Cyber Security Study: ট্রোজানের প্রকারভেদ, পর্ব-২।
এই আর্টিকেলে আমরা চারটি ট্রোজান নিয়ে জানার চেষ্ট করব:
১. বটনেট ট্রোজানস (Botnet Trojans),
২. রুটকিট ট্রোজানস (Rootkit Trojans),
৩. ই-ব্যাংকিং ট্রোজানস (E-Banking Trojans),
৪. পয়েন্ট-অফ-সেল ট্রোজানস (Point-of-Sale Trojans) ।
বটনেট ট্রোজানস (Botnet Trojans):
বর্তমানে, অধিকাংশ তথ্য-নিরাপত্তা আক্রমণে বটনেট ব্যবহৃত হয়। হ্যাকাররা (যাদের “বট হার্ডার” বলা হয়) বটনেট ট্রোজান ব্যবহার করে কোন একটি বৃহৎ ভৌগোলিক এলাকায় অনেকগুলো কম্পিউটার সংক্রমিত করে একটি বট (বা “বট হার্ড”) নেটওয়ার্ক তৈরি করে, যেগুলো হ্যাকার, কমান্ড-এন্ড-কন্ট্রোল (C&C) সেন্টারের মাধ্যমে নিয়ন্ত্রণ করতে পারে।
হ্যাকার-ফিশিং, এসইও হ্যাকিং, URL রিডাইরেকশন ইত্যাদির মাধ্যমে সাধারণ ব্যবহারকারীদের তাদের সিস্টেমে ট্রোজান সংক্রমিত ফাইল ডাউনলোড করতে প্রলুব্ধ করে। ব্যবহারকারী যখন ফাইলটি ডাউনলোড করে এবং সিস্টেমে সক্রিয় করে, তখন সিস্টেমটি IRC চ্যানেল ও ওয়েবসাইট ব্যবহার করে হ্যাকারের সাথে সংযুক্ত হয়ে পড়ে এবং পরবর্তী নির্দেশনার জন্য অপেক্ষা করে।
কিছু বটনেট ট্রোজানের মধ্যে ওয়ার্ম-এর মতো বৈশিষ্ট্যও থাকে এবং তারা স্বয়ংক্রিয়ভাবে নেটওয়ার্কের অন্যান্য সিস্টেমে ছড়িয়ে পড়ে। এগুলো হ্যাকারদের বিভিন্ন ধরনের আক্রমণ চালাতে এবং ক্ষতিকর কাজ করতে সাহায্য করে, যেমন:
- DoS (Denial of Service) আক্রমণ,
- স্প্যামিং,
- ক্লিক জালিয়াতি (Click Fraud),
- অ্যাপ্লিকেশনের সিরিয়াল নম্বর চুরি,
- লগইন আইডি চুরি,
- ক্রেডিট কার্ড নম্বর চুরি।
বটনেট ট্রোজান মূলত বড় আকারের সাইবার আক্রমণের জন্য ব্যবহৃত হয়। এরকম একটি বটনেট “Necurs”।
Necurs:
Necurs বটনেটটি বিভিন্ন ধরনের ম্যালওয়্যার সংক্রমনের জন্য পরিচিত, বিশেষ করে Dridex এবং Locky। এটি ব্যাংকিং ট্রোজান এবং ইমেইলের মাধ্যমে একসাথে লক্ষ লক্ষ র্যানসমওয়্যার ছড়িয়ে থাকে এবং নিজেকে বারবার নতুনভাবে তৈরি (Reinvent) করে টিকে থাকে।
Necurs মূলত স্প্যাম ইমেইল এবং সন্দেহজনক/অবৈধ ওয়েবসাইট থেকে ডাউনলোডযোগ্য কনটেন্টের মাধ্যমে ছড়িয়ে পড়ে। এটি পরোক্ষভাবে সাইবার অপরাধের একটি বড় অংশের জন্য দায়ী।
বৈশিষ্ট্যসমূহ (Features):
- সিস্টেম ধ্বংস করা,
- কম্পিউটারকে গুপ্তচরবৃত্তির (Spying) টুলে পরিণত করা,
- ইলেকট্রনিক অর্থ চুরি,
- বটনেট তৈরি ও মাইনিং কার্যক্রম,
- অন্যান্য ভাইরাস প্রবেশের জন্য গেটওয়ে হিসেবে কাজ করা।
