبایتی تبدیل شود.

2- در پشتی (Back Door)

درهای پشتی امکان کنترل رایانه‌ها را از راه دور، در اختیار مجرمان سایبری قرار می دهند. آنها از این طریق تغییراتی را روی سیستم‌ها ایجاد می‌کنند به گونه‌ای که هکرها و سایر بدافزارها بتوانند به آنها دسترسی داشته باشند. مهاجمان همچنین امکان آن را دارند که بر روی رایانه‌های آلوده اقدامات مختلفی از جمله ارسال، دریافت، حذف یا اجرای فایل ها و نیز نمایش هشداری روی صفحه نمایش رایانه یا حتی راه اندازی مجدد سیستم را انجام دهند.

این تروجان‌ها امکان دانلود و نصب کدهای دیگر را هم به مهاجمان می دهند. آنها همچنین می توانند کلیدهای تایپ شده بر روی صفحه کلید رایانه را ثبت و ذخیره کرده (عملکردی شبیه کی‌لاگرها) یا دوربین و میکروفون سیستم را روشن کنند. گاهی وقت ها از این درهای پشتی برای مدیریت یک گروه از رایانه های آلوده (و اخیراً تجهیزات اینترنت اشیا) در قالب بات‌نت ها استفاده می‌شود.

علاوه ‌بر این از طریق شبکه می‌توان یک نوع در پشتی دیگر را هم توزیع کرد (مثل کرم‌های رایانه‌ای). معمولاً این درهای پشتی به صورت مستقل منتشر نمی‌شوند بلکه از طراح‌شان فرمان می‌گیرند.

3- تروجان‌های بانکی

تروجان‌های بانکی با هدف سرقت اطلاعات محرمانه کاربران مثل اطلاعات ورود به حساب کاربری، کلمه عبور، کدهای احراز هویت پیامکی یا اطلاعات حساب بانکی طراحی و تولید می‌شوند. این بدافزارها به نرم‌افزارهای بانکی که روی سیستم نصب هستند، حمله می‌کنند.

Emotet

بدافزار Emotet یکی از تروجان های معروف در زمینه سرقت اطلاعات احراز هویت کاربران است. این بدافزار که در سال 2014 میلادی شناسایی شد، در ابتدا برای سرقت اطلاعات حساب های بانکی ایجاد شده بود ولی به مرور زمان قابلیت‌های دیگری مثل ارسال هرزنامه و دانلود بدافزار هم به آن اضافه شد.

به این ترتیب و با اضافه شدن قابلیت های جدید به Emotet، این بدافزار دیگر قادر به انجام فعالیت های مخرب بر روی سیستم کاربران بود. عملکرد این بدافزار به این صورت است که می‌تواند آنتی‌ویروس‌ها را دور زده و از دید سیستم های امنیتی رایانه مخفی بماند. این بدافزار، فایل‌های خود را از طریق هرزنامه های آلوده در شبکه‌های مختلف منتشر کرده و به سرعت در رایانه‌های عضو شبکه منتشر می‌شود. بدافزار Emotet از روش‌های مهندسی اجتماعی مانند ترغیب کاربران جهت کلیک بر روی یک لینک آلوده نیز استفاده می‌کند.

TrickBot

بدافزار TrickBot که در سال 2016 شناسایی شد، هنوز هم یکی از پرکاربردترین تروجان‌های بانکی به شمار می رود. TrickBot علاوه بر هدف گرفتن حساب‌های بانکی می تواند رمزارزهای کاربران را هم از کیف پول‌های دیجیتالی آنها سرقت کند.

این تروجان از چندین ماژول مختلف تشکیل شده است که در قالب یک فایل پیکربندی (فایل‌های متنی که تنظیمات مربوط به نرم‌افزار یا بازی در آن، با ساختار و قالب خاصی ذخیره شده است) با هم ترکیب شده‌اند. هر یک از این ماژول‌ها کار خاصی را مثل سرقت اطلاعات حساب بانکی، ایجاد شرایط حضور پایدار در سیستم قربانی و رمزنگاری اطلاعات انجام می‌دهد. این تروجان از مودم‌های بی‌سیم هک شده برای دسترسی به سرورهای فرماندهی و کنترل خود استفاده می‌کند.

البته تاکنون تروجان‌های بانکی دیگری نیز شناسایی شده اند که از جمله آنها می توان به ZeuS، Dridex، Kovter، Cryptowall و Gh.st اشاره کرد.

