تروجان دسترسی از راه دور چیست؟ پیشگیری، تشخیص و حذف

تروجان‌های دسترسی از راه دور(Remote Access Trojans) ( RAT ) همیشه ثابت کرده‌اند که در مورد ربودن رایانه یا شوخی کردن با یک دوست، خطر بزرگی برای دنیا محسوب می‌شوند. RAT یک نرم افزار مخرب است که به اپراتور اجازه می دهد به رایانه حمله کند و از راه دور غیرمجاز به آن دسترسی پیدا کند. RAT(RATs) ها سال‌هاست که اینجا هستند، و همچنان ادامه می‌دهند زیرا یافتن برخی از RAT‌(RATs) ها حتی برای نرم‌افزار آنتی‌ویروس(Antivirus) مدرن موجود در آنجا کار دشواری است .

در این پست، خواهیم دید که تروجان دسترسی(Access Trojan) از راه دور چیست و در مورد تکنیک‌های تشخیص و حذف در دسترس صحبت می‌کند. همچنین به طور خلاصه برخی از RAT(RATs) های رایج مانند CyberGate ، DarkComet ، Optix ، Shark ، Havex ، ComRat ،  VorteX Rat ، Sakula و KjW0rm را توضیح(KjW0rm) می دهد .

تروجان های دسترسی از راه دور چیست؟

تروجان دسترسی از راه دور

اکثر تروجان های دسترسی از راه دور(Remote Access Trojan) در ایمیل های مخرب، برنامه های غیرمجاز و لینک های وب دانلود می شوند که شما را به جایی نمی برد. RAT ها مانند برنامه های (RATs)Keylogger ساده نیستند - آنها قابلیت های زیادی را در اختیار مهاجم قرار می دهند مانند:

  • Keylogging : ضربه‌های کلید شما می‌تواند نظارت شود و نام‌های کاربری، گذرواژه‌ها و سایر اطلاعات حساس را می‌توان از آن بازیابی کرد.
  • عکس‌برداری از صفحه(Screen Capture) : برای مشاهده آنچه در رایانه شما می‌گذرد، می‌توانید از صفحه‌نمایش عکس بگیرید.
  • ضبط رسانه سخت‌افزاری(Hardware Media Capture) : موش‌های صحرایی می‌توانند به وب‌کم و میکروفن شما دسترسی داشته باشند تا شما و محیط اطرافتان را به‌طور کامل نقض حریم خصوصی ضبط کنند.
  • حقوق مدیریت(Administration Rights) : مهاجم ممکن است تنظیمات را تغییر دهد، مقادیر رجیستری را تغییر دهد و کارهای بیشتری را بدون اجازه شما با رایانه شما انجام دهد. RAT می تواند امتیازاتی در سطح مدیر برای مهاجم فراهم کند.
  • اورکلاک(Overclocking) : مهاجم ممکن است سرعت پردازنده را افزایش دهد، اورکلاک کردن سیستم می تواند به قطعات سخت افزاری آسیب برساند و در نهایت آنها را به خاکستر بسوزاند.
  • سایر قابلیت‌های خاص سیستم(Other system-specific capabilitie) : مهاجم می‌تواند به هر چیزی در رایانه شما، فایل‌ها، رمزهای عبور، چت‌ها و هر چیزی دسترسی داشته باشد.

چگونه تروجان های دسترسی از راه دور کار می کنند

(Remote Access) تروجان های (Trojans)دسترسی از راه دور در یک پیکربندی سرور-کلینت هستند که در آن سرور به طور مخفیانه بر روی رایانه شخصی قربانی نصب می شود و مشتری می تواند برای دسترسی به رایانه شخصی قربانی از طریق یک رابط کاربری گرافیکی(GUI) یا یک رابط فرمان استفاده شود. پیوند بین سرور و کلاینت در یک پورت خاص باز می شود و ارتباط رمزگذاری شده یا ساده می تواند بین سرور و کلاینت اتفاق بیفتد. اگر شبکه و بسته های ارسالی/دریافتی به درستی نظارت شوند، RAT(RATs) ها را می توان شناسایی و حذف کرد.

