Když se podíváte na přípony souborů, nemůžete zaručit, že soubor je skutečně obrázkem, videem, PDF nebo textovým souborem. V systému Windows mohou útočníci spustit soubor PDF, jako by to byl EXE.
To je docela nebezpečné, protože soubor, který si stáhnete z internetu a spletete si ho se souborem PDF, může ve skutečnosti obsahovat velmi škodlivý virus. Přemýšleli jste někdy, jak to útočníci dělají?
Vysvětlení trojských virů
Trojské viry odvozují svůj název od útoku Achájců (Řeků) v řecké mytologii na město Trója v Anatolii. Trója se nachází na území dnešního města Çanakkale. Podle vyprávění zde byl model dřevěného koně, který postavil Odysseus, jeden z řeckých králů, aby překonal hradby města Trója. Vojáci se ukryli uvnitř tohoto modelu a tajně vstoupili do města. Pokud vás to zajímá, kopie tohoto modelu koně se stále nachází v Çanakkale v Turecku.
Trojský kůň kdysi představoval chytrý podvod a důmyslný inženýrský čin. Dnes je však považován za škodlivý digitální malware, jehož jediným účelem je nepozorovaně poškodit cílové počítače. Tento virus se nazývá trojský kůň kvůli konceptu být nedetekován a způsobovat škodu.
Trojské koně mohou číst hesla, zaznamenávat klávesy, které stisknete na klávesnici, nebo si vzít jako rukojmí celý váš počítač. Pro tento účel jsou poměrně malé a mohou způsobit vážné poškození.
Co je metoda RLO?
Mnoho jazyků lze psát zprava doleva, jako je arabština, urdština a perština. Mnoho útočníků používá tuto povahu jazyka k zahájení různých útoků. Text, který je pro vás smysluplný a bezpečný, když jej čtete zleva, může být ve skutečnosti psán zprava a odkazuje na úplně jiný soubor. Pro práci s jazyky se zápisem zprava doleva můžete použít metodu RLO, která existuje v operačním systému Windows.
Ve Windows pro to existuje znak RLO. Jakmile tento znak použijete, váš počítač nyní začne číst text zprava doleva. Útočníci, kteří to používají, mají dobrou příležitost skrýt názvy a přípony spustitelných souborů.
Předpokládejme například, že napíšete anglické slovo zleva doprava a toto slovo je Software. Pokud za písmeno T přidáte znak RLO Windows, vše, co napíšete poté, se bude číst zprava doleva. V důsledku toho bude vaše nové slovo Softeraw.
Abyste tomu lépe porozuměli, prohlédněte si níže uvedený diagram.
Lze trojského koně vložit do PDF?
V některých škodlivých útocích na PDF je možné do PDF umístit exploity nebo škodlivé skripty. To dokáže mnoho různých nástrojů a programů. Navíc je to možné provést změnou stávajících kódů PDF bez použití jakéhokoli programu.
Metoda RLO je však jiná. Pomocí metody RLO útočníci prezentují existující EXE, jako by to bylo PDF, aby oklamali cílového uživatele. Mění se tedy pouze obrázek EXE. Cílový uživatel na druhou stranu otevře tento soubor v domnění, že jde o nevinné PDF.
Jak používat metodu RLO
Než vysvětlíte, jak zobrazit EXE jako PDF pomocí metody RLO, prohlédněte si obrázek níže. Který z těchto souborů je PDF?
Na první pohled to nelze určit. Místo toho Y=musíte se podívat na obsah souboru. Ale v případě, že by vás to zajímalo, soubor vlevo je skutečné PDF.
Tento trik je docela snadné udělat. Útočníci nejprve napíší škodlivý kód a zkompilují jej. Zkompilovaný kód poskytuje výstup ve formátu exe. Útočníci změní název a ikonu tohoto EXE a změní jeho vzhled na PDF. Jak tedy proces pojmenování funguje?
Zde vstupuje do hry RLO. Předpokládejme například, že máte EXE pojmenované iamsafefdp.exe. V této fázi útočník mezi sebe vloží znak RLO iamsafe a fdp.exe na přejmenovat soubor. Ve Windows je to docela snadné. Při přejmenování stačí kliknout pravým tlačítkem.
Zde stačí pochopit, že poté, co Windows uvidí znak RLO, čte se zprava doleva. Soubor je stále EXE. Nic se nezměnilo. Vypadá to jako PDF.
Po této fázi útočník nyní nahradí ikonu EXE ikonou PDF a pošle tento soubor cílové osobě.
Níže uvedený obrázek je odpovědí na naši předchozí otázku. EXE, který vidíte vpravo, byl vytvořen pomocí metody RLO. Vzhledově jsou oba soubory stejné, ale jejich obsah je zcela odlišný.
Jak se můžete chránit před tímto typem útoku?
Stejně jako u mnoha problémů se zabezpečením existuje několik opatření, která můžete u tohoto bezpečnostního problému podniknout. První je použít možnost přejmenovat pro kontrolu souboru, který chcete otevřít. Pokud zvolíte možnost přejmenovat, operační systém Windows automaticky vybere oblast mimo příponu souboru. Takže nevybraná část bude skutečnou příponou souboru. Pokud v nevybrané části vidíte formát EXE, neměli byste tento soubor otevírat.
Pomocí příkazového řádku můžete také zkontrolovat, zda byl vložen skrytý znak. K tomu jednoduše použít dir příkaz jak následuje.
Jak můžete vidět na obrázku výše, na názvu pojmenovaného souboru je něco divného util. To naznačuje, že existuje něco, na co byste měli být podezřelí.
Před stažením souboru proveďte preventivní opatření
Jak vidíte, i jednoduchý soubor PDF může způsobit, že se vaše zařízení dostane pod kontrolu útočníků. Proto byste neměli stahovat každý soubor, který vidíte na internetu. Bez ohledu na to, jak bezpečné si myslíte, že jsou, vždy si to dvakrát rozmyslete.
Před stažením souboru můžete provést několik opatření. Nejprve byste se měli ujistit, že stránka, ze které stahujete, je spolehlivá. Soubor, který si později stáhnete, můžete zkontrolovat online. Pokud jste si vším jisti, je zcela na vás, jak se rozhodnete.
