Ak sa pozriete na prípony súborov, nemôžete zaručiť, že súbor je skutočne obrázkom, videom, súborom PDF alebo textovým súborom. V systéme Windows môžu útočníci spustiť PDF, ako keby to bol EXE.
Je to dosť nebezpečné, pretože súbor, ktorý si stiahnete z internetu a pomýlite si ho so súborom PDF, môže v skutočnosti obsahovať veľmi škodlivý vírus. Zamysleli ste sa niekedy nad tým, ako to robia útočníci?
Vysvetlenie trójskych vírusov
Trójske vírusy odvodzujú svoj názov od útoku Achájcov (Grékov) v gréckej mytológii na mesto Trója v Anatólii. Trója sa nachádza na hraniciach dnešného mesta Çanakkale. Podľa rozprávania existoval model dreveného koňa, ktorý postavil Odyseus, jeden z gréckych kráľov, aby prekonal hradby mesta Trója. Vojaci sa ukryli vo vnútri tohto modelu a tajne vstúpili do mesta. Ak vás to zaujíma, kópia tohto modelu koňa sa stále nachádza v Çanakkale v Turecku.
Trójsky kôň kedysi predstavoval šikovný podvod a dômyselný inžiniersky čin. Dnes sa však naň pozerá ako na škodlivý digitálny malvér, ktorého jediným účelom je nepozorovane poškodiť cieľové počítače. Toto vírus sa nazýva trójsky kôň kvôli konceptu byť neodhalený a spôsobiť škodu.
Trójske kone môžu čítať heslá, zaznamenávať klávesy, ktoré stláčate na klávesnici, alebo môžu vziať celý váš počítač ako rukojemníka. Na tento účel sú dosť malé a môžu spôsobiť vážne škody.
Čo je metóda RLO?
Mnoho jazykov sa dá písať sprava doľava, napríklad arabčina, urdčina a perzština. Mnoho útočníkov používa túto povahu jazyka na spustenie rôznych útokov. Text, ktorý je pre vás zmysluplný a bezpečný, keď ho čítate zľava, môže byť v skutočnosti napísaný sprava a odkazuje na úplne iný súbor. Na prácu s jazykmi so zápisom sprava doľava môžete použiť metódu RLO, ktorá existuje v operačnom systéme Windows.
V systéme Windows je na to znak RLO. Akonáhle použijete tento znak, váš počítač teraz začne čítať text sprava doľava. Útočníci, ktorí to používajú, majú dobrú príležitosť skryť názvy a prípony spustiteľných súborov.
Predpokladajme napríklad, že napíšete anglické slovo zľava doprava a toto slovo je Software. Ak za písmeno T pridáte znak RLO systému Windows, všetko, čo napíšete po ňom, sa bude čítať sprava doľava. Výsledkom bude, že vaše nové slovo bude Softeraw.
Aby ste tomu lepšie porozumeli, pozrite si nižšie uvedený diagram.
Dá sa trójsky kôň vložiť do PDF?
Pri niektorých škodlivých útokoch na PDF je možné do PDF vložiť exploity alebo škodlivé skripty. Mnoho rôznych nástrojov a programov to dokáže. Navyše je to možné urobiť zmenou existujúcich kódov PDF bez použitia akéhokoľvek programu.
Metóda RLO je však iná. Pomocou metódy RLO útočníci prezentujú existujúci EXE, ako keby to bol PDF, aby oklamali cieľového používateľa. Zmení sa teda iba obrázok EXE. Cieľový používateľ na druhej strane otvorí tento súbor v domnení, že ide o nevinné PDF.
Ako používať metódu RLO
Pred vysvetlením, ako zobraziť EXE ako PDF pomocou metódy RLO, si pozrite obrázok nižšie. Ktorý z týchto súborov je PDF?
Na prvý pohľad to nemôžete určiť. Namiesto toho Y=musíte sa pozrieť na obsah súboru. Ale ak by vás to zaujímalo, súbor naľavo je skutočným PDF.
Tento trik je celkom jednoduchý. Útočníci najskôr napíšu škodlivý kód a skompilujú ho. Kompilovaný kód poskytuje výstup vo formáte exe. Útočníci zmenia názov a ikonu tohto EXE a premenia jeho vzhľad na PDF. Ako teda funguje proces pomenovania?
Tu prichádza do hry RLO. Predpokladajme napríklad, že máte názov EXE iamsafefdp.exe. V tejto fáze útočník medzi seba vloží znak RLO iamsafe a fdp.exe do premenovať súbor. V systéme Windows je to celkom jednoduché. Pri premenovávaní stačí kliknúť pravým tlačidlom myši.
Všetko, čo musíte pochopiť, je, že keď systém Windows vidí znak RLO, číta sa sprava doľava. Súbor je stále EXE. Nič sa nezmenilo. Vyzerá to len ako PDF.
Po tejto fáze útočník teraz nahradí ikonu EXE ikonou PDF a odošle tento súbor cieľovej osobe.
Obrázok nižšie je odpoveďou na našu predchádzajúcu otázku. EXE, ktorý vidíte vpravo, bol vytvorený pomocou metódy RLO. Vzhľadovo sú oba súbory rovnaké, no ich obsah je úplne odlišný.
Ako sa môžete chrániť pred týmto typom útoku?
Ako pri mnohých problémoch so zabezpečením, aj pri tomto probléme so zabezpečením môžete urobiť niekoľko opatrení. Prvým je použiť možnosť premenovať na kontrolu súboru, ktorý chcete otvoriť. Ak vyberiete možnosť premenovania, operačný systém Windows automaticky vyberie oblasť mimo prípony súboru. Takže nevybraná časť bude skutočnou príponou súboru. Ak v nevybranej časti vidíte formát EXE, tento súbor by ste nemali otvárať.
Pomocou príkazového riadku môžete tiež skontrolovať, či bol vložený skrytý znak. Na toto jednoducho Použi r príkaz nasledovne.
Ako môžete vidieť na obrázku vyššie, na názve pomenovaného súboru je niečo zvláštne util. To naznačuje, že existuje niečo, z čoho by ste mali byť podozriví.
Pred stiahnutím súboru urobte preventívne opatrenia
Ako vidíte, dokonca aj jednoduchý súbor PDF môže spôsobiť, že vaše zariadenie padne pod kontrolu útočníkov. Preto by ste nemali sťahovať každý súbor, ktorý vidíte na internete. Bez ohľadu na to, aké bezpečné si myslíte, že sú, vždy si to dvakrát rozmyslite.
Pred stiahnutím súboru existuje niekoľko opatrení, ktoré môžete urobiť. V prvom rade by ste sa mali uistiť, že stránka, z ktorej sťahujete, je spoľahlivá. Súbor, ktorý si neskôr stiahnete, môžete skontrolovať online. Ak ste si všetkým istý, je len na vás, aké rozhodnutie urobíte.
