Вы не можете гарантировать, что файл действительно является изображением, видео, PDF или текстовым файлом, глядя на расширения файлов. В Windows злоумышленники могут выполнить PDF-файл, как если бы это был EXE-файл.
Это довольно опасно, потому что файл, который вы скачаете из интернета, приняв его за PDF-файл, на самом деле может содержать очень опасный вирус. Вы когда-нибудь задумывались, как злоумышленники это делают?
Описание троянских вирусов
Троянские вирусы получили свое название от нападения ахейцев (греков) в греческой мифологии на город Трою в Анатолии. Троя находится в пределах границ сегодняшнего города Чанаккале. Согласно повествованиям, существовала модель деревянной лошади, построенная Одиссеем, одним из греческих царей, для преодоления стен города Трои. Солдаты спрятались внутри этой модели и тайно проникли в город. Если вам интересно, копия этой модели лошади до сих пор находится в Чанаккале, Турция.
Троянский конь когда-то представлял собой хитрый обман и гениальный инженерный подвиг. Однако сегодня он рассматривается как вредоносное цифровое вредоносное ПО, единственной целью которого является незамеченное причинение вреда целевым компьютерам. Этот вирус называется троян из-за концепции быть незамеченным и причинять вред.
Трояны могут считывать пароли, записывать нажатия клавиш на клавиатуре или брать в заложники весь компьютер. Они достаточно малы для этой цели и могут нанести серьезный ущерб.
Что такое метод RLO?
На многих языках можно писать справа налево, например, на арабском, урду и персидском. Многие злоумышленники используют этот характер языка для запуска различных атак. Текст, который имеет смысл и безопасен для вас, когда вы читаете его слева направо, на самом деле может быть написан справа и относиться к совершенно другому файлу. Вы можете использовать метод RLO, существующий в операционной системе Windows, для работы с языками с письмом справа налево.
В Windows для этого есть символ RLO. Как только вы используете этот символ, ваш компьютер начнет читать текст справа налево. Злоумышленники, использующие это, получают хорошую возможность скрыть имена и расширения исполняемых файлов.
Например, предположим, что вы вводите английское слово слева направо, и это слово — «Программное обеспечение». Если вы добавите символ Windows RLO после буквы T, все, что вы наберете после этого, будет читаться справа налево. В результате вашим новым словом будет Softeraw.
Чтобы лучше понять это, просмотрите диаграмму ниже.
Можно ли поместить троян в PDF?
В некоторых вредоносных атаках на PDF-файлы можно поместить эксплойты или вредоносные скрипты внутрь PDF-файла. Это можно сделать с помощью множества различных инструментов и программ. Более того, это можно сделать, изменив существующие коды PDF без использования какой-либо программы.
Однако метод RLO отличается. С помощью метода RLO злоумышленники представляют существующий EXE-файл, как если бы это был PDF-файл, чтобы обмануть целевого пользователя. Так что меняется только образ EXE. Целевой пользователь, с другой стороны, открывает этот файл, полагая, что это невинный PDF.
Как использовать метод RLO
Прежде чем объяснять, как показать EXE-файл в формате PDF с помощью метода RLO, просмотрите изображение ниже. Какой из этих файлов PDF?
С первого взгляда это не определить. Вместо этого Y=вам нужно посмотреть содержимое файла. Но если вам интересно, файл слева — это настоящий PDF.
Этот трюк довольно легко сделать. Злоумышленники сначала пишут вредоносный код и компилируют его. Скомпилированный код выдает результат в формате exe. Злоумышленники меняют имя и значок этого EXE-файла и превращают его внешний вид в PDF-файл. Так как же работает процесс именования?
Здесь в игру вступает RLO. Например, предположим, что у вас есть EXE-файл с именем iamsafefdp.exe. На этом этапе злоумышленник помещает символ RLO между я в безопасности и fdp.exe к переименовать файл. Это довольно легко сделать в Windows. Просто щелкните правой кнопкой мыши во время переименования.
Все, что вам нужно здесь понять, это то, что после того, как Windows увидит символ RLO, он будет читать справа налево. Файл по-прежнему EXE. Ничего не изменилось. По внешнему виду он выглядит как PDF.
После этого этапа злоумышленник заменит значок EXE на значок PDF и отправит этот файл целевому лицу.
Изображение ниже является ответом на наш предыдущий вопрос. EXE, который вы видите справа, был создан с использованием метода RLO. По внешнему виду оба файла одинаковы, но их содержание совершенно разное.
Как вы можете защититься от этого типа атак?
Как и в случае со многими другими проблемами безопасности, с этой проблемой безопасности вы можете принять некоторые меры предосторожности. Во-первых, используйте параметр переименования, чтобы проверить файл, который вы хотите открыть. Если вы выберете вариант переименования, операционная система Windows автоматически выберет область за пределами расширения файла. Таким образом, невыбранная часть будет фактическим расширением файла. Если вы видите формат EXE в невыбранной части, вам не следует открывать этот файл.
Вы также можете проверить, был ли вставлен скрытый символ, используя командную строку. Для этого просто использовать директор команда следующее.
Как вы можете видеть на скриншоте выше, есть что-то странное в имени файла с именем использовать. Это указывает на то, что есть что-то, в чем вы должны быть подозрительны.
Примите меры предосторожности перед загрузкой файла
Как видите, даже простой PDF-файл может привести к тому, что ваше устройство попадет под контроль злоумышленников. Вот почему вам не следует скачивать каждый файл, который вы видите в Интернете. Независимо от того, насколько они безопасны, всегда думайте дважды.
Перед загрузкой файла вы можете принять некоторые меры предосторожности. Прежде всего, вы должны убедиться, что сайт, с которого вы скачиваете, является надежным. Вы можете проверить файл, который вы загрузите позже, в Интернете. Если вы во всем уверены, решение остается за вами.