پیشگیری از حمله موش صحرایی

موش‌های صحرایی از طریق (RATs)ایمیل‌های هرزنامه(spam emails) ، نرم‌افزارهایی که به طور مخرب برنامه‌ریزی شده‌اند یا به‌عنوان بخشی از نرم‌افزار یا برنامه‌های دیگر بسته‌بندی شده‌اند، به رایانه‌ها راه پیدا می‌کنند . همیشه باید یک برنامه آنتی ویروس خوب روی رایانه خود نصب داشته باشید که بتواند RAT(RATs) ها را شناسایی و حذف کند. شناسایی RAT(RATs) ها کار بسیار دشواری است زیرا آنها تحت یک نام تصادفی نصب می شوند که ممکن است شبیه هر برنامه رایج دیگری به نظر برسد، بنابراین شما باید یک برنامه آنتی ویروس(Antivirus) واقعا خوب برای آن داشته باشید.

نظارت بر شبکه شما(Monitoring your network) همچنین می تواند راه خوبی برای شناسایی هر گونه تروجانی(Trojan) باشد که اطلاعات شخصی شما را از طریق اینترنت ارسال می کند.

اگر از Remote Administration Tools استفاده نمی کنید ، اتصالات Remote Assistance را(disable Remote Assistance connections) به رایانه خود غیرفعال کنید. تنظیمات را در SystemProperties > Remote تب Remote > گزینه Allow Remote Assistance connections to this computer را (Allow Remote Assistance connections to this computer)> Uncheck .

سیستم عامل، نرم افزارهای نصب شده و به ویژه برنامه های امنیتی(security programs updated) خود را همیشه به روز نگه دارید. همچنین سعی کنید روی ایمیل هایی که به آنها اعتماد ندارید و منبع ناشناس هستند کلیک نکنید. هیچ نرم افزاری را از منابعی غیر از وب سایت رسمی یا آینه آن دانلود نکنید.

بعد از حمله RAT

هنگامی که متوجه شدید مورد حمله قرار گرفته اید، اولین قدم این است که اگر متصل هستید، سیستم خود را از اینترنت(Internet) و شبکه(Network) جدا کنید . تمام رمزهای عبور و سایر اطلاعات حساس خود را تغییر(Change) دهید و بررسی کنید که آیا هر یک از حساب های شما با استفاده از یک رایانه تمیز دیگر به خطر افتاده است یا خیر. حساب های بانکی خود را از نظر هرگونه تراکنش متقلبانه بررسی کنید و فوراً به بانک خود در مورد تروجان(Trojan) موجود در رایانه خود اطلاع دهید. سپس کامپیوتر را برای مشکلات اسکن کنید و برای حذف RAT(RAT) از متخصص کمک بگیرید . بستن پورت 80(Port 80) را در نظر بگیرید . از اسکنر پورت فایروال برای بررسی همه پورت های خود استفاده کنید.

شما حتی می توانید سعی کنید به عقب برگردید و بدانید چه کسی پشت حمله بوده است، اما برای این کار به کمک حرفه ای نیاز دارید. RAT ها معمولاً پس از شناسایی حذف می شوند، یا می توانید یک نصب جدید ویندوز(Windows) را برای حذف کامل آن انجام دهید.