4- کلیک کننده‌ها (Clicker)

این تروجان‌ها برای دسترسی به سرورها و وب سایت‌های اینترنتی طراحی و تولید شده‌اند. به دلیل آنکه کلیک کننده‌ها به مرورگرهای اینترنتی فرمان ارسال می‌کنند بنابراین کاربران امکان اطلاع از فعالیت آنها را ندارند. این تروجان‌ها همچنین می‌توانند فایل‌های اصلی سیستم عامل ویندوز که آدرس‌های اینترنتی در آنها درج می شود را هم تغییر دهند.

معمولاً از کلیک کننده‌ها برای انجام کارهای مختلفی استفاده می‌شود که عبارتند از:

5- محروم سازی از سرویس توزیع شده (DDoS)

هدف تروجان‌های DDoS، اجرای حملات محروم‌سازی از سرویس است که آی‌پی‌های خاصی را هدف قرار می دهند. این تروجان ها می توانند سیستم ها را از دسترس سایر کاربران خارج کنند. هنگامی که حملات آنها آغاز شود، به منظور ایجاد اختلال در عملکرد سرور یا سایت قربانی، حجم زیادی از درخواست‌ها را از طرف سیستم های آلوده به سوی آن ارسال می‌کنند.

بنابراین این حملات، از طریق ارسال فرامین و درخواست‌ها از رایانه های آلوده، حملات به آدرس‌های وب خاصی را هدایت کرده و در نتیجه می‌توانند سیستم مربوطه را با مشکلات جدی مواجه سازند.

مجرمان سایبری برای افزایش احتمال موفقیت حملات DDoS باید سیستم‌های زیادی را با استفاده از تروجان‌های DDoS آلوده کنند. برای دستیابی به این هدف، معمولاً از حملات فیشینگ و ارسال هرزنامه‌های انبوه استفاده می‌شود. به محض اینکه بات‌نت آماده شد همزمان تمامی رایانه‌های آلوده، به سیستم قربانی حمله می‌کنند.

6- دانلود کننده‌ها

این تروجان‌ها همانطور که از اسم شان مشخص است، قابلیت دانلود و اجرای بدافزارها از جمله سایر تروجان‌ها را داشته و همچنین امکان دانلود و نصب نسخه‌های جدید آنها را نیز بر روی رایانه کاربران دارند. داده‌های مربوط به محل و نام برنامه‌هایی که باید دانلود شوند، در کد تروجان ذخیره شده یا از سروری که تحت کنترل طراح تروجان قرار دارد، دریافت می‌شود.

از تروجان‌های دانلود کننده برای نفوذ اولیه به سیستم‌ها استفاده می‌شود. کاربران ناآگاه، وارد وب سایت‌های آلوده به اکسپلویت شده و سپس این اکسپلویت‌ها تروجان‌های دانلود کننده را بر روی سیستم آنها نصب می کنند. در نهایت هم سایر اجزای پی‌لود مخرب بر روی سیستم قربانی دانلود و اجرا می شود.

7- قطره چکان (Dropper)

این نرم‌افزارها برای نصب مخفیانه بدافزارها یا ویروس ها و نیز جلوگیری از تشخیص برنامه‌های مخرب طراحی شده‌اند. آنها معمولاً حاوی بدافزارهای دیگری هستند که مبهم‌سازی شده و در کد آنها مخفی شده‌اند.

این کار به منظور جلوگیری از شناسایی بدافزار توسط آنتی‌ویروس ها انجام می‌شود. بسیاری از آنتی‌ویروس‌ها قادر به تحلیل همه اجزای قطره چکان‌ها نیستند. این تروجان ها ابتدا در یک پوشه موقت بر روی سیستم کاربر ذخیره شده و آنگاه بدون اطلاع او اجرا می‌شوند.

8- آنتی‌ویروس‌های جعلی

نرم‌افزارهای مخربی مثل آنتی‌ویروس‌های جعلی، در ظاهر شبیه به آنتی‌ویروس‌های واقعی رفتار کرده و هشدارهای مختلفی را مانند «رفع کندی سیستم» یا «حذف ویروس‌های سیستم» به کاربر نمایش می‌دهند تا با ترفندهای متنوع بتوانند وی را فریب دهند.

