Ne možete jamčiti da je datoteka doista slikovna, video, PDF ili tekstualna datoteka gledajući ekstenzije datoteka. Na Windowsima napadači mogu izvršiti PDF kao da je EXE.
To je prilično opasno, jer datoteka koju preuzmete s interneta, pogrešno misleći da je PDF datoteka, zapravo može sadržavati vrlo štetan virus. Jeste li se ikada zapitali kako napadači to rade?
Objašnjenje trojanskih virusa
Trojanski virusi svoje su ime dobili po napadu Ahejaca (Grka) u grčkoj mitologiji na grad Troju u Anatoliji. Troja se nalazi unutar granica današnjeg grada Çanakkale. Prema pričama, postojao je model drvenog konja koji je izgradio Odisej, jedan od grčkih kraljeva, kako bi savladao zidine grada Troje. Vojnici su se sakrili unutar ove makete i potajno ušli u grad. Ako se pitate, kopija ovog modela konja još uvijek se nalazi u Çanakkaleu u Turskoj.
Trojanski konj nekoć je predstavljao pametnu prijevaru i genijalan inženjerski pothvat. Međutim, danas se na njega gleda kao na zlonamjerni digitalni zlonamjerni softver čija je jedina svrha neotkriveno naštetiti ciljanim računalima. Ovaj
virus se zove trojanac zbog koncepta neotkrivenosti i nanošenja štete.Trojanci mogu čitati lozinke, snimati tipke koje pritisnete na tipkovnici ili uzeti cijelo vaše računalo kao taoca. Oni su prilično mali za tu svrhu i mogu izazvati ozbiljnu štetu.
Što je RLO metoda?
Mnogi se jezici mogu pisati s desna na lijevo, poput arapskog, urdu i perzijskog. Mnogi napadači koriste ovu prirodu jezika za pokretanje raznih napada. Tekst koji je smislen i siguran za vas kada ga čitate počevši s lijeve strane može zapravo biti napisan s desne strane i odnositi se na potpuno drugu datoteku. Za rad s jezicima koji se pišu zdesna nalijevo možete koristiti metodu RLO koja postoji u operativnom sustavu Windows.
U sustavu Windows za to postoji znak RLO. Čim upotrijebite ovaj znak, vaše će računalo početi čitati tekst s desna na lijevo. Napadači koji to koriste dobivaju dobru priliku sakriti nazive izvršnih datoteka i ekstenzije.
Na primjer, pretpostavimo da upisujete englesku riječ s lijeva na desno, a ta je riječ Software. Ako dodate Windows znak RLO nakon slova T, sve što upišete nakon toga čitat će se s desna na lijevo. Kao rezultat toga, vaša nova riječ bit će Softeraw.
Da biste ovo bolje razumjeli, pregledajte dijagram u nastavku.
Može li se trojanac staviti u PDF?
U nekim zlonamjernim napadima na PDF moguće je staviti exploit ili zlonamjerne skripte unutar PDF-a. Mnogo različitih alata i programa to može učiniti. Štoviše, to je moguće učiniti promjenom postojećih kodova PDF-a bez korištenja bilo kakvog programa.
Međutim, RLO metoda je drugačija. Uz RLO metodu, napadači predstavljaju postojeći EXE kao da je PDF kako bi prevarili ciljnog korisnika. Dakle, mijenja se samo slika EXE-a. Ciljni korisnik, s druge strane, otvara ovu datoteku vjerujući da je nedužni PDF.
Kako koristiti RLO metodu
Prije objašnjenja kako prikazati EXE kao PDF pomoću RLO metode, pregledajte sliku u nastavku. Koja je od ovih datoteka PDF?
Ne možete to odrediti na prvi pogled. Umjesto toga, Y=trebate pogledati sadržaj datoteke. Ali ako ste se pitali, datoteka s lijeve strane je stvarni PDF.
Ovaj trik je prilično lako izvesti. Napadači prvo napišu zlonamjerni kod i prevedu ga. Prevedeni kod daje izlaz u exe formatu. Napadači mijenjaju naziv i ikonu ovog EXE-a i pretvaraju njegov izgled u PDF. Dakle, kako funkcionira proces imenovanja?
Ovdje RLO stupa na scenu. Na primjer, pretpostavimo da imate EXE pod nazivom iamsafefdp.exe. U ovoj fazi, napadač će staviti znak RLO između iamsafe i fdp.exe do preimenujte datoteku. To je prilično jednostavno učiniti u sustavu Windows. Samo kliknite desnom tipkom miša dok mijenjate naziv.
Sve što ovdje morate razumjeti je da nakon što Windows vidi znak RLO, on se čita s desna na lijevo. Datoteka je još uvijek EXE. Ništa se nije promijenilo. Samo izgledom izgleda kao PDF.
Nakon ove faze, napadač će zamijeniti ikonu EXE s PDF ikonom i poslati tu datoteku ciljnoj osobi.
Slika ispod je odgovor na naše prethodno pitanje. EXE koji vidite na desnoj strani kreiran je metodom RLO. Izgledom su obje datoteke iste, ali im je sadržaj potpuno različit.
Kako se možete zaštititi od ove vrste napada?
Kao i kod mnogih sigurnosnih problema, postoji nekoliko mjera opreza koje možete poduzeti s ovim sigurnosnim problemom. Prvi je korištenje opcije preimenovanja za provjeru datoteke koju želite otvoriti. Ako odaberete opciju preimenovanja, operativni sustav Windows automatski će odabrati područje izvan ekstenzije datoteke. Dakle, neodabrani dio bit će stvarni nastavak datoteke. Ako vidite EXE format u neodabranom dijelu, ne biste trebali otvarati ovu datoteku.
Također možete provjeriti je li skriveni znak umetnut pomoću naredbenog retka. Za ovo, jednostavno koristiti red naredba kako slijedi.
Kao što možete vidjeti na gornjoj snimci zaslona, nešto je čudno u nazivu navedene datoteke util. Ovo ukazuje da postoji nešto u što biste trebali biti sumnjičavi.
Poduzmite mjere opreza prije preuzimanja datoteke
Kao što vidite, čak i jednostavna PDF datoteka može učiniti da vaš uređaj padne pod kontrolu napadača. Zato ne biste trebali preuzimati svaku datoteku koju vidite na internetu. Koliko god mislili da su sigurni, uvijek razmislite dvaput.
Prije preuzimanja datoteke postoji nekoliko mjera opreza koje možete poduzeti. Prije svega, trebali biste provjeriti je li stranica s koje preuzimate pouzdana. Možete provjeriti datoteku koju ćete kasnije preuzeti na internetu. Ako ste sigurni u sve, na vama je da donesete ovu odluku.
