مشاهده نسخه کامل
: habibi
05-12-2004, 18:10
پيش نويس: اين مطلب رو از تاپيك خبرهاي امنيتي ماهان عزيز برداشتم چون ديدم واقعا آموزشيه گفتم اينجا هم بذارم تا دوستان بيشتر استفاده كنن.
(ماهان جان مرسي)
همانطور كه مي دانيد در تاريخ يونان باستان سربازان در يك اسب چوبي پنهان شده اند و توانسته اند «تروا» رافتح كنند.
همانطور كه مي دانيد در تاريخ يونان باستان سربازان در يك اسب چوبي پنهان شده اند و توانسته اند «تروا» رافتح كنند. در همين ارتباط است كه در مورد برنامه ها و نرم افزارهاي كامپيوتري هم كلمه trojan هميشه به ياد آورنده برنامه هايي با ظاهر بسيار ساده ولي كارايي هاي مخفي فوق العاده است. بعنوان مثال شما ممكن است برنامه اي را به گمان اينكه يك «بازي» بيش نيست از اينترنت Download كرده باشيد ولي در واقع آن برنامه اي است كه مشغول جمع آوري اطلاعات درباره شما و يادر حال غير فعال كردن عوامل اميني دستگاه شماست تا كار يك نفوذگر (hacker) را ساده تر كند.
اين برنامه ها (تحت عنوان Torjans) مي توانيد به صورت هر نوع برنامه اي ظاهر شوند و فعاليتي كاملاً متفاوت از آن چه از آنها انتظار مي رود را انجام دهند. آنها مي توانند به صورت بازي، Screen saver ، Update كننده نرم افزارهاي مختلف، برنامه هاي نفوذ (----) يا حتي برنامه هاي Anti. Torjan ظاهر شوند و حتي ممكن است به برنامه هايي كه هم اكنون در دستگاه شما نصب است و به آن ها اطمينان داريد ضميمه شوند
از چه راهي وارد مي شوند؟
Download كردن فايل هاي آلوده از اينترنت، معمول ترين شيوه قرار گرفتن در معرض خطر است ولي trojan ها از راههاي زيادي ممكن است به سيستم شما راهيابند از جمله:
ضميمه شدن به يك e-mail
جاسازي شدن در HTML متن يك برنامه
از طريق ديسكت ها
ضميمه شدن به يك برنامه
در حال فرستادن يا دريافت فايلي از طريق IM
از طريق يك Hyperlink به يك URL كه حاوي متن عجيبي است.
از طريق نفوذ به يك فولدر Share شده
يا اينكه يك Hacker شخصاً اقدام مي كند و با وارد كردن يك ديسكت يا CD به كامپيوتر شما، آن را آلوده مي كند.
در هر يك از حالت هاي بالا يك چيز قطعي است و آن اينكه يك Hacker بالاخره به طريقي از سيستم دفاعي كامپيوتر شما عبور خواهد كرد.
شبكه هاي كمي به كاربران و دارندگان كامپيوترهاي شخصي نيروي دفاعي لازم براي جلوگيري از حملات اين چنين را مي دهند. وقتي از يك برنامه آلوده استفاده مي كنيد، قسمت پنهان Trojan خود را در يك قسمت مخفي كپي مي كند اين موضوع تغييراتي در سيستم شما ايجاد مي كند و باعث مي شود كه هر بار كه دستگاهتان را روشن مي كنيد Trojan هم اجرا شود.
Trojan مي تواند به يكي از روش هاي زير در يك مكان مخفي شود:
ربودن يك آيكن آشنا
تغيير نام دادن يك فايل
Packaing
Binding
ربودن يك ايكن آشنا يكي از مرسوم ترين شيوه هايي است كه برنامه هاي مخرب به كار مي گيرند، وقتي روي آيكن مورد نظر كليك مي كنيد، Trojan برنامه را در حالت عادي اجرا مي كند تا شما شك نكنيد، ولي در همين حال مشغول انجام دادن عمليات خرابكارانه خود است.
