Negalite garantuoti, kad failas tikrai yra vaizdas, vaizdo įrašas, PDF ar tekstinis failas, žiūrėdami į failų plėtinius. Sistemoje Windows užpuolikai gali paleisti PDF taip, lyg tai būtų EXE.
Tai gana pavojinga, nes faile, kurį atsisiunčiate iš interneto, painiodami jį su PDF failu, iš tikrųjų gali būti labai žalingo viruso. Ar kada nors susimąstėte, kaip tai daro užpuolikai?
Trojos virusų paaiškinimas
Trojos virusai savo pavadinimą gavo nuo graikų mitologijoje achėjų (graikų) atakos prieš Trojos miestą Anatolijoje. Troja yra šiandieninio Çanakkale miesto ribose. Pasak pasakojimų, buvo medinis arklys, kurį Odisėjas, vienas iš Graikijos karalių, pastatė Trojos miesto sienoms įveikti. Kareiviai pasislėpė šio modelio viduje ir slapta įžengė į miestą. Jei jums įdomu, šio arklio modelio kopija vis dar yra Çanakkale, Turkija.
Trojos arklys kadaise buvo sumani apgaulė ir genialus inžinerijos žygdarbis. Tačiau šiandien ji laikoma kenkėjiška skaitmenine kenkėjiška programa, kurios vienintelis tikslas yra nepastebimai pakenkti tiksliniams kompiuteriams. Tai
virusas vadinamas Trojos arkliu dėl sąvokos būti nepastebėtam ir darant žalą.Trojos arklys gali nuskaityti slaptažodžius, įrašyti paspaudžiamus klaviatūros klavišus arba paimti įkaitu visą jūsų kompiuterį. Šiuo tikslu jie yra gana maži ir gali sukelti rimtą žalą.
Kas yra RLO metodas?
Daugeliu kalbų galima rašyti iš dešinės į kairę, pavyzdžiui, arabų, urdu ir persų. Daugelis užpuolikų naudoja šį kalbos pobūdį įvairioms atakoms pradėti. Tekstas, kuris jums yra prasmingas ir saugus, kai skaitote jį iš kairės, iš tikrųjų gali būti parašytas iš dešinės ir nurodyti visiškai kitą failą. Galite naudoti RLO metodą, esantį „Windows“ operacinėje sistemoje, kad galėtumėte dirbti su kalbomis iš dešinės į kairę.
„Windows“ tam yra RLO simbolis. Kai tik naudosite šį simbolį, jūsų kompiuteris pradės skaityti tekstą iš dešinės į kairę. Tai naudojantys užpuolikai turi gerą galimybę paslėpti vykdomųjų failų pavadinimus ir plėtinius.
Pavyzdžiui, tarkime, kad įvedėte anglišką žodį iš kairės į dešinę ir tas žodis yra programinė įranga. Jei po raidės T pridėsite Windows simbolį RLO, viskas, ką įvesite po jos, bus skaitoma iš dešinės į kairę. Dėl to jūsų naujas žodis bus „Softeraw“.
Norėdami tai geriau suprasti, peržiūrėkite toliau pateiktą diagramą.
Ar Trojos arklys gali būti įtrauktas į PDF?
Kai kurių kenkėjiškų PDF atakų metu PDF faile galima įdėti išnaudojimų arba kenkėjiškų scenarijų. Tai gali padaryti daug įvairių įrankių ir programų. Be to, tai galima padaryti pakeitus esamus PDF kodus nenaudojant jokios programos.
Tačiau RLO metodas skiriasi. Naudodami RLO metodą, užpuolikai pateikia esamą EXE, tarsi tai būtų PDF, norėdami apgauti tikslinį vartotoją. Taigi keičiasi tik EXE vaizdas. Kita vertus, tikslinis vartotojas atidaro šį failą manydamas, kad tai nekaltas PDF failas.
Kaip naudoti RLO metodą
Prieš paaiškindami, kaip rodyti EXE kaip PDF naudojant RLO metodą, peržiūrėkite toliau pateiktą paveikslėlį. Kuris iš šių failų yra PDF?
Negalite to nustatyti iš pirmo žvilgsnio. Vietoj to, Y=reikia pažvelgti į failo turinį. Bet jei jums įdomu, kairėje esantis failas yra tikrasis PDF.
Šį triuką atlikti gana paprasta. Užpuolikai pirmiausia parašo kenkėjišką kodą ir jį sukompiliuoja. Sudarytas kodas pateikia išvestį exe formatu. Užpuolikai pakeičia šio EXE pavadinimą ir piktogramą ir paverčia jo išvaizdą PDF formatu. Taigi, kaip veikia vardų suteikimo procesas?
Čia atsiranda RLO. Pavyzdžiui, tarkime, kad turite pavadinimą EXE iamsafefdp.exe. Šiame etape užpuolikas įdeda RLO simbolį tarp iamsafe ir fdp.exe į pervardykite failą. Tai gana lengva padaryti sistemoje „Windows“. Pervadindami tiesiog spustelėkite dešinįjį pelės klavišą.
Viskas, ką čia reikia suprasti, yra tai, kad po to, kai Windows pamato RLO simbolį, jis skaitomas iš dešinės į kairę. Failas vis dar yra EXE. Niekas nepasikeitė. Tai tiesiog atrodo kaip PDF.
Po šio etapo užpuolikas dabar pakeis EXE piktogramą PDF piktograma ir išsiųs šį failą tiksliniam asmeniui.
Žemiau pateiktame paveikslėlyje yra atsakymas į mūsų ankstesnį klausimą. EXE, kurį matote dešinėje, buvo sukurtas naudojant RLO metodą. Išvaizda abu failai yra vienodi, tačiau jų turinys visiškai skiriasi.
Kaip apsisaugoti nuo tokio tipo išpuolių?
Kaip ir daugelio saugos problemų atveju, yra keletas atsargumo priemonių, kurių galite imtis sprendžiant šią saugos problemą. Pirmasis yra naudoti pervardyti parinktį, kad patikrintumėte failą, kurį norite atidaryti. Jei pasirinksite pervadinimo parinktį, „Windows“ operacinė sistema automatiškai pasirinks sritį, esančią už failo plėtinio ribų. Taigi nepasirinkta dalis bus tikrasis failo plėtinys. Jei nepasirinktoje dalyje matote EXE formatą, neturėtumėte atidaryti šio failo.
Taip pat galite patikrinti, ar buvo įterptas paslėptas simbolis, naudodami komandinę eilutę. Tam tiesiog naudoti rež komandą taip.
Kaip matote aukščiau esančioje ekrano kopijoje, pavadinto failo pavadinime yra kažkas keisto util. Tai rodo, kad kažkas jums turėtų kilti įtarimų.
Imkitės atsargumo priemonių prieš atsisiųsdami failą
Kaip matote, net paprastas PDF failas gali priversti jūsų įrenginį kontroliuoti užpuolikai. Štai kodėl neturėtumėte atsisiųsti kiekvieno failo, kurį matote internete. Kad ir kokie saugūs jie būtų, visada pagalvokite du kartus.
Prieš atsisiųsdami failą, galite imtis kelių atsargumo priemonių. Visų pirma, turėtumėte įsitikinti, kad svetainė, iš kurios atsisiunčiate, yra patikima. Galite patikrinti failą, kurį vėliau atsisiųsite internete. Jei esate viskuo tikras, tai tik jūs turite priimti šį sprendimą.
