Не можете да гарантирате, че даден файл наистина е изображение, видео, PDF или текстов файл, като гледате файловите разширения. В Windows нападателите могат да изпълнят PDF, сякаш е EXE.
Това е доста опасно, защото файл, който изтегляте от интернет, като го бъркате с PDF файл, всъщност може да съдържа много опасен вирус. Чудили ли сте се как нападателите правят това?
Обяснени троянски вируси
Троянските вируси получават името си от атаката на ахейците (гърците) в гръцката митология над град Троя в Анадола. Троя се намира в границите на днешния град Чанаккале. Според разказите е имало модел на дървен кон, построен от Одисей, един от гръцките царе, за да преодолее стените на град Троя. Войниците се скрили в този модел и тайно влезли в града. Ако се чудите, копие на този модел кон все още се намира в Чанаккале, Турция.
Някога троянският кон представляваше умна измама и гениално инженерно постижение. Днес обаче той се разглежда като злонамерен цифров зловреден софтуер, чиято единствена цел е да навреди на целевите компютри незабелязано. Това
вирусът се нарича троянски кон поради концепцията за неоткриване и причиняване на вреда.Троянските коне могат да четат пароли, да записват клавишите, които натискате на клавиатурата си, или да вземат целия ви компютър като заложник. Те са доста малки за тази цел и могат да причинят сериозни щети.
Какво представлява методът RLO?
Много езици могат да се пишат отдясно наляво, като арабски, урду и персийски. Много нападатели използват тази природа на езика, за да стартират различни атаки. Текст, който е смислен и безопасен за вас, когато го четете, започвайки отляво, всъщност може да бъде написан отдясно и да препраща към напълно различен файл. Можете да използвате метода RLO, който съществува в операционната система Windows, за да се справите с езиците, пишещи отдясно наляво.
В Windows има символ RLO за това. Веднага щом използвате този знак, вашият компютър ще започне да чете текста отдясно наляво. Нападателите, използващи това, получават добра възможност да скрият имена и разширения на изпълними файлове.
Да предположим например, че въвеждате английска дума отляво надясно и тази дума е софтуер. Ако добавите знака RLO на Windows след буквата T, всичко, което въведете след това, ще се чете отдясно наляво. В резултат новата ви дума ще бъде Softeraw.
За да разберете това по-добре, прегледайте диаграмата по-долу.
Може ли троянски кон да бъде поставен в PDF?
При някои злонамерени PDF атаки е възможно да поставите експлойти или злонамерени скриптове в PDF файла. Много различни инструменти и програми могат да направят това. Освен това е възможно да направите това, като промените съществуващите кодове на PDF, без да използвате програма.
Методът RLO обаче е различен. С метода RLO нападателите представят съществуващ EXE файл, сякаш е PDF, за да подмамят целевия потребител. Така че само изображението на EXE се променя. Целевият потребител, от друга страна, отваря този файл, вярвайки, че е невинен PDF.
Как да използвате метода RLO
Преди да обясните как да покажете EXE като PDF с метода RLO, прегледайте изображението по-долу. Кой от тези файлове е PDF?
Не можете да определите това с един поглед. Вместо това Y=трябва да погледнете съдържанието на файла. Но в случай, че се чудите, файлът отляво е действителният PDF.
Този трик е доста лесен за изпълнение. Нападателите първо пишат злонамерен код и го компилират. Компилираният код дава изход във формат exe. Нападателите променят името и иконата на този EXE и превръщат външния му вид в PDF. И така, как работи процесът на именуване?
Това е мястото, където RLO влиза в игра. Да предположим например, че имате EXE с име iamsafefdp.exe. На този етап нападателят ще постави RLO символ между тях iamsafe и fdp.exe да се преименувайте файла. Доста лесно е да направите това в Windows. Просто щракнете с десния бутон, докато преименувате.
Всичко, което трябва да разберете тук е, че след като Windows види знака RLO, той чете отдясно наляво. Файлът все още е EXE. Нищо не се е променило. Просто изглежда като PDF на външен вид.
След този етап нападателят вече ще замени иконата на EXE с PDF икона и ще изпрати този файл на целевото лице.
Изображението по-долу е отговорът на предишния ни въпрос. EXE, който виждате вдясно, е създаден с помощта на метода RLO. На външен вид и двата файла са еднакви, но съдържанието им е напълно различно.
Как можете да се предпазите от този тип атака?
Както при много проблеми със сигурността, има няколко предпазни мерки, които можете да предприемете при този проблем със сигурността. Първият е да използвате опцията за преименуване, за да проверите файла, който искате да отворите. Ако изберете опцията за преименуване, операционната система Windows автоматично ще избере областта извън разширението на файла. Така че неизбраната част ще бъде действителното разширение на файла. Ако видите EXE формата в неизбраната част, не трябва да отваряте този файл.
Можете също да проверите дали е вмъкнат скрит знак с помощта на командния ред. За това просто използвай реж команда както следва.
Както можете да видите на екранната снимка по-горе, има нещо странно в името на посочения файл util. Това показва, че има нещо, за което трябва да сте подозрителни.
Вземете предпазни мерки, преди да изтеглите файл
Както можете да видите, дори обикновен PDF файл може да накара вашето устройство да попадне под контрола на нападателите. Ето защо не трябва да изтегляте всеки файл, който видите в интернет. Без значение колко безопасни мислите, че са, винаги помислете два пъти.
Преди да изтеглите файл, можете да вземете няколко предпазни мерки. Преди всичко трябва да се уверите, че сайтът, от който изтегляте, е надежден. Можете да проверите файла, който ще изтеглите по-късно онлайн. Ако сте сигурни във всичко, това решение зависи изцяло от вас.