کاربران کم تجربه، ممکن است وحشت کرده و نسخه کامل این آنتی‌ویروس‌های جعلی را خریداری کنند به این امید که از شر تهدیدات امنیتی غیرواقعی که این بدافزارها ادعای آن را دارند، خلاص شوند. در حالی که آنها با انجام چنین اقدامی به راحتی مسیر را برای سایر تروجان‌های تقلبی باز می‌کنند.

9- تروجان‌های سرقت اطلاعات بازی

این تروجان‌ها هم مثل تروجان‌های بانکی با هدف سرقت اطلاعات محرمانه کاربران طراحی شده‌اند. آنها بیشتر تمایل به سرقت اطلاعات مربوط به حساب کاربری بازی‌های آنلاین داشته و توسط روش‌های مختلف انتقال، جهت ارسال داده‌های به سرقت رفته برای هکرها اقدام می‌کنند.

یکی از انواع تروجان‌های سرقت اطلاعات بازی، تروجان‌های FTP هستند. این تروجان‌ها پورت 21 رایانه که پورت ارسال اطلاعات است را باز می کنند. در نهایت، مهاجمان می توانند از این طریق اطلاعات مدنظر خود را به سرقت ببرند.

10- تروجان‌های پیام‌رسان

تروجان‌های پیام‌رسان، نام کاربری و کلمه عبور کاربران را سرقت کرده و از این اطلاعات برای دسترسی به سرویس‌های پیام رسانی همچون اسکایپ و واتساپ استفاده می‌کنند. سپس این اطلاعات را از طریق ایمیل، درخواست‌های وب، FTP و سایر روش‌ها برای مهاجمان ارسال می‌کنند. همچنین این بدافزارها پس از تسلط بر گوشی تلفن همراه کاربر، بدون اطلاع وی پیامک‌هایی را به شماره‌های ناشناس ارسال می‌کنند.

11- تروجان‌های بارگذاری

بارگذار یا Loader، یک قطعه کد است که برای نصب نسخه کامل یک ویروس از آن استفاده می‌شود. معمولاً ابتدا یک بارگذار کوچک وارد سیستم شده (مثلاً وقتی کاربر، یک فایل عکس آلوده را باز می‌کند) و در طول زمان اجرای این فرایند، بارگذار به یک سرور متصل شده و سایر اجزا را دانلود و نصب می‌کند.

12- تروجان‌های جستجو کننده ایمیل

تروجان‌های جستجو کننده ایمیل، آدرس ایمیل کاربران را از روی رایانه‌های آنها جمع‌آوری کرده و برای هکرها ارسال می‌کنند. هکرها هم از اطلاعات جمع‌آوری شده برای اجرای حملات فیشینگ و ارسال هرزنامه استفاده می‌کنند.

این بدافزارها می‌توانند به سیستم ایمیل افراد وارد شده و ایمیل‌های دریافتی و ارسالی کاربران را ذخیره کنند. یک نوع پیشرفته آنها حتی قادر به ارسال ایمیل از آدرس ایمیل کاربر و بدون اطلاع وی، به آدرس‌های ایمیل ناشناس است.

13- اطلاع دهنده (Notifier)

این نوع از بدافزارها اطلاعات رایانه آلوده و وضعیت آن را برای طراح خود ارسال می‌کند. این اطلاعات می‌تواند شامل پورت‌های باز، نرم‌افزارهای مورد استفاده و سرویس‌های در حال اجرا باشد. از اطلاع دهنده‌ها عموماً در هنگام اجرای حملات پیچیده از جمله نصب بدافزارهای چندقسمتی استفاده می‌شود؛ چون هکر باید مطمئن شود که همه اجزای بدافزارش به صورت کامل بر روی سیستم قربانی نصب و اجرا شده‌اند.

14- پروکسی‌ها

این تروجان‌ها به مهاجمان امکان می‌دهند با استفاده از رایانه قربانی به عنوان ابزار واسط، به صورت ناشناس به وب سایت‌های اینترنتی دسترسی پیدا کنند. در واقع این تروجان‌ها تحت عنوان پروکسی سرور و برای تخریب برنامه‌های رایانه قربانی طراحی می‌شوند.

مجرمان سایبری از پروکسی ها برای مخفی شدن در پشت آی‌پی قربانیان جهت انجام فعالیت‌های غیرقانونی، ارسال هرزنامه، کلاهبرداری از کارت‌های بانکی و اجرای سایر حملات سایبری به رایانه‌های دیگر استفاده می‌کنند.