কিছু অতিরিক্ত বটনেট ট্রোজান: Electrum, Satori, Torii Botnet, Qakbot, Hide n Seek, Ramnit, Panda, BetaBot, Cridex।
রুটকিট ট্রোজানস (Rootkit Trojans):
নাম থেকেই বোঝা যায়, “rootkit” দুটি শব্দের সমন্বয়— “root” এবং “kit”।
“Root” হলো UNIX/Linux এর একটি টার্ম, যা Windows-এর “Administrator” এর সমতুল্য। “Kit” বলতে বোঝায় এমন কিছু প্রোগ্রাম, যা ব্যবহার করে কেউ কম্পিউটারের উপর “root/administrator”-স্তরের অ্যাক্সেস পেতে পারে।
রুটকিট হলো শক্তিশালী ব্যাকডোর, যা সরাসরি অপারেটিং সিস্টেমের (OS) মূল অংশে আক্রমণ করে। সাধারণ ব্যাকডোরের মতো নয়—যেগুলো সার্ভিস, সিস্টেম টাস্ক লিস্ট বা রেজিস্ট্রি দেখে শনাক্ত করা যায়—রুটকিট শনাক্ত করা অনেক কঠিন।
রুটকিট, আক্রান্ত সিস্টেমের উপর সম্পূর্ণ নিয়ন্ত্রণ হ্যাকারের হাতে তুলে দেয়। রুটকিট নিজে নিজে ছড়াতে পারে না, যার ফলে অনেক সময় বিভ্রান্তি সৃষ্টি হয়।
বাস্তবে, রুটকিট সাধারণত একটি “Blended Threat” (মিশ্র হুমকি)-এর অংশ। এই ধরনের হুমকিতে সাধারণত তিনটি অংশ থাকে:
- Dropper,
- Loader,
- Rootkit।
Dropper হলো একটি এক্সিকিউটেবল ফাইল বা প্রোগ্রাম, যা রুটকিট ইনস্টল করে। Dropper চালু করতে সাধারণত মানুষের হস্তক্ষেপ লাগে, যেমন—একটি ক্ষতিকর ইমেইলে ক্লিক করা। Dropper চালু হলে এটি Loader প্রোগ্রাম চালায় এবং পরে নিজেই মুছে যায়। Loader সাধারণত একটি Buffer Overflow তৈরি করে, যার মাধ্যমে রুটকিট মেমরিতে লোড হয় এবং সক্রিয় হয়ে যায়। এরকম একটি রুটকিট EquationDrug।
EquationDrug Rootkit:
EquationDrug একটি বিপজ্জনক কম্পিউটার রুটকিট, যা Windows প্ল্যাটফর্মকে আক্রমণ করে। এটি বিভিন্ন প্রতিষ্ঠানকে লক্ষ্য করে নির্দিষ্ট আক্রমণ চালায় এবং সংক্রমিত সিস্টেমে পৌঁছে যায় “DoubleFantasy” নামে পরিচিত একটি Downloader-এর মাধ্যমে, যা Tricker দ্বারা চালানো ও কার্যকর করা হয়।
কিছু অতিরিক্ত রুটকিট ট্রোজান: CEIDPageLock, Wingbird, GrayFish, Finfisher, ZeroAccess, Whistler
ই-ব্যাংকিং ট্রোজানস (E-Banking Trojans):
ই-ব্যাংকিং ট্রোজানস অত্যন্ত বিপজ্জনক এবং অনলাইনে ব্যাংকিংয়ের জন্য একটি গুরুত্বপূর্ণ হুমকি হিসেবে আবির্ভুত হয়েছে। এই ট্রোজানগুলো আক্রান্ত ব্যক্তির অ্যাকাউন্টের তথ্য সিস্টেম কর্তৃক এনক্রিপ্ট করার পূর্বে সংগ্রহ করে ফেলে, এবং হ্যাকারের কমান্ড-এন্ড-কন্ট্রোল সেন্টারে পাঠিয়ে দেয়।
