همانطور که می دانید ارتباطات کامپیوتری توسط پروتکل ها انجام می شوند و هر پروتکلی برای خودش یک شماره پورت منحصر به فرد دارد که از جمله آنها پروتکل های معروف وب و دانلود فایل ها و حتی به روز رسانی سیستم عامل و نرم افزارها را می توانیم نام ببریم . این شماره پورت ها هستند که مثل برچسب ، نوع محتوای ارسالی و دریافتی را مشخص می کنند ، هر کامپیوتری برای خودش پورت های مشخصی برای ارسال و دریافت اطلاعات دارد .
قبلا در مورد تروجان ها بصورت مفصل صحبت کرده ایم و فقط این نکته باقی می ماند که شما باید حواستان به ارتباطات فعال یا Active Connection های سیستم و البته پورت هایی که در حالت Listening بر روی سیستم قرار دارند باشد ، بعضا شما با بررسی همین پورت هایی که در این حالت ها قرار دارد و شناسایی نوع تروجانی که ممکن است از این پورت های عجیب و غریب استفاده می کنند ، متوجه نقض امنیتی سیستم خود بشوید ، بد نیست لیستی از این شماره پورت های مشهور که توسط تروجان های مشهور استفاده می شوند را گوشه ای در ذهن خود برای بررسی های آینده نگه دارید :
21 Blade Runner, Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash 23 Tiny Telnet Server 25 Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, Terminator, WinPC, WinSpy, Kuang2 0.17A-0.30 31 Hackers Paradise 80 Executor 456 Hackers Paradise 555 Ini-Killer, Phase Zero, Stealth Spy 666 Satanz Backdoor 1001 Silencer, WebEx 1011 Doly Trojan 1170 Psyber Stream Server, Voice 1234 Ultors Trojan 1243 SubSeven 1.0 – 1.8 1245 VooDoo Doll 1492 FTP99CMP 1600 Shivka-Burka 1807 SpySender 1981 Shockrave 1999 BackDoor 1.00-1.03 2001 Trojan Cow 2023 Ripper 2115 Bugs 2140 Deep Throat, The Invasor 2801 Phineas Phucker 3024 WinCrash 3129 Masters Paradise 3150 Deep Throat, The Invasor 3700 Portal of Doom 4092 WinCrash 4567 File Nail 1 4590 ICQTrojan 5000 Bubbel 5001 Sockets de Troie 5321 Firehotcker 5400 Blade Runner 0.80 Alpha 5401 Blade Runner 0.80 Alpha 5402 Blade Runner 0.80 Alpha 5400 Blade Runner 5401 Blade Runner 5402 Blade Runner 5569 Robo-Hack 5742 WinCrash 6670 DeepThroat 6771 DeepThroat 6969 GateCrasher, Priority 7000 Remote Grab 7300 NetMonitor 7301 NetMonitor 7306 NetMonitor 7307 NetMonitor 7308 NetMonitor 7789 ICKiller 8787 BackOfrice 2000 9872 Portal of Doom 9873 Portal of Doom 9874 Portal of Doom 9875 Portal of Doom 9989 iNi-Killer 10067 Portal of Doom 10167 Portal of Doom 10607 Coma 1.0.9 11000 Senna Spy 11223 Progenic trojan 12223 Hack´99 KeyLogger 12345 GabanBus, NetBus 12346 GabanBus, NetBus 12361 Whack-a-mole 12362 Whack-a-mole 16969 Priority 20001 Millennium 20034 NetBus 2.0, Beta-NetBus 2.01 21544 GirlFriend 1.0, Beta-1.35 22222 Prosiak 23456 Evil FTP, Ugly FTP 26274 Delta 30100 NetSphere 1.27a 30101 NetSphere 1.27a 30102 NetSphere 1.27a 31337 Back Orifice 31338 Back Orifice, DeepBO 31339 NetSpy DK 31666 BOWhack 33333 Prosiak 34324 BigGluck, TN 40412 The Spy 40421 Masters Paradise 40422 Masters Paradise 40423 Masters Paradise 40426 Masters Paradise 47262 Delta 50505 Sockets de Troie 50766 Fore 53001 Remote Windows Shutdown 54321 SchoolBus .69-1.11 61466 Telecommando 65000 Devil UDP Port Name of Trojan 1349 Back Ofrice DLL 31337 BackOfrice 1.20 31338 DeepBO 54321 BackOfrice 2000
اینها مجموعه ای از پرکاربرد ترین شماره پورت های تروجان ها هستند ، می توانید همین حالا با بررسی وضعیت Listening پورت های باز روی سیستم خودتان به این موضوع پی ببرید که کدامیک از این تروجان ها بر روی سیستم شما اجرا هستند و در حال سرویس دهی !!
والا http یک مثال بود که گویا انتخاب بدی برای مثال کردم
با کسب اجازه از مهندس نصیری عزیز ، محمد جان این اسلاید رو ببین فک کنم بتونه یه دیدی نسبت به این قضیه بده (البته اینم بگم مقایسه کاملش یکم طولانیه ولی این اسلاید یه دیدی نسبت به socket و http میده که اگه حالا سوالی بعدا درموردش بود یا سرچ یا حالا هرچی دیگه مشخص بشه باید دقیقا دنبال چی بودش تا سریع تر به جواب رسید)
همانطور که می دانید ارتباطات کامپیوتری توسط پروتکل ها انجام می شوند و هر پروتکلی برای خودش یک شماره پورت منحصر به فرد دارد.