 

15- ابزارهای سرقت کلمه عبور

این ابزارها نیز همان گونه که از نامشان پیدا است، اقدام به سرقت کلمه عبور کاربران از رایانه‌های آلوده می کنند. تروجان‌هایی از این نوع، رمز عبور کاربران را در فایل‌ها یا مرورگرهای اینترنتی جستجو می‌کنند. بعضی از مدل‌های آنها توانایی سرقت مجوزهای نرم‌افزاری و کلمه عبور تجهیزات شبکه‌ها و سیستم‌های رایانه ای را دارند.

16- تروجان‌های باج‌افزاری

تروجان‌های باج‌افزاری می‌توانند فایل‌های کاربران را رمزنگاری کرده یا دسترسی به یک رایانه را مسدود نموده تا کاربران نتوانند از آن استفاده نمایند. پس از انجام این کار، به قربانی اعلام می‌شود که برای بازگرداندن سیستم به حالت قبلی باید مبلغ مشخصی را پرداخت کند. در حال حاضر این تروجان‌ها محبوبیت بسیار زیادی داشته و بعضی از مجرمان سایبری توانسته‌اند در بازه‌های زمانی کوتاه با این روش میلیون‌ها دلار به دست آورند.

17- تروجان‌های پیامکی

این تروجان‌ها پیامک‌هایی را از گوشی‌های هوشمند آلوده به شماره‌هایی خاص ارسال می‌کنند تا برای کاربر، هزینه و برای مهاجم درآمد ایجاد کنند. گاهی وقت ها از این تروجان‌ها برای تفسیر پیامک در حین اجرای حملات چندمرحله‌ای که شامل احراز هویت دومرحله‌ای می‌شوند هم استفاده می‌شود.

 

تروجان‌ها چگونه کار می‌کنند؟

همه تروجان‌ها از دو بخش کلاینت و سرور تشکیل شده اند. کلاینت، با کمک پروتکل TCP/IP به سرور متصل می‌شود. ممکن است کلاینت برای مدیریت از راه دور، یک رابط کاربری و یک مجموعه کلید و فیلد ورودی نیز داشته باشد.

بخش سرور نیز بر روی دستگاه قربانی نصب شده، فرمان‌ها را از کلاینت دریافت و اجرا کرده و داده‌های مختلف را برای آن ارسال می‌کند. سمت سرور پس از ورود به رایانه، یک پورت خاص را در نظر گرفته و منتظر دریافت فرمان از آن پورت می‌ماند. سپس مهاجم، یکی از پورت‌های میزبان آلوده را پینگ می‌کند. در صورت نصب موفقیت آمیز بخش سرور، این بخش نام شبکه و آی‌پی سیستم آلوده را برای مهاجم ارسال می‌کند. پس از برقراری ارتباط اولیه، کلاینت شروع به ارسال فرمان به بخش سمت سرور می‌نماید.

 

نشانه های آلودگی به تروجان‌ها

از مهمترین نشانه های آلودگی سیستم به تروجان ها می توان به موارد زیر اشاره کرد:

 

نحوه مقابله با تروجان‌ها

بیشتر تروجان‌ها برای اجرا نیاز به مجوز کاربر دارند. کاربران با کلیک بر روی پیوست‌های دریافتی ایمیل ها یا صدور مجوز اجرای ماکروها در فایل‌های آفیس، باعث اجرای بدافزارها می‌شوند. بنابراین بهترین سازوکار حفاظتی در برابر تروجان‌ها، آموزش و آگاهی بخشی امنیتی به کاربران است. اگر قرار است فایلی را دانلود کنید باید از منبع آن کاملاً مطمئن باشید.

همواره همه نرم‌افزارها و به خصوص سیستم عامل، آنتی‌ویروس و مرورگرهای وب را به روز نگهدارید. معمولاً مهاجمان از حفره‌های امنیتی موجود در این نرم‌افزارها برای نصب تروجان استفاده می‌کنند. برای حفظ امنیت ارتباطات اینترنتی حتماً فایروال سیستم را فعال کنید. نرم‌افزارهای آنتی‌ویروس خوب قادر به شناسایی و حذف خودکار تروجان‌ها هستند. به منظور عملکرد بهتر این نرم‌افزارها می بایست به صورت مداوم آنها را به روزرسانی کنید.

 

منبع: csoonline

 

خروج از نسخه موبایل