Nie można zagwarantować, że plik jest naprawdę obrazem, wideo, plikiem PDF lub plikiem tekstowym, patrząc na rozszerzenia plików. W systemie Windows osoby atakujące mogą wykonać plik PDF tak, jakby był to plik EXE.
Jest to dość niebezpieczne, ponieważ plik, który pobierasz z Internetu, myląc go z plikiem PDF, może w rzeczywistości zawierać bardzo szkodliwego wirusa. Czy zastanawiałeś się kiedyś, jak atakujący to robią?
Wyjaśnienie wirusów trojańskich
Wirusy trojańskie wywodzą swoją nazwę od ataku Achajów (Greków) w mitologii greckiej na miasto Troja w Anatolii. Troja znajduje się w granicach dzisiejszego miasta Çanakkale. Według narracji, Odyseusz, jeden z greckich królów, zbudował model drewnianego konia, aby pokonać mury miasta Troja. Żołnierze ukryli się w tym modelu i potajemnie weszli do miasta. Jeśli się zastanawiasz, kopia tego modelu konia wciąż znajduje się w Çanakkale w Turcji.
Koń trojański reprezentował kiedyś sprytne oszustwo i genialny wyczyn inżynierii. Dziś jednak jest postrzegany jako złośliwe cyfrowe złośliwe oprogramowanie, którego jedynym celem jest niezauważone zaszkodzenie komputerom docelowym. Ten wirus nazywa się trojanem ze względu na koncepcję pozostania niewykrytym i spowodowania szkody.
Trojany mogą odczytywać hasła, rejestrować klawisze naciskane na klawiaturze lub brać cały komputer jako zakładnika. Są one dość małe do tego celu i mogą spowodować poważne uszkodzenia.
Czym jest metoda RLO?
Wiele języków można pisać od prawej do lewej, na przykład arabski, urdu i perski. Wielu atakujących używa tego rodzaju języka do przeprowadzania różnych ataków. Tekst, który jest dla Ciebie sensowny i bezpieczny, gdy czytasz go od lewej strony, może w rzeczywistości być pisany od prawej strony i odnosić się do zupełnie innego pliku. Możesz użyć metody RLO, która istnieje w systemie operacyjnym Windows, aby poradzić sobie z językami pisanymi od prawej do lewej.
W systemie Windows jest do tego znak RLO. Gdy tylko użyjesz tej postaci, twój komputer zacznie teraz czytać tekst od prawej do lewej. Atakujący korzystający z tego mają dobrą okazję do ukrycia nazw plików wykonywalnych i rozszerzeń.
Załóżmy na przykład, że wpisujesz angielskie słowo od lewej do prawej, a tym słowem jest Oprogramowanie. Jeśli dodasz znak Windows RLO po literze T, wszystko, co wpiszesz później, będzie czytane od prawej do lewej. W rezultacie twoim nowym słowem będzie Softeraw.
Aby lepiej to zrozumieć, przejrzyj poniższy diagram.
Czy można umieścić trojana w pliku PDF?
W przypadku niektórych złośliwych ataków PDF możliwe jest umieszczenie exploitów lub złośliwych skryptów w pliku PDF. Można to zrobić za pomocą wielu różnych narzędzi i programów. Co więcej, można to zrobić, zmieniając istniejące kody pliku PDF bez użycia jakiegokolwiek programu.
Jednak metoda RLO jest inna. Za pomocą metody RLO osoby atakujące prezentują istniejący plik EXE tak, jakby był to plik PDF, aby oszukać docelowego użytkownika. Zmienia się więc tylko obraz pliku EXE. Z drugiej strony użytkownik docelowy otwiera ten plik, wierząc, że jest to niewinny plik PDF.
Jak korzystać z metody RLO
Zanim wyjaśnisz, jak wyświetlić plik EXE jako plik PDF za pomocą metody RLO, przejrzyj poniższy obraz. Który z tych plików to PDF?
Tego nie da się ustalić na pierwszy rzut oka. Zamiast tego Y=musisz spojrzeć na zawartość pliku. Ale gdybyś się zastanawiał, plik po lewej to rzeczywisty plik PDF.
Ta sztuczka jest dość łatwa do wykonania. Atakujący najpierw piszą złośliwy kod i kompilują go. Skompilowany kod daje dane wyjściowe w formacie exe. Atakujący zmieniają nazwę i ikonę tego pliku EXE i przekształcają jego wygląd w plik PDF. Jak więc przebiega proces nazewnictwa?
Tutaj do gry wkracza RLO. Załóżmy na przykład, że masz plik EXE o nazwie iamsafefdp.exe. Na tym etapie atakujący umieści pomiędzy nimi znak RLO Jestem bezpieczny I fdp.exe Do zmienić nazwę pliku. W systemie Windows jest to dość łatwe. Po prostu kliknij prawym przyciskiem myszy podczas zmiany nazwy.
Wszystko, co musisz tutaj zrozumieć, to to, że po tym, jak Windows zobaczy znak RLO, czyta od prawej do lewej. Plik nadal jest plikiem EXE. Nic się nie zmieniło. Z wyglądu przypomina plik PDF.
Po tym etapie atakujący zastąpi teraz ikonę EXE ikoną PDF i wyśle ten plik do osoby docelowej.
Poniższy obraz jest odpowiedzią na nasze wcześniejsze pytanie. Plik EXE, który widzisz po prawej stronie, został utworzony przy użyciu metody RLO. Z wyglądu oba pliki są takie same, ale ich zawartość jest zupełnie inna.
Jak można chronić się przed tego typu atakiem?
Podobnie jak w przypadku wielu problemów związanych z bezpieczeństwem, w przypadku tego problemu z bezpieczeństwem można zastosować kilka środków ostrożności. Pierwszym jest użycie opcji zmiany nazwy, aby sprawdzić plik, który chcesz otworzyć. Jeśli wybierzesz opcję zmiany nazwy, system operacyjny Windows automatycznie wybierze obszar poza rozszerzeniem pliku. Tak więc niezaznaczona część będzie faktycznym rozszerzeniem pliku. Jeżeli widzisz format EXE w niezaznaczonej części, nie powinieneś otwierać tego pliku.
Możesz także sprawdzić, czy ukryty znak nie został wstawiony za pomocą wiersza poleceń. Do tego po prostu Użyj reż Komenda następująco.
Jak widać na powyższym zrzucie ekranu, jest coś dziwnego w nazwie pliku o nazwie utylizacja. Oznacza to, że jest coś, co powinieneś podejrzewać.
Zachowaj środki ostrożności przed pobraniem pliku
Jak widać, nawet prosty plik PDF może sprawić, że Twoje urządzenie znajdzie się pod kontrolą atakujących. Dlatego nie powinieneś pobierać każdego pliku, który widzisz w Internecie. Bez względu na to, jak bezpieczne są według ciebie, zawsze zastanów się dwa razy.
Przed pobraniem pliku można zastosować kilka środków ostrożności. Przede wszystkim upewnij się, że witryna, z której pobierasz, jest niezawodna. Możesz sprawdzić plik, który później pobierzesz online. Jeśli jesteś pewien wszystkiego, decyzja należy wyłącznie do Ciebie.