ممنون از مهندس نصیری عزیز.
یک دیدگاهی در رابطه با جمله ای که فرمودید داشتم می خواستم بدونم به نظرتون درست هست یا خیر/
ارتباطات کامپیوتری (که اکثرا باید یک برنامه ای باشه) توسط سوکت ها انجام میشه (داشتن IP,Port) و از طریق پروتکل ها این ارتباط Handel و مدیریت میشه. معمولا هر پروتکل برنامه نویسی شده و هر برنامه توی شبکه باید از یک Socket ای برای ارتباط استفاده کنه که اون سوکت بر فرض از پورت 80 استفاده می کنه و اینطوریه که میگن پروتکل http از پورت 80 استفاده می کنه.
بگیم پروتکل تشکیل شده از : یک آبجکت تحت شبکه (Socket) + یک سری قوانین
ایجاد کردن Deadlock موقع اسکن ! یعنی انگار همه جا رو قفل کنن هیچ تبادل اطلاعاتی بدون اینکه از مسیر اسکن رد بشه نمیتونه انجام بشه ! البته گفتم این یک تئوری هست که فکر کنم هفت هشت سال پیش روش کار می شد و بدافزارهای هم هستن که با این روش کار می کنن ! ولی خوب خلاقیتش جالب بود
ایده خیلی خوبی هست که روش کاربشه . برا مقابله باهاش چه solution ای ارائه دادند؟
نه ! مکانیزم کاری این نوع ویروس ها اینطور هست که به محض تشخیص اینکه آنتی ویروس داره فایلی رو اسکن می کنه از سکتوری که هستن خودشون رو جابجا می کنن و به سکتوری که میدونن آنتی ویروس از روش رد شده توسط یک Covert Channel منتقل می کنن ! یعنی یه جوری مثل اینکه داریم اسکن می کنیم تا پورت 2000 رسیدیم بعد تروجان تا میفهمه اسکن هست پورتش رو می کنه 1000 و میبره پشت اسکن که دیده نشه !
منظورتون یه چیزی مثل Replication ای هست که worm ها انجام میدن؟
یه روشی چندروز پیش روش کارکردم که تروجان از بات تلگرامی به عنوان C&C استفاده کنه و برای اینکه ف**ی**ل**ت**ر** رو دور بزنه از پروکسی استفاده کنه .ولی به بات تلگرامی وصل نشه خود بات بهش بگه که به کجا وصل شو
یا یه روش دیگه که فک کنم خیلی بهتربشه.توی زمان های تصادفی اون بدافزارمون توی یه سری مسیرها مثلا سایت توسینسو بره توی یک مسیر مشخص یا حالا چندمسیر و... دنبال فلان پیام بگرده که وقتی پیداش کرد اونو دیکد کنه و دستورات داخلش رو انجام بده
(هنوز طراحی اش رو البته کامل نکردم تا یه حمله درست و حسابی بشه ازش انتظار داشت)
اینم روش خوبیه ، البته من میگم یه روش بهتر هم هست ! روشی که ویروس های Companion انجام میدن ! به محض اینکه احساس می کنن نرم افزار آنتی ویروس یا اسکنری دنبالشون هست کلا پورت و محلشون رو تغییر میدن ! البته اینی که گفتم رو خودم اجرایی نکردم ولی تئوریش توی بدافزارها حسابی جواب میده !
ترافیک رو Encapsulate کنیم بنظر بهتر بشه.یا یک رنج پورت براش تعریف کنیم که اگه فلان پورت بسته شد بره سراغ پورت های دیگه تا یک پورت باز پیدا کنه.توی عکس بالا که فرستادم اون اسکن کردن کاربر به مشکل میخوره.توی عکس اول آیپی هکر هست که پورت مدنظرش رو اسکن کنه بازهستش ولی اگه یه نفردیگه بجز آیپی هکر اسکنش کنه(عکس دوم) پورت رو بسته نشون میده.
این کار یکم فرآیند کار رو بهترمیکنه که دیرتر بشه به موضوع پی برد
پورت ها خیلی زیاد هستن طبیعتا ، اینکه یه هکر سهل انگاری کنه و پورت پیشفرض رو تغییر نده نشان از خلاقیت نداشتنش داره ، من خودم اگر روزی بخام تروجان رو براش پورت تعریف کنم در وهله اول سعی می کنم اونقدر نزدیک به Wellknown ها قرارش بدم که کاربر کمتر مشکوک بشه ! مثلا 81 یا مثلا 24 یا مثلا چیزی تو همین محدوده ! نوع دومی هم که بیشتر ترجیح میدم پورت های بسیار بسیار بسیار بالا هست ! مثلا 65532 که تا زمانیکه مثلا شخصی بخاد Port Scan برای تست بزنه هم در حالت ساده زمان ببره تا بهش برسه ! و از اون باحالتر که بیایم Default Port یک سری Application ها رو تغییر بدیم و روی اون تروجان بفرستیم ! مثلا بیایم پورت 161 رو تغییر کاربری بدیم روش سرویس تروجان اجرا کنیم.