راه ديگر تغيير دادن نام فايل هاست، Trojam نام يكي از فايل هايي كه بسيار مورد استفاده شماست مي گيرد و به خود نامي آشنا چون Dir.exe يا Calc.exe مي دهد، كافيست در هنگام اجراي آن Ctrl+Alt+del را فشار دهيد، خواهيد ديد كه مي تواند حتي به صورت يك تايمر سيستم يا آنتي ويروس ظاهر شود. Packing يك برنامه هم به معناي انجام مراحلي است كه باعث شود آن برنامه فضاي كمتري در هارد اشغال كند. اين كار البته باعث مي شود كه ساختار برنامه به طور كلي عوض شود. كه در نتيجه شناسايي آنها توسط آنتي ويروس ها و Antitrogan ها مشكل مي شود.
Binding هم يعني ضميمه كردن كدهاي خرابكارانه به برنامه ها در اين صورت وقتي برنامه اجرا مي شود، همزمان با آن Trojan هم شروع به فعاليت مي كند.
صدماتي كه Trojan ها مي توانند به سيستم شما وارد كنند:
مهمترين فعاليت آنها اين است كه امكان دستيابي مستقيم به سيستم شما را فراهم مي كنند (در اين صورت به نام RAT شناخته مي شوند) در اينترنت هزاران RAT وجود دارد كه اكثر آنها مجاني هستند و كار با آنها آنقدر ساده است كه حتي افرادي كه اطلاع كمي در زمينه كامپيوتر دارند مي توانند آنها را فعال كنند.
RAT ها مي توانند كنترل سيستم شما را بدست گيرند و يك يا چند عمل زير را انجام دهند:
فايل ها را كپي كنند، نام آنها را تغيير دهند يا آنها را پاك كنند.
نشانگر موس را پنهان كنند.
كامپيوتر شما را Reboot كنند.
كلمات عبور را فاش كنند.
ارتباط شما را به اينترنت وصل يا از آن قطع كنند.
كنترل Web cam شما را به دست گيرند.
e-mail هاي مختلفي را بفرستند يا دريافت كنند.
و اين ليست ادامه مي يابد،....
اما چرا بايد كسي علاقمند به در دست گرفتن كنترل كامپيوتر شما باشند؟
اگر شما فقط كاربري با يك PC هستيد امكان اينكه مورد حمله hacker ها قرار بگيريد چندان زياد نيست. اما با اين حال كافيست يكبار مورد حمله قرار گيريد، پس از آن كامپيوتر شما مثل وسيله اي است كه كامپيوترهاي ديگر هم از طريق آن مي توانند مورد حمله قرار گيرند.
استراتژي آنها اين است كه ابتدا به كامپيوترهاي شخصي حمله مي كنند و سپس از آنها در حمله به سيستم هاي كامپيوتري قوي مثل دانشگاهها يا سازمان ها استفاده مي كنند و بعد از پايان يافتن عمليات، تمام ردپاهاي خود را از بين مي برند، رديابي حملات غير مستقيم معمولاً غير ممكن يا بسيار دشوار است.
چگونه از دستگاه خود محافظت كنيم؟
هيچ برنامه يا ليستي به تنهايي نمي تواند جلوي حملات trojan ها را بگيرد بنابراين شما نيازمند استفاده از تركيبي از تكنيك ها هستيد. شما بايد به كامپيوتر خود به ديد شهري كه در معرض حمله دشمن است نگاه كنيد پس نياز داريد:
براي آن ديوار بسازيد
مراقب افرادي كه در ارتباط با شهر هستند باشيد
دشمان احتمالي را ريشه يابي كنيد.
براي آن ديوار بسازيد
اولين مرحله دفاع بايد توسط تنظيمات امنيتي نرم افزار اينترنت شما باشد (Security setting) شامل email, Messanger, browser .
تا آنجا كه مي توانيد در تنظيم آن دقيق باشيد، مرحله دوم firewall (ديوار آتش) است تا اين جا توانسته ايد جلوي قسمت عظيمي از هجوم ها را بگيريد.
مراقب افرادي كه در ارتباط با شما هستند باشيد
هربار كه فايلي download مي كنيد يا به هر طريقي مثل email به شما مي رسد، شما يك trajan را به كامپيوتر خود دعوت مي كنيد. عباراتي مثل “Free” يا “exciting” و جملات وسوسه انگيزي از اين قبيل بايد فوراً شما را به فكر وادارد. سايت هاي غير قانوني (Warez) ممكن است در نگاه اول جالب به نظر برسند ولي عموماً حاوي ويروس هاي پر مخاطره اي براي سيستم شما هستند . download كردن فايل از چنين سايت هايي درست مثل كوبيدن يك چكش به هارد ديسك شما عمل مي كند.
موارد بسيار زياد ديگري هم در اين ارتباط وجود دارد. مثلاً چيزهايي كه ما همواره به آنها اعتماد مي كنيم، از تبديل ديسكتي كه يك دوست به ما مي دهد. برنامه هايي كه سايت ها براي Update كردن ارائه مي كنند و هيچ وقت فكر نكنيد كه نرم افزارهايي كه از شركتهاي معتبر تهيه مي كنيد كاملاً سالم هستند.
همه راههاي ووردي فايل ها را چك كنيد.
هر فايلي كه برايتان فرستاده مي شود را نپذيريد.
همه فايل ها را Scan كنيد.
Bios كامپيتر خود ا چك كنيد تا از راه فلاپي boot نشود.
دشمان احتماي را ريشه يابي كنيد.
طراحي Trojan ها طوري است كه شناسايي آنها را مشكل مي كند و اگر طراح آنها شخص با تجربه اي باشد شما هيچ وقت از وجود آنها مطلع نخواهيد شد. ولي يك چيز بين همه آنها مشترك است و آن اينكه آنها تنظيمات دستگاه شما را تغيير مي دهد.
چه بايد كرد؟
مراقب همه تغييراتي كه در سيستمتان رخ مي دهد باشيد. نرم افزارهاي متعددي وجود دارند كه همه تغييرات در تنظيمات(Setting) دستگاهتان را به اطلاعتان مي رسانند. يكي از برنامه ها Intergrity Master قابل Download كردن از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] است . از ديگر برنامه هاي مشابه مي توان به Inctrl5 قابل Download از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] است. بعد از نصب اين برنامه بايد هر بار كه سيستم خود را روشن مي كنيد يا نرم افزاري جديدي را نصب يا اجرا مي كنيد اين برنامه را فعال كنيد تا در صورتي كه از تغييرات setting دستگاهتان راضي نيستيد با backup گرفتن آنها را به صورت قبلي در بياوريد.
جعبه هاي شني (sand boxes)
يكي از راههاي ديگر هم اين است كه همه برنامه ها و فايل هايي كه مي خواهيم در سيستم خود بريزيد را قبلاً چك كنيد. براي اين منظور مي توانيد از برنامه هايي چون surfingGuard قابل نصب از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] استفاده كنيد. اين برنامه به شما اجازه نصب هر برنامه اي را مي دهد ولي در يك محيط كنترل شده(Sand box) تا احتمال وارد شدن هر گونه صدمه اي به دستگاه شما را به حداقل برساند.
شناسايي و پاك كردن trojanها:
بعضي معتقدند بهترين راه پاك كردن hard disk و ريختن دوباره ويندوز است ولي راههاي ساده تري هم براي اين كار وجود دارد. برنامه هاي Antivirus مدرن و قوي توانايي پاك كردن اكثر trojan ها را دارند. براي اطمينان بيشتر مي توانيد از اسكنر Anti-trojan هم استفاده كنيد. براي آشنايي با اسكنرهاي معروف Trojan ها مي توانيد به ليستي كه در سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] آمده نظري بيندازيد. يكي از بهترين نمونه هاي آورده شده در اين سايت the cleaner است.
([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])
(ماهان جان مرسي)
همانطور كه مي دانيد در تاريخ يونان باستان سربازان در يك اسب چوبي پنهان شده اند و توانسته اند «تروا» رافتح كنند.
همانطور كه مي دانيد در تاريخ يونان باستان سربازان در يك اسب چوبي پنهان شده اند و توانسته اند «تروا» رافتح كنند. در همين ارتباط است كه در مورد برنامه ها و نرم افزارهاي كامپيوتري هم كلمه trojan هميشه به ياد آورنده برنامه هايي با ظاهر بسيار ساده ولي كارايي هاي مخفي فوق العاده است. بعنوان مثال شما ممكن است برنامه اي را به گمان اينكه يك «بازي» بيش نيست از اينترنت Download كرده باشيد ولي در واقع آن برنامه اي است كه مشغول جمع آوري اطلاعات درباره شما و يادر حال غير فعال كردن عوامل اميني دستگاه شماست تا كار يك نفوذگر (hacker) را ساده تر كند.
اين برنامه ها (تحت عنوان Torjans) مي توانيد به صورت هر نوع برنامه اي ظاهر شوند و فعاليتي كاملاً متفاوت از آن چه از آنها انتظار مي رود را انجام دهند. آنها مي توانند به صورت بازي، Screen saver ، Update كننده نرم افزارهاي مختلف، برنامه هاي نفوذ (----) يا حتي برنامه هاي Anti. Torjan ظاهر شوند و حتي ممكن است به برنامه هايي كه هم اكنون در دستگاه شما نصب است و به آن ها اطمينان داريد ضميمه شوند
از چه راهي وارد مي شوند؟
Download كردن فايل هاي آلوده از اينترنت، معمول ترين شيوه قرار گرفتن در معرض خطر است ولي trojan ها از راههاي زيادي ممكن است به سيستم شما راهيابند از جمله:
ضميمه شدن به يك e-mail
جاسازي شدن در HTML متن يك برنامه
از طريق ديسكت ها
ضميمه شدن به يك برنامه
در حال فرستادن يا دريافت فايلي از طريق IM
از طريق يك Hyperlink به يك URL كه حاوي متن عجيبي است.
از طريق نفوذ به يك فولدر Share شده
يا اينكه يك Hacker شخصاً اقدام مي كند و با وارد كردن يك ديسكت يا CD به كامپيوتر شما، آن را آلوده مي كند.
در هر يك از حالت هاي بالا يك چيز قطعي است و آن اينكه يك Hacker بالاخره به طريقي از سيستم دفاعي كامپيوتر شما عبور خواهد كرد.
شبكه هاي كمي به كاربران و دارندگان كامپيوترهاي شخصي نيروي دفاعي لازم براي جلوگيري از حملات اين چنين را مي دهند. وقتي از يك برنامه آلوده استفاده مي كنيد، قسمت پنهان Trojan خود را در يك قسمت مخفي كپي مي كند اين موضوع تغييراتي در سيستم شما ايجاد مي كند و باعث مي شود كه هر بار كه دستگاهتان را روشن مي كنيد Trojan هم اجرا شود.
Trojan مي تواند به يكي از روش هاي زير در يك مكان مخفي شود:
ربودن يك آيكن آشنا
تغيير نام دادن يك فايل
Packaing
Binding
ربودن يك ايكن آشنا يكي از مرسوم ترين شيوه هايي است كه برنامه هاي مخرب به كار مي گيرند، وقتي روي آيكن مورد نظر كليك مي كنيد، Trojan برنامه را در حالت عادي اجرا مي كند تا شما شك نكنيد، ولي در همين حال مشغول انجام دادن عمليات خرابكارانه خود است.