تروجان های رایج دسترسی از راه دور

بسیاری از تروجان های (Trojans)دسترسی از راه دور(Remote Access) در حال حاضر فعال هستند و میلیون ها دستگاه را آلوده می کنند. بدنام ترین آنها در اینجا در این مقاله مورد بحث قرار می گیرند:

  1. Sub7 : "Sub7" که با املای NetBus (یک (NetBus)RAT قدیمی تر ) به عقب به دست می آید، یک ابزار مدیریت از راه دور رایگان است که به شما امکان می دهد روی کامپیوتر میزبان کنترل داشته باشید. این ابزار توسط کارشناسان امنیتی به تروجان ها طبقه بندی شده است و وجود آن در رایانه شما می تواند خطرآفرین باشد.
  2. Back Orifice : Back Orifice و جانشین آن Back Orifice 2000 یک ابزار رایگان است که در ابتدا برای مدیریت از راه دور در نظر گرفته شده بود – اما زمان زیادی طول نکشد که این ابزار به یک تروجان دسترسی(Access Trojan) از راه دور تبدیل شد . بحث‌هایی وجود دارد که این ابزار یک تروجان(Trojan) است، اما توسعه‌دهندگان بر این واقعیت ایستاده‌اند که این ابزار قانونی است که دسترسی مدیریت از راه دور را فراهم می‌کند. این برنامه اکنون توسط اکثر برنامه های آنتی ویروس به عنوان بدافزار شناسایی شده است.
  3. DarkComet : این یک ابزار مدیریت از راه دور بسیار توسعه پذیر با ویژگی های زیادی است که می تواند به طور بالقوه برای جاسوسی استفاده شود. این ابزار همچنین با جنگ داخلی(Civil War) سوریه ارتباط دارد، جایی که گزارش شده است که دولت(Government) از این ابزار برای جاسوسی از غیرنظامیان استفاده کرده است. این ابزار قبلاً مورد سوء استفاده زیادی قرار گرفته است و توسعه دهندگان توسعه بیشتر آن را متوقف کرده اند.
  4. sharK : این یک ابزار مدیریت از راه دور پیشرفته است. برای هکرهای مبتدی و آماتور در نظر گرفته نشده است. گفته می شود که ابزاری برای متخصصان امنیتی و کاربران پیشرفته است.
  5. Havex : این تروجان به طور گسترده ای علیه بخش صنعتی استفاده شده است. این اطلاعات از جمله وجود هر سیستم کنترل صنعتی(Industrial Control System) را جمع آوری می کند و سپس همان اطلاعات را به وب سایت های راه دور منتقل می کند.
  6. Sakula : یک (Sakula)تروجان(Trojan) دسترسی از راه دور که در یک نصب کننده به انتخاب شما ارائه می شود. این نشان می دهد که در حال نصب ابزاری بر روی رایانه شما است اما بدافزار را همراه با آن نصب می کند.
  7. KjW0rm : این تروجان(Trojan) با قابلیت های زیادی همراه است اما قبلاً توسط بسیاری از ابزارهای آنتی ویروس به عنوان یک تهدید مشخص شده است.(Antivirus)

این تروجان دسترسی از راه دور(Remote Access Trojan) به بسیاری از هکرها کمک کرده است تا میلیون ها رایانه را در معرض خطر قرار دهند. داشتن محافظت در برابر این ابزارها ضروری است، و یک برنامه امنیتی خوب با یک کاربر هشدار دهنده تمام چیزی است که برای جلوگیری از به خطر انداختن این تروجان ها به رایانه شما نیاز است.

این پست قرار بود یک مقاله آموزنده در مورد RAT(RATs) باشد و به هیچ وجه استفاده از آنها را تبلیغ نمی کند. در هر صورت ممکن است قوانین قانونی در مورد استفاده از چنین ابزارهایی در کشور شما وجود داشته باشد.

اطلاعات بیشتر در مورد ابزارهای مدیریت از راه دور را(Remote Administration Tools) اینجا بخوانید.



رامینه کمالی

About the author

من یک متخصص ویندوز هستم و بیش از 10 سال است که در صنعت نرم افزار کار می کنم. من با هر دو سیستم ویندوز مایکروسافت و اپل مکینتاش تجربه دارم. مهارت‌های من عبارتند از: مدیریت پنجره، سخت‌افزار و صدا کامپیوتر، توسعه اپلیکیشن و غیره. من یک مشاور با تجربه هستم که می توانم به شما کمک کنم تا از سیستم ویندوز خود حداکثر استفاده را ببرید.


Related posts