এই ট্রোজানগুলি ক্ষতিকর ইমেইল অ্যাটাচমেন্ট বা বিজ্ঞাপন ক্লিকের মাধ্যমে আক্রান্ত ব্যক্তির কম্পিউটারে ইনস্টল হয়। হ্যাকার এই ট্রোজানগুলি এমনভাবে প্রোগ্রাম করে, যাতে তারা ব্যক্তির অ্যাকাউন্ট থেকে ন্যূনতম এবং সর্বোচ্চ পরিমাণ অর্থ চুরি করতে পারে, কিন্তু হ্যাকার এক্ষেত্রে একটি ছোট কৌশল অবলম্বন করে- হ্যাকার সন্দেহ এড়াতে সম্পূর্ণ অর্থ উত্তোলন করা থেকে বিরত থাকে।
এই ট্রোজানগুলো ব্যাংক অ্যাকাউন্ট স্টেটমেন্টের স্ক্রিনশটও তৈরি করে, যাতে ভুক্তভোগী মনে করে যে তার ব্যাংক ব্যালেন্সে কোন পরিবর্তন হয়নি এবং সে এই প্রতারণা সম্পর্কে ততক্ষন জানবে না যতক্ষণ না সে অন্য কোনও সিস্টেম বা ATM থেকে ব্যালেন্স চেক করে। এছাড়া, এই ট্রোজানগুলো অন্য ধরনের তথ্যও চুরি করতে পারে, যেমন: ভুক্তভোগীদের তথ্য ও তাদের ক্রেডিট কার্ড নম্বর এবং বিলিং বিবরণ, এবং তা দূরবর্তী হ্যাকারদের কাছে ইমেইল, FTP, IRC বা অন্যান্য পদ্ধতির মাধ্যমে পাঠিয়ে দেয়।
ই-ব্যানকিং ট্রোজানসের কাজের পদ্ধতি (Working of E-banking Trojans):
ব্যাংকিং ট্রোজান হলো একধরনের ম্যালওয়্যার প্রোগ্রাম, যা হ্যাকারদেরকে অনলাইন ব্যাংকিং এবং পেমেন্ট সিস্টেম ব্যবহারকারীদের ব্যক্তিগত তথ্য চুরি করতে সহায়তা করে।
- TAN Grabber: ট্রানজ্যাকশন অথেন্টিকেশন নম্বর (TAN) হলো অনলাইন ব্যাংকিং লেনদেন যাচাই-বাছাই করার জন্য এককভাবে ব্যবহৃত পাসওয়ার্ড। ব্যাংকিং ট্রোজানস, ইউজার দ্বারা প্রবেশিত এই TAN নম্বরগুলি গোপনে কুক্ষিগত করে এবং এলোমেলো সংখ্যা দ্বারা এই ট্রানজ্যাকশন অথেন্টিকেশন নম্বর (TAN) প্রতিস্থাপন করে। তারপর হ্যাকার সেই চুরি করা ট্রানজ্যাকশন অথেন্টিকেশন নম্বরের (TAN) মাধ্যমে টার্গেট ব্যক্তির অ্যাকাউন্টে প্রবেশ করতে পারে। যদিও ব্যাংক অনেক সময় এই ধরনের লগইন রিজেক্ট করে কিন্তু সম্ভাবনার দুয়ারও খোলা থাকে।
- HTML Injection: ট্রোজানটি অনলাইন ব্যাংকিং পেজে নকল ফর্ম তৈরি করে, যার মাধ্যমে হ্যাকার টার্গেট ব্যক্তির অ্যাকাউন্টের বিস্তারিত তথ্য, যেমন: ক্রেডিট কার্ড নম্বর, জন্মতারিখ ইত্যাদি চুরি করতে সক্ষম হয়। এরপর, হ্যাকার এই সকল তথ্য ব্যবহার করে টার্গেট ব্যক্তির অ্যাকাউন্টে অনুপ্রবেশ করতে পারে।
- Form Grabber: ফর্ম গ্র্যাবার হলো ম্যালওয়্যার প্রোগ্রাম, যা টার্গেট ব্যক্তির সংবেদনশীল তথ্য যেমন: আইডি এবং পাসওয়ার্ড, ওয়েব ব্রাউজার ফর্ম অথবা ওয়েব পেজের মাধ্যমে সংগ্রহ করে। এটি টার্গেট ব্যক্তির ইন্টারনেট ব্যাংকিং তথ্য সংগ্রহের জন্য জটিল এবং উন্নত পদ্ধতি। গ্রাহক যখন তার তথ্য সহ POST রিকোয়েষ্ট করে, তখন ম্যালওয়্যার টার্গেট ব্যক্তির তথ্য বিশ্লেষণ করে এবং তথ্য কুক্ষিগত করে ফেলে। এই ম্যালওয়্যার অনেক সময়ে স্ক্রাম্বল প্যাডকে নিয়ন্ত্রনে নিয়ে ফেলে। ফলে ইউজার দ্বারা প্রবেশকৃত তথ্য কুক্ষিগত করে ফেলে এবং ইউজারের ব্যক্তিগত অ্যাক্সেস কোড চুরি করে।