راه ديگر تغيير دادن نام فايل هاست، Trojam نام يكي از فايل هايي كه بسيار مورد استفاده شماست مي گيرد و به خود نامي آشنا چون Dir.exe يا Calc.exe مي دهد، كافيست در هنگام اجراي آن Ctrl+Alt+del را فشار دهيد، خواهيد ديد كه مي تواند حتي به صورت يك تايمر سيستم يا آنتي ويروس ظاهر شود. Packing يك برنامه هم به معناي انجام مراحلي است كه باعث شود آن برنامه فضاي كمتري در هارد اشغال كند. اين كار البته باعث مي شود كه ساختار برنامه به طور كلي عوض شود. كه در نتيجه شناسايي آنها توسط آنتي ويروس ها و Antitrogan ها مشكل مي شود.
Binding هم يعني ضميمه كردن كدهاي خرابكارانه به برنامه ها در اين صورت وقتي برنامه اجرا مي شود، همزمان با آن Trojan هم شروع به فعاليت مي كند.
صدماتي كه Trojan ها مي توانند به سيستم شما وارد كنند:
مهمترين فعاليت آنها اين است كه امكان دستيابي مستقيم به سيستم شما را فراهم مي كنند (در اين صورت به نام RAT شناخته مي شوند) در اينترنت هزاران RAT وجود دارد كه اكثر آنها مجاني هستند و كار با آنها آنقدر ساده است كه حتي افرادي كه اطلاع كمي در زمينه كامپيوتر دارند مي توانند آنها را فعال كنند.
RAT ها مي توانند كنترل سيستم شما را بدست گيرند و يك يا چند عمل زير را انجام دهند:
فايل ها را كپي كنند، نام آنها را تغيير دهند يا آنها را پاك كنند.
نشانگر موس را پنهان كنند.
كامپيوتر شما را Reboot كنند.
كلمات عبور را فاش كنند.
ارتباط شما را به اينترنت وصل يا از آن قطع كنند.
كنترل Web cam شما را به دست گيرند.
e-mail هاي مختلفي را بفرستند يا دريافت كنند.
و اين ليست ادامه مي يابد،....
اما چرا بايد كسي علاقمند به در دست گرفتن كنترل كامپيوتر شما باشند؟
اگر شما فقط كاربري با يك PC هستيد امكان اينكه مورد حمله hacker ها قرار بگيريد چندان زياد نيست. اما با اين حال كافيست يكبار مورد حمله قرار گيريد، پس از آن كامپيوتر شما مثل وسيله اي است كه كامپيوترهاي ديگر هم از طريق آن مي توانند مورد حمله قرار گيرند.
استراتژي آنها اين است كه ابتدا به كامپيوترهاي شخصي حمله مي كنند و سپس از آنها در حمله به سيستم هاي كامپيوتري قوي مثل دانشگاهها يا سازمان ها استفاده مي كنند و بعد از پايان يافتن عمليات، تمام ردپاهاي خود را از بين مي برند، رديابي حملات غير مستقيم معمولاً غير ممكن يا بسيار دشوار است.
چگونه از دستگاه خود محافظت كنيم؟
هيچ برنامه يا ليستي به تنهايي نمي تواند جلوي حملات trojan ها را بگيرد بنابراين شما نيازمند استفاده از تركيبي از تكنيك ها هستيد. شما بايد به كامپيوتر خود به ديد شهري كه در معرض حمله دشمن است نگاه كنيد پس نياز داريد:
براي آن ديوار بسازيد
مراقب افرادي كه در ارتباط با شهر هستند باشيد
دشمان احتمالي را ريشه يابي كنيد.
براي آن ديوار بسازيد
اولين مرحله دفاع بايد توسط تنظيمات امنيتي نرم افزار اينترنت شما باشد (Security setting) شامل email, Messanger, browser .
تا آنجا كه مي توانيد در تنظيم آن دقيق باشيد، مرحله دوم firewall (ديوار آتش) است تا اين جا توانسته ايد جلوي قسمت عظيمي از هجوم ها را بگيريد.
