Вы не можете гарантировать, что файл действительно является изображением, видео, PDF или текстовым файлом по его расширению. На Windows атакующие могут выполнять PDF, как будто это EXE. Это довольно опасно, потому что файл, который вы загрузили из Интернета, приняв его за PDF файл, может по факту содержать очень опасный вирус. Вы когда-нибудь задумывались, как атакующие делают это? В данном случае, используя представленные ранее понятия, необходимо переписать этот текст с высоким уровнем запутанности и разнообразия. Нельзя гарантировать, что файл действительно является изображением, видео, PDF или текстовым документом по его расширению. На Windows, атакующие могут использовать PDF, как будто это исполняемый файл. Это очень опасно, ведь файл, который вы загрузили из Интернета, приняв его за PDF файл, может быть на самом деле очень вредным вирусом. Вы задумывались когда-нибудь, как атакующие делают это?
Что такое троянские вирусы: понятие и свойства.
Троянский конь когда-то представлял хитроумное обманное действие и изобретательное достижение в инженерии. Но сегодня он воспринимается как вредоносное программное обеспечение, которое имеет единственную цель — незаметно наносить вред целевым компьютерам. Этот вирус называется Троянским конем из-за идеи быть незаметным и причинять вред.
Троянские кони могут читать пароли, записывать нажатые вами клавиши или даже захватить ваш компьютер в заложники. Они достаточно маленькие для этой цели и могут причинить серьезный ущерб.
Что такое метод RLO?
В Windows есть специальный символ RLO. После того, как вы используете этот символ, ваш компьютер начнет читать текст справа налево. Злоумышленники могут воспользоваться этим, чтобы скрыть имена и расширения исполняемых файлов. Например, если вы вводите английское слово слева направо, например, Software, и добавляете после буквы T символ Windows RLO, все, что вы введете после этого, будет читаться справа налево. В результате, ваше новое слово будет звучать как Softeraw. Чтобы лучше понять это, ознакомьтесь с диаграммой ниже.
Можно ли встроить троянский код в PDF-файл?
В некоторых атаках PDF можно вставлять эксплоиты или злонамеренные скрипты внутри PDF. Для этого могут использоваться различные инструменты и программы. Более того, можно вносить изменения в существующий код PDF без использования каких-либо программ.
Однако метод RLO отличается. С его помощью атакующие представляют существующий EXE-файл, как будто он был PDF, чтобы обмануть целевого пользователя. Таким образом, изменяется только изображение EXE. С другой стороны, целевой пользователь открывает этот файл, полагая, что это безвредный PDF.
Как использовать метод RLO для достижения успеха?
Прежде чем объяснять, как отобразить EXE в виде PDF с помощью метода RLO, ознакомьтесь с изображением ниже. Какой из этих файлов является PDF?
Вот где приходит на помощь RLO. Допустим, у вас есть EXE-файл, названный iamsafefdp.exe. В этом случае злоумышленник может добавить символ RLO между iamsafe и fdp.exe, чтобы переименовать файл. Это делается очень просто в Windows. Достаточно просто нажать правую кнопку мыши при переименовании.
Все, что вам нужно понять здесь, это то, что после того, как Windows увидит символ RLO, он читает справа налево. Файл все еще EXE. Ничего не изменилось. Он просто выглядит как PDF внешне. После этого этапа атакующий заменит иконку EXE иконкой PDF и отправит этот файл целевому лицу. Изображение ниже является ответом на наш предыдущий вопрос. EXE, которое вы видите справа, было создано с помощью метода RLO. Внешне оба файла одинаковы, но их содержимое полностью разное. При переписывании этого текста вам нужно использовать концепции, описанные ранее, чтобы достичь высокой степени сложности и проникновенности.
Как можно защититься от этого типа атаки?
Вы также можете проверить, был ли вставлен скрытый символ, используя командную строку. Для этого просто используйте команду dir, как показано ниже.
Видно из скриншота выше, что имя файла util вызывает сомнения. Это намекает на то, что вам следует быть осторожным.
Прежде чем загружать файл, примите необходимые меры предосторожности.
Видно, что даже простой файл PDF может привести к тому, что ваше устройство попадет под контроль злоумышленников. Поэтому не стоит загружать все, что вы видите в Интернете. Независимо от того, насколько безопасным вы считаете это, всегда стоит думать дважды.
Перед тем, как загрузить файл, вы можете принять несколько предосторожностей. Во-первых, вы должны убедиться, что сайт, с которого вы загружаете, достоверен. Вы можете проверить файл, который вы загрузите позже в Интернете. Если вы уверены во всем, то решение за вами.