নোট: স্ক্রাম্বল প্যাড (ScramblePad) হলো একটি উচ্চ-নিরাপত্তামূলক অ্যাক্সেস কন্ট্রোল কিপ্যাড, যা প্রতিবার ব্যবহারের পর বা ‘START’ বোতাম চাপলে সংখ্যাগুলোর (০-৯) স্থান র্যান্ডমলি বা এলোমেলোভাবে পরিবর্তন করে দেয়। এটি ভিউয়ার রেস্ট্রিক্টর ব্যবহার করে, যাতে শুধুমাত্র সরাসরি সামনে থাকা ব্যক্তিই সংখ্যাগুলো দেখতে পায়, ফলে পাসওয়ার্ড চুরি বা ‘শোল্ডার সার্ফিং’ প্রতিরোধ করা সম্ভব হয়।
- Covert Credential Grabber: এই ধরনের ম্যালওয়্যার কম্পিউটারে লুকায়িত থাকে ততক্ষন পর্যন্ত যতক্ষণ না ব্যবহারকারী একটি অনলাইন আর্থিক লেনদেন সম্পাদন করেন। এটি কম্পিউটারে নিজেই নিজেকে কপি করে এবং রেজিস্ট্রি এন্ট্রি গুলি এডিট করে। এই ট্রোজানটির ভয়াবহ কারন এটি ইউজারের ব্রাউজিং সময়ে ব্রাউজারে সংরক্ষিত কুকি ফাইলগুলি বিশ্লেষন করে, যেগুলি ফাইনান্সিয়াল ওয়েবসাইটগুলোতে প্রবেশ করার সময় স্টোর করা হয়েছে। ইউজার কোন অনলাইন লেনদেন করতে চেষ্টা করলে, ট্রোজানটি গোপনে লগইন তথ্য চুরি করে এবং তা হ্যাকারকে প্রেরণ করে।
ব্যাংকিং ট্রোজানস উইজারের তথ্য চুরির জন্য কিছু পদ্ধতি অবলম্বন করে, যেমন:
- কীলগিং (Keylogging),
- ফর্ম ডেটা ক্যাপচার (Form data capture),
- প্রতারণামূলক ফর্ম ক্ষেত্র স্থাপন (Inserting fraudulent form fields),
- স্ক্রীন ক্যাপচার এবং ভিডিও রেকর্ডিং (Screen captures and video recording),
- আর্থিক ওয়েবসাইটের নকল করা (Mimicking financial websites),
- ব্যাংকিং ওয়েবসাইটে রিডাইরেকশন (Redirecting to banking websites),
- ম্যান-ইন-দ্য-মিডল আক্রমণ (Man-in-the-middle attack)।
এরকম একটি ট্রোজান Dreambot।
Dreambot:
ড্রিমবট ব্যাংকিং ট্রোজানকে Ursnif বা Gozi-এর আপডেট সংস্করণ হিসেবে ধরা হয়। ড্রিমবট ট্রোজান দীর্ঘদিন ধরে হ্যাকারদের দ্বারা ব্যবহৃত হচ্ছে এবং এগুলো নিয়মিতভাবে আরও উন্নত ক্ষমতা সম্পন্ন হচ্ছে, আপডেট করা হচ্ছে। ই-ব্যাংকিং ট্রোজান Emotet Dropper বা RIG Exploit Kit মাধ্যমে প্রেরিত হতে পারে।