مراقب افرادي كه در ارتباط با شما هستند باشيد
هربار كه فايلي download مي كنيد يا به هر طريقي مثل email به شما مي رسد، شما يك trajan را به كامپيوتر خود دعوت مي كنيد. عباراتي مثل “Free” يا “exciting” و جملات وسوسه انگيزي از اين قبيل بايد فوراً شما را به فكر وادارد. سايت هاي غير قانوني (Warez) ممكن است در نگاه اول جالب به نظر برسند ولي عموماً حاوي ويروس هاي پر مخاطره اي براي سيستم شما هستند . download كردن فايل از چنين سايت هايي درست مثل كوبيدن يك چكش به هارد ديسك شما عمل مي كند.
موارد بسيار زياد ديگري هم در اين ارتباط وجود دارد. مثلاً چيزهايي كه ما همواره به آنها اعتماد مي كنيم، از تبديل ديسكتي كه يك دوست به ما مي دهد. برنامه هايي كه سايت ها براي Update كردن ارائه مي كنند و هيچ وقت فكر نكنيد كه نرم افزارهايي كه از شركتهاي معتبر تهيه مي كنيد كاملاً سالم هستند.
همه راههاي ووردي فايل ها را چك كنيد.
هر فايلي كه برايتان فرستاده مي شود را نپذيريد.
همه فايل ها را Scan كنيد.
Bios كامپيتر خود ا چك كنيد تا از راه فلاپي boot نشود.
دشمان احتماي را ريشه يابي كنيد.
طراحي Trojan ها طوري است كه شناسايي آنها را مشكل مي كند و اگر طراح آنها شخص با تجربه اي باشد شما هيچ وقت از وجود آنها مطلع نخواهيد شد. ولي يك چيز بين همه آنها مشترك است و آن اينكه آنها تنظيمات دستگاه شما را تغيير مي دهد.
چه بايد كرد؟
مراقب همه تغييراتي كه در سيستمتان رخ مي دهد باشيد. نرم افزارهاي متعددي وجود دارند كه همه تغييرات در تنظيمات(Setting) دستگاهتان را به اطلاعتان مي رسانند. يكي از برنامه ها Intergrity Master قابل Download كردن از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] است . از ديگر برنامه هاي مشابه مي توان به Inctrl5 قابل Download از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] است. بعد از نصب اين برنامه بايد هر بار كه سيستم خود را روشن مي كنيد يا نرم افزاري جديدي را نصب يا اجرا مي كنيد اين برنامه را فعال كنيد تا در صورتي كه از تغييرات setting دستگاهتان راضي نيستيد با backup گرفتن آنها را به صورت قبلي در بياوريد.
جعبه هاي شني (sand boxes)
يكي از راههاي ديگر هم اين است كه همه برنامه ها و فايل هايي كه مي خواهيم در سيستم خود بريزيد را قبلاً چك كنيد. براي اين منظور مي توانيد از برنامه هايي چون surfingGuard قابل نصب از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] استفاده كنيد. اين برنامه به شما اجازه نصب هر برنامه اي را مي دهد ولي در يك محيط كنترل شده(Sand box) تا احتمال وارد شدن هر گونه صدمه اي به دستگاه شما را به حداقل برساند.
شناسايي و پاك كردن trojanها:
بعضي معتقدند بهترين راه پاك كردن hard disk و ريختن دوباره ويندوز است ولي راههاي ساده تري هم براي اين كار وجود دارد. برنامه هاي Antivirus مدرن و قوي توانايي پاك كردن اكثر trojan ها را دارند. براي اطمينان بيشتر مي توانيد از اسكنر Anti-trojan هم استفاده كنيد. براي آشنايي با اسكنرهاي معروف Trojan ها مي توانيد به ليستي كه در سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] آمده نظري بيندازيد. يكي از بهترين نمونه هاي آورده شده در اين سايت the cleaner است.
([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])