Du kan inte garantera att en fil verkligen är en bild-, video-, PDF- eller textfil genom att titta på filtillägg. På Windows kan angripare köra en PDF som om den vore en EXE.
Detta är ganska farligt, eftersom en fil som du laddar ner från internet, och misstar den för en PDF-fil, faktiskt kan innehålla ett mycket skadligt virus. Har du någonsin undrat hur angripare gör detta?
Trojanska virus förklaras
Trojanska virus har fått sitt namn från attacken av akaerna (grekerna) i grekisk mytologi på staden Troja i Anatolien. Troy ligger inom gränserna till dagens Çanakkale stad. Enligt berättelserna fanns det en modell av trähäst byggd av Odysseus, en av de grekiska kungarna, för att övervinna murarna i staden Troja. Soldater gömde sig inuti denna modell och gick i hemlighet in i staden. Om du undrar, finns en kopia av denna hästmodell fortfarande i Çanakkale, Turkiet.
Den trojanska hästen representerade en gång ett smart bedrägeri och en genialisk ingenjörsprestation. Idag ses det dock som skadlig digital skadlig programvara vars enda syfte är att skada måldatorer oupptäckta. Detta virus kallas en trojan på grund av konceptet att vara oupptäckt och orsaka skada.
Trojaner kan läsa lösenord, spela in tangenterna du trycker på på ditt tangentbord eller ta hela din dator som gisslan. De är ganska små för detta ändamål och kan orsaka allvarliga skador.
Vad är RLO-metoden?
Många språk kan skrivas från höger till vänster, till exempel arabiska, urdu och persiska. Många angripare använder denna typ av språk för att starta olika attacker. En text som är meningsfull och säker för dig när du läser den med början från vänster kan faktiskt vara skriven från höger och referera till en helt annan fil. Du kan använda RLO-metoden som finns i Windows-operativsystemet för att hantera höger-till-vänster-språk.
Det finns ett RLO-tecken för detta i Windows. Så fort du använder det här tecknet kommer din dator nu att börja läsa texten från höger till vänster. Angripare som använder detta får en bra möjlighet att dölja körbara filnamn och tillägg.
Anta till exempel att du skriver ett engelskt ord från vänster till höger, och det ordet är Software. Om du lägger till Windows-tecknet RLO efter bokstaven T, kommer allt du skriver efter det att läsas från höger till vänster. Som ett resultat kommer ditt nya ord att vara Softeraw.
För att förstå detta bättre, granska diagrammet nedan.
Kan en trojan läggas i en PDF?
I vissa skadliga PDF-attacker är det möjligt att placera exploateringar eller skadliga skript i PDF: en. Många olika verktyg och program kan göra detta. Dessutom är det möjligt att göra detta genom att ändra de befintliga koderna för PDF-filen utan att använda något program.
RLO-metoden är dock annorlunda. Med RLO-metoden presenterar angripare en befintlig EXE som om den vore en PDF för att lura målanvändaren. Så bara bilden av EXE ändras. Målanvändaren, å andra sidan, öppnar den här filen och tror att den är en oskyldig PDF.
Hur man använder RLO-metoden
Innan du förklarar hur du visar en EXE som PDF med RLO-metoden, granska bilden nedan. Vilken av dessa filer är PDF?
Du kan inte avgöra detta med ett ögonkast. Istället måste Y=du titta på innehållet i filen. Men om du undrade så är filen till vänster den faktiska PDF-filen.
Det här tricket är ganska enkelt att göra. Angripare skriver först skadlig kod och kompilerar den. Den kompilerade koden ger en utdata i exe-format. Angripare ändrar namn och ikon för denna EXE och förvandlar dess utseende till en PDF. Så hur fungerar namngivningsprocessen?
Det är här RLO kommer in i bilden. Anta till exempel att du har ett EXE som heter iamsafefdp.exe. I detta skede kommer angriparen att lägga en RLO-karaktär mellan jag är säker och fdp.exe till byt namn på filen. Det är ganska enkelt att göra detta i Windows. Högerklicka bara medan du byter namn.
Allt du behöver förstå här är att efter att Windows ser RLO-tecknet läser det från höger till vänster. Filen är fortfarande en EXE. Inget har förändrats. Det ser bara ut som en PDF till utseendet.
Efter detta steg kommer angriparen nu att ersätta ikonen för EXE med en PDF-ikon och skicka denna fil till målpersonen.
Bilden nedan är svaret på vår tidigare fråga. EXE-filen du ser till höger skapades med RLO-metoden. Till utseendet är båda filerna desamma, men deras innehåll är helt olika.
Hur kan du skydda dig från denna typ av attack?
Som med många säkerhetsproblem finns det flera försiktighetsåtgärder du kan vidta med detta säkerhetsproblem. Det första är att använda alternativet för att byta namn för att kontrollera filen du vill öppna. Om du väljer alternativet Byt namn kommer Windows-operativsystemet automatiskt att välja området utanför filens filtillägg. Så den omarkerade delen kommer att vara filens faktiska filtillägg. Om du ser EXE-formatet i den omarkerade delen bör du inte öppna den här filen.
Du kan också kontrollera om ett dolt tecken har infogats med hjälp av kommandoraden. För detta, helt enkelt Använd dir kommando som följer.
Som du kan se i skärmdumpen ovan är det något konstigt med namnet på filen som heter util. Detta indikerar att det är något du bör misstänka.
Vidta försiktighetsåtgärder innan du laddar ner en fil
Som du kan se kan även en enkel PDF-fil få din enhet att hamna under kontroll av angripare. Det är därför du inte ska ladda ner alla filer du ser på internet. Oavsett hur säkra du tror att de är, tänk alltid två gånger.
Innan du laddar ner en fil finns det flera försiktighetsåtgärder du kan vidta. Först och främst bör du se till att webbplatsen du laddar ner från är pålitlig. Du kan kontrollera filen du kommer att ladda ner senare online. Om du är säker på allt är det helt upp till dig att fatta detta beslut.