ট্রোজানটি এমএস ওয়ার্ড ডকুমেন্টে ম্যাক্রো আকারে এম্বেড করা যেতে পারে এবং ভিকটিমের কাছে স্প্যাম ইমেইলের মাধ্যমে পাঠানো হতে পারে। যদি এই ট্রোজানটি ভিকটিমের মেশিনে প্রবেশ করে, তবে এটি গোপনে রেজিস্ট্রি কী এবং প্রসেস তৈরি করবে এবং একাধিক ম্যালিশিয়াস C2C (Command & Control) সার্ভারের সাথে সংযোগ স্থাপনের চেষ্টা করবে। C2C সার্ভারের সাথে সংযুক্ত হওয়ার পর, এটি কীলগিং করবে এবং কীলগ ডেটা হ্যাকারের কাছে পাঠাবে। এই কীলগ ডেটায় ব্যাংকিং ওয়েবসাইটের পাসওয়ার্ড, OTP মেসেজ, সুরক্ষিত লেনদেন পাসওয়ার্ড, পিন ইত্যাদি অন্তর্ভুক্ত থাকতে পারে।
কিছু অতিরিক্ত ই-ব্যানকিং ট্রোজান: Emotet, Panda Banker, Ramnit, Zeus, Dridex, UrlZone Banker।
পয়েন্ট-অফ-সেল ট্রোজানস (Point-of-Sale Trojans):
নাম থেকেই বোঝা যায়, Point-of-Sale (POS) ট্রোজানস হলো আর্থিক প্রতারণামূলক ম্যালওয়্যার যা মূলত POS এবং পেমেন্ট সরঞ্জামগুলোকে লক্ষ্য করে প্রস্তুত করা হয়, যেমন: ক্রেডিট/ডেবিট কার্ড রিডার ইত্যাদি। হ্যাকার এই ধরনের ট্রোজান ব্যবহার করে POS সরঞ্জামগুলোকে সংক্রমিত করে এবং ক্রেডিট কার্ডের সংবেদনশীল তথ্য চুরি করে, যেমন ক্রেডিট কার্ড নম্বর, গ্রাহকের নাম, এবং CVV (Card Verification Value) নম্বর।
যেহেতু POS খুচরা ব্যবসায়ী এবং খুচরা গ্রাহকদের জন্য গুরুত্বপূর্ণ, এই ট্রোজানগুলো খুচরা ব্যবসায়ী এবং গ্রাহকদের উপর বৃহত্তর প্রভাব ফেলে। ক্রেডিট কার্ডের মেগনেটিক স্ট্রাইপে দুটি ট্র্যাক থাকে, যা TRACK1 এবং TRACK2 নামে পরিচিত। এই দুটি ট্র্যাক পেমেন্ট সম্পাদনের জন্য অত্যন্ত গুরুত্বপূর্ণ। TRACK1 এবং TRACK2 ক্রেডিট কার্ডের সম্পর্কিত গুরুত্বপূর্ণ তথ্য ধারণ করে। একবার POS ট্রোজান ইনস্টল হলে, এটি এই গুরুত্বপূর্ণ তথ্য চুরি করে। এরকম একটি ট্রোজান GlitechPOS।
GlitechPOS:
এটি সাধারণত GlitchPOS.A নামে পরিচিত। GlitchPOS ম্যালওয়্যার দ্বারা এম্বেড করা একটি নকল ক্যাট গেম যা এক্সিকিউশন সময়ে প্রদর্শিত হয় না। এটি এমন ট্রোজান যা ক্যাট গেমের মতো আচরণ করে। যখন কোনও হ্যাকার ওই ক্যাট গেমটি ইনস্টল করে, ট্রোজানটি ব্যাকগ্রাউন্ডে কার্যকরী হয়ে যায়। GlitchPOS-কে হ্যকাররা উইজারের ক্রেডিট কার্ড তথ্য চুরি করার জন্য ব্যবহার করে। GlitchPOS সবচেয়ে খারাপ ফাইনান্সিয়াল ট্রোজান হিসেবে পরিচিত এবং এর বিপজ্জনক প্রভাব বিশ্বজুড়ে ছড়িয়ে পড়েছে। ক্রেডিট কার্ডের তথ্য চুরি করতে, এই ট্রোজানটি ফাইনান্সিয়াল ডিভাইসের মেমরিতে Track1 এবং Track2 তথ্য খোঁজে।”
কিছু অতিরিক্ত POS Trojan হলো নিম্নরূপ: LockPOS, BlackPOS, FastPOS, PunkeyPOS, CenterPOS, MalumPOS।
