Du kan ikke garantere at en fil virkelig er en bilde-, video-, PDF- eller tekstfil ved å se på filtypene. På Windows kan angripere kjøre en PDF som om den var en EXE.
Dette er ganske farlig, fordi en fil du laster ned fra internett, og forveksler med en PDF-fil, faktisk kan inneholde et svært skadelig virus. Har du noen gang lurt på hvordan angripere gjør dette?
Trojanske virus forklart
Trojanske virus henter navnet sitt fra angrepet av akaerne (grekerne) i gresk mytologi på byen Troja i Anatolia. Troy ligger innenfor grensene til dagens Çanakkale-by. I følge fortellingene var det en modell av trehest bygget av Odyssevs, en av de greske kongene, for å overvinne murene i byen Troja. Soldater gjemte seg inne i denne modellen og gikk i all hemmelighet inn i byen. Hvis du lurer, er en kopi av denne hestemodellen fortsatt å finne i Çanakkale, Tyrkia.
Den trojanske hesten representerte en gang et smart bedrag og en genial ingeniørbragd. I dag blir det imidlertid sett på som ondsinnet digital malware hvis eneste formål er å skade måldatamaskiner uoppdaget. Dette virus kalles en trojaner på grunn av konseptet om å være uoppdaget og forårsake skade.
Trojanere kan lese passord, registrere tastene du trykker på på tastaturet eller ta hele datamaskinen som gissel. De er ganske små for dette formålet og kan forårsake alvorlig skade.
Hva er RLO-metoden?
Mange språk kan skrives fra høyre til venstre, for eksempel arabisk, urdu og persisk. Mange angripere bruker denne typen språk for å starte ulike angrep. En tekst som er meningsfull og trygg for deg når du leser den fra venstre, kan faktisk være skrevet fra høyre og referere til en helt annen fil. Du kan bruke RLO-metoden som finnes i Windows-operativsystemet for å håndtere høyre-til-venstre-språk.
Det er et RLO-tegn for dette i Windows. Så snart du bruker dette tegnet, vil datamaskinen nå begynne å lese teksten fra høyre mot venstre. Angripere som bruker dette får en god mulighet til å skjule kjørbare filnavn og utvidelser.
Anta for eksempel at du skriver et engelsk ord fra venstre mot høyre, og at ordet er programvare. Hvis du legger til Windows-tegnet RLO etter bokstaven T, vil alt du skriver etter det bli lest fra høyre til venstre. Som et resultat vil det nye ordet ditt være Softeraw.
For å forstå dette bedre, se gjennom diagrammet nedenfor.
Kan en trojaner legges i en PDF?
I noen ondsinnede PDF-angrep er det mulig å legge utnyttelser eller ondsinnede skript inne i PDF-en. Mange forskjellige verktøy og programmer kan gjøre dette. Dessuten er det mulig å gjøre dette ved å endre de eksisterende kodene til PDF-en uten å bruke noe program.
Imidlertid er RLO-metoden annerledes. Med RLO-metoden presenterer angripere en eksisterende EXE som om den var en PDF for å lure målbrukeren. Så bare bildet av EXE endres. Målbrukeren, derimot, åpner denne filen og tror den er en uskyldig PDF.
Slik bruker du RLO-metoden
Før du forklarer hvordan du viser en EXE som PDF med RLO-metoden, se gjennom bildet nedenfor. Hvilken av disse filene er PDF?
Du kan ikke fastslå dette med et øyeblikk. I stedet må Y=du se på innholdet i filen. Men i tilfelle du lurte, er filen til venstre selve PDF-filen.
Dette trikset er ganske enkelt å gjøre. Angripere skriver først ondsinnet kode og kompilerer den. Den kompilerte koden gir utdata i exe-format. Angripere endrer navnet og ikonet til denne EXE og gjør utseendet til en PDF. Så hvordan fungerer navneprosessen?
Det er her RLO kommer inn i bildet. Anta for eksempel at du har en EXE kalt iamsafefdp.exe. På dette stadiet vil angriperen sette en RLO-karakter mellom iamsafe og fdp.exe til gi nytt navn til filen. Det er ganske enkelt å gjøre dette i Windows. Bare høyreklikk mens du gir nytt navn.
Alt du trenger å forstå her er at etter at Windows ser RLO-tegnet, leser det fra høyre til venstre. Filen er fortsatt en EXE. Ingenting har forandret seg. Det ser bare ut som en PDF i utseende.
Etter dette stadiet vil angriperen nå erstatte ikonet til EXE med et PDF-ikon og sende denne filen til målpersonen.
Bildet nedenfor er svaret på vårt tidligere spørsmål. EXE-en du ser til høyre ble opprettet ved hjelp av RLO-metoden. Utseendemessig er begge filene like, men innholdet deres er helt forskjellig.
Hvordan kan du beskytte deg mot denne typen angrep?
Som med mange sikkerhetsproblemer, er det flere forholdsregler du kan ta med dette sikkerhetsproblemet. Den første er å bruke alternativet for å endre navn for å sjekke filen du vil åpne. Hvis du velger alternativet for å gi nytt navn, vil Windows-operativsystemet automatisk velge området utenfor filens filtype. Så den uvalgte delen vil være den faktiske utvidelsen av filen. Hvis du ser EXE-formatet i den umarkerte delen, bør du ikke åpne denne filen.
Du kan også sjekke om et skjult tegn er satt inn ved hjelp av kommandolinjen. For dette, rett og slett bruke dir kommando følgende.
Som du kan se på skjermbildet ovenfor, er det noe merkelig med navnet på filen som heter util. Dette indikerer at det er noe du bør være mistenksom overfor.
Ta forholdsregler før du laster ned en fil
Som du kan se, kan selv en enkel PDF-fil få enheten din til å falle under kontroll av angripere. Derfor bør du ikke laste ned hver fil du ser på internett. Uansett hvor trygge du tror de er, tenk alltid to ganger.
Før du laster ned en fil, er det flere forholdsregler du kan ta. Først av alt bør du sørge for at nettstedet du laster ned fra er pålitelig. Du kan sjekke filen du vil laste ned senere på nettet. Hvis du er sikker på alt, er det helt opp til deg å ta denne avgjørelsen.