Non è possibile garantire che un file sia veramente un'immagine, un video, un PDF o un file di testo osservando le estensioni dei file. Su Windows, gli aggressori possono eseguire un PDF come se fosse un EXE.
Questo è abbastanza pericoloso, perché un file che scarichi da internet, scambiandolo per un file PDF, può in realtà contenere un virus molto dannoso. Ti sei mai chiesto come fanno gli attaccanti?
Spiegazione dei virus trojan
I virus di Troia derivano il loro nome dall'attacco degli Achei (Greci) nella mitologia greca alla città di Troia in Anatolia. Troia si trova all'interno dei confini dell'odierna città di Çanakkale. Secondo le narrazioni, c'era un modello di cavallo in legno costruito da Ulisse, uno dei re greci, per superare le mura della città di Troia. I soldati si nascosero all'interno di questo modello ed entrarono segretamente in città. Se ve lo state chiedendo, una copia di questo modello di cavallo si trova ancora a Çanakkale, in Turchia.
Il cavallo di Troia una volta rappresentava un ingegnoso inganno e un'ingegnosa impresa ingegneristica. Oggi, tuttavia, è considerato un malware digitale dannoso il cui unico scopo è danneggiare i computer target senza essere rilevato. Questo virus è chiamato Trojan a causa del concetto di non essere individuati e causare danni.
I trojan possono leggere le password, registrare i tasti premuti sulla tastiera o prendere in ostaggio l'intero computer. Sono abbastanza piccoli per questo scopo e possono causare seri danni.
Qual è il metodo RLO?
Molte lingue possono essere scritte da destra a sinistra, come l'arabo, l'urdu e il persiano. Molti aggressori utilizzano questa natura del linguaggio per lanciare vari attacchi. Un testo per te significativo e sicuro quando lo leggi partendo da sinistra può in realtà essere scritto da destra e fare riferimento a un file completamente diverso. È possibile utilizzare il metodo RLO esistente nel sistema operativo Windows per gestire le lingue da destra a sinistra.
C'è un carattere RLO per questo in Windows. Non appena usi questo carattere, il tuo computer inizierà a leggere il testo da destra a sinistra. Gli aggressori che lo utilizzano hanno una buona opportunità per nascondere nomi di file ed estensioni eseguibili.
Ad esempio, supponi di digitare una parola inglese da sinistra a destra e che quella parola sia Software. Se aggiungi il carattere Windows RLO dopo la lettera T, tutto ciò che digiti dopo verrà letto da destra a sinistra. Di conseguenza, la tua nuova parola sarà Softeraw.
Per capirlo meglio, rivedi il diagramma qui sotto.
È possibile inserire un trojan in un PDF?
In alcuni attacchi PDF dannosi, è possibile inserire exploit o script dannosi all'interno del PDF. Molti strumenti e programmi diversi possono farlo. Inoltre, è possibile farlo modificando i codici esistenti del PDF senza utilizzare alcun programma.
Tuttavia, il metodo RLO è diverso. Con il metodo RLO, gli aggressori presentano un EXE esistente come se fosse un PDF per ingannare l'utente bersaglio. Quindi cambia solo l'immagine dell'EXE. L'utente di destinazione, d'altra parte, apre questo file credendo che sia un PDF innocente.
Come utilizzare il metodo RLO
Prima di spiegare come mostrare un EXE come PDF con il metodo RLO, rivedere l'immagine qui sotto. Quale di questi file è PDF?
Non puoi determinarlo a colpo d'occhio. Invece, Y=devi guardare il contenuto del file. Ma nel caso ve lo steste chiedendo, il file a sinistra è il PDF vero e proprio.
Questo trucco è abbastