A fájlkiterjesztések alapján nem garantálható, hogy egy fájl valóban kép-, videó-, PDF- vagy szövegfájl. Windows rendszeren a támadók úgy futtathatnak egy PDF-fájlt, mintha az EXE lenne.
Ez meglehetősen veszélyes, mert az internetről letöltött fájl, ha összetéveszti egy PDF-fájllal, valójában nagyon káros vírust tartalmazhat. Elgondolkozott már azon, hogyan teszik ezt a támadók?
A trójai vírusok magyarázata
A trójai vírusok nevüket az akhájok (görögök) támadásáról kapták a görög mitológiában az anatóliai Trója városa ellen. Troy a mai Çanakkale város határain belül található. Az elbeszélések szerint volt egy mintafa ló, amelyet Odüsszeusz, az egyik görög király épített, hogy legyőzze Trója városának falait. A katonák ebbe a modellbe bújtak, és titokban behatoltak a városba. Ha kíváncsi, ennek a lómodellnek a másolata még mindig megtalálható a törökországi Çanakkale városában.
A trójai faló egykor okos megtévesztés és zseniális mérnöki bravúr volt. Ma azonban rosszindulatú digitális kártevőnek tekintik, amelynek egyetlen célja, hogy észrevétlenül károsítsa a célszámítógépeket. Ez vírust trójainak hívják az észrevétlen és a károkozás fogalma miatt.
A trójaiak elolvashatják a jelszavakat, rögzíthetik a billentyűzeten megnyomott billentyűket, vagy túszul ejthetik az egész számítógépet. Erre a célra meglehetősen kicsik, és komoly károkat okozhatnak.
Mi az RLO módszer?
Számos nyelv írható jobbról balra, például az arab, az urdu és a perzsa nyelven. Sok támadó használja ezt a nyelvet különféle támadások indítására. Egy olyan szöveg, amely értelmes és biztonságos az Ön számára, ha balról kezdve olvassa, valójában jobbról írható, és egy teljesen más fájlra hivatkozik. A jobbról balra írt nyelvek kezelésére használhatja a Windows operációs rendszerben létező RLO metódust.
A Windowsban erre van egy RLO karakter. Amint használja ezt a karaktert, számítógépe elkezdi olvasni a szöveget jobbról balra. Az ezt használó támadók jó lehetőséget kapnak a végrehajtható fájlnevek és kiterjesztések elrejtésére.
Tegyük fel például, hogy egy angol szót ír be balról jobbra, és ez a szó Szoftver. Ha a T betű után hozzáadja az RLO Windows karaktert, akkor minden, amit ezután ír be, jobbról balra olvasható. Ennek eredményeként az új szava a Softeraw lesz.
Ennek jobb megértéséhez tekintse át az alábbi diagramot.
Behelyezhető egy trójai PDF-be?
Egyes rosszindulatú PDF-támadások esetén lehetőség van kihasználásokra vagy rosszindulatú szkriptek elhelyezésére a PDF-ben. Számos különböző eszköz és program képes erre. Sőt, ez megtehető a PDF meglévő kódjainak megváltoztatásával, program használata nélkül.
Az RLO módszer azonban más. Az RLO módszerrel a támadók egy létező EXE-t úgy mutatnak be, mintha az PDF-fájl lenne, hogy becsapják a célfelhasználót. Így csak az EXE képe változik. A célfelhasználó viszont megnyitja ezt a fájlt, és azt hiszi, hogy egy ártatlan PDF.
Az RLO módszer használata
Mielőtt elmagyarázná, hogyan lehet EXE-t PDF-ként megjeleníteni az RLO módszerrel, tekintse át az alábbi képet. Az alábbi fájlok közül melyik PDF?
Ezt egy pillantással nem lehet megállapítani. Ehelyett Y=meg kell nézni a fájl tartalmát. De ha kíváncsi lenne, a bal oldali fájl a tényleges PDF.
Ezt a trükköt nagyon könnyű megcsinálni. A támadók először rosszindulatú kódot írnak, majd lefordítják azt. A lefordított kód exe formátumú kimenetet ad. A támadók megváltoztatják ennek az EXE-nek a nevét és ikonját, és PDF-fájllá alakítják a megjelenését. Tehát hogyan működik a névadási folyamat?
Itt jön képbe az RLO. Tegyük fel például, hogy van egy nevű EXE iamsafefdp.exe. Ebben a szakaszban a támadó egy RLO karaktert tesz a közé biztonságban vagyok és fdp.exe nak nek nevezze át a fájlt. Windows alatt ezt meglehetősen könnyű megtenni. Csak kattintson a jobb gombbal átnevezés közben.
Itt csak annyit kell érteni, hogy miután a Windows látja az RLO karaktert, jobbról balra olvas. A fájl továbbra is EXE. Semmi sem változott. Csak úgy néz ki, mint egy PDF.
Ezt követően a támadó lecseréli az EXE ikonját egy PDF ikonra, és elküldi ezt a fájlt a célszemélynek.
Az alábbi kép a válasz korábbi kérdésünkre. A jobb oldalon látható EXE az RLO metódussal készült. Kinézetre mindkét fájl ugyanaz, de a tartalmuk teljesen más.
Hogyan védekezhet az ilyen típusú támadások ellen?
Mint sok biztonsági probléma esetében, ezen a biztonsági probléma esetén is számos óvintézkedést megtehet. Az első az átnevezés opció használata a megnyitni kívánt fájl ellenőrzéséhez. Ha az átnevezés opciót választja, a Windows operációs rendszer automatikusan kiválasztja a fájl kiterjesztésen kívül eső területet. Tehát a ki nem választott rész lesz a fájl tényleges kiterjesztése. Ha az EXE formátumot látja a ki nem választott részben, akkor ne nyissa meg ezt a fájlt.
Azt is ellenőrizheti, hogy beszúrt-e rejtett karaktert a parancssor segítségével. Ehhez egyszerűen használja a dir parancs alábbiak szerint.
Amint a fenti képernyőképen látható, van valami furcsa a megnevezett fájl nevében util. Ez azt jelzi, hogy van valami, amiért gyanakodnia kell.
Tegye meg az óvintézkedéseket a fájl letöltése előtt
Mint látható, még egy egyszerű PDF-fájl is a támadók irányítása alá vonhatja eszközét. Ezért ne töltsön le minden fájlt, amit az interneten lát. Nem számít, mennyire biztonságosnak gondolja őket, mindig gondolja meg kétszer.
A fájl letöltése előtt számos óvintézkedést megtehet. Mindenekelőtt meg kell győződnie arról, hogy a webhely, ahonnan letölt, megbízható. A később letölteni kívánt fájlt online ellenőrizheti. Ha mindenben biztos vagy, teljes mértékben rajtad múlik, hogy meghozd ezt a döntést.
