Du kan ikke garantere, at en fil virkelig er en billed-, video-, PDF- eller tekstfil ved at se på filtypenavne. På Windows kan angribere udføre en PDF, som om den var en EXE.
Dette er ret farligt, fordi en fil, som du downloader fra internettet, og forveksler den med en PDF-fil, faktisk kan indeholde en meget skadelig virus. Har du nogensinde spekuleret på, hvordan angribere gør dette?
Trojanske vira forklaret
Trojanske vira får deres navn fra achæernes (grækernes) angreb i den græske mytologi på byen Troja i Anatolien. Troy ligger inden for grænserne af dagens Çanakkale by. Ifølge fortællingerne var der en model af træhest bygget af Odysseus, en af de græske konger, for at overvinde byen Trojas mure. Soldater gemte sig inde i denne model og kom i hemmelighed ind i byen. Hvis du undrer dig, findes en kopi af denne hestemodel stadig i Çanakkale, Tyrkiet.
Den trojanske hest repræsenterede engang et smart bedrag og en genial ingeniørkunst. I dag betragtes det dog som ondsindet digital malware, hvis eneste formål er at skade målcomputere uopdaget. Det her virus kaldes en trojaner på grund af konceptet om at være uopdaget og forårsage skade.
Trojanske heste kan læse adgangskoder, optage de taster, du trykker på på dit tastatur, eller tage hele din computer som gidsel. De er ret små til dette formål og kan forårsage alvorlig skade.
Hvad er RLO-metoden?
Mange sprog kan skrives fra højre mod venstre, såsom arabisk, urdu og persisk. Mange angribere bruger denne form for sprog til at iværksætte forskellige angreb. En tekst, der er meningsfuld og sikker for dig, når du læser den fra venstre, kan faktisk være skrevet fra højre og henvise til en helt anden fil. Du kan bruge RLO-metoden, der findes i Windows-operativsystemet, til at håndtere højre-til-venstre-sprog.
Der er et RLO-tegn til dette i Windows. Så snart du bruger dette tegn, begynder din computer nu at læse teksten fra højre mod venstre. Angribere, der bruger dette, får en god mulighed for at skjule eksekverbare filnavne og udvidelser.
Antag for eksempel, at du skriver et engelsk ord fra venstre mod højre, og det ord er Software. Hvis du tilføjer Windows-tegnet RLO efter bogstavet T, vil alt, hvad du skriver efter det, blive læst fra højre mod venstre. Som et resultat bliver dit nye ord Softeraw.
For at forstå dette bedre, gennemgå diagrammet nedenfor.
Kan en trojaner lægges i en PDF?
I nogle ondsindede PDF-angreb er det muligt at placere exploits eller ondsindede scripts i PDF-en. Mange forskellige værktøjer og programmer kan gøre dette. Desuden er det muligt at gøre dette ved at ændre de eksisterende koder i PDF'en uden at bruge noget program.
RLO-metoden er dog anderledes. Med RLO-metoden præsenterer angribere en eksisterende EXE, som om det var en PDF for at narre målbrugeren. Så kun billedet af EXE ændres. Målbrugeren åbner på den anden side denne fil og tror, at den er en uskyldig PDF.
Sådan bruges RLO-metoden
Før du forklarer, hvordan du viser en EXE som PDF med RLO-metoden, skal du gennemgå billedet nedenfor. Hvilken af disse filer er PDF?
Du kan ikke fastslå dette med et øjeblik. I stedet skal Y=du se på indholdet af filen. Men hvis du undrede dig, er filen til venstre den faktiske PDF.
Dette trick er ret nemt at lave. Angribere skriver først ondsindet kode og kompilerer den. Den kompilerede kode giver et output i exe-format. Angribere ændrer navnet og ikonet på denne EXE og forvandler dens udseende til en PDF. Så hvordan fungerer navngivningsprocessen?
Det er her RLO kommer ind i billedet. Antag for eksempel, at du har en EXE ved navn iamsafefdp.exe. På dette stadium vil angriberen sætte en RLO-karakter imellem iamsafe og fdp.exe til omdøbe filen. Det er ret nemt at gøre dette i Windows. Bare højreklik, mens du omdøber.
Alt du skal forstå her er, at efter at Windows ser RLO-tegnet, læser det fra højre mod venstre. Filen er stadig en EXE. Intet har ændret sig. Det ser bare ud som en PDF.
Efter dette trin vil angriberen nu erstatte EXE-ikonet med et PDF-ikon og sende denne fil til målpersonen.
Billedet nedenfor er svaret på vores tidligere spørgsmål. Den EXE, du ser til højre, blev oprettet ved hjælp af RLO-metoden. I udseende er begge filer ens, men deres indhold er helt forskelligt.
Hvordan kan du beskytte dig mod denne type angreb?
Som med mange sikkerhedsproblemer, er der flere forholdsregler, du kan tage med dette sikkerhedsproblem. Den første er at bruge indstillingen omdøb til at kontrollere den fil, du vil åbne. Hvis du vælger indstillingen omdøb, vil Windows-operativsystemet automatisk vælge området uden for filens filtypenavn. Så den uvalgte del vil være filens egentlige udvidelse. Hvis du ser EXE-formatet i den umarkerede del, bør du ikke åbne denne fil.
Du kan også kontrollere, om et skjult tegn er blevet indsat ved hjælp af kommandolinjen. Til dette, simpelthen brug dir kommando som følger.
Som du kan se på skærmbilledet ovenfor, er der noget mærkeligt ved navnet på den navngivne fil util. Dette indikerer, at der er noget, du bør være mistænksom over.
Tag forholdsregler, før du downloader en fil
Som du kan se, kan selv en simpel PDF-fil få din enhed til at falde under angribernes kontrol. Derfor bør du ikke downloade alle filer, du ser på internettet. Uanset hvor sikre du tror, de er, så tænk altid to gange.
Før du downloader en fil, er der flere forholdsregler, du kan tage. Først og fremmest bør du sikre dig, at det websted, du downloader fra, er pålideligt. Du kan tjekke den fil, du vil downloade senere, online. Hvis du er sikker på alt, er det helt op til dig at træffe denne beslutning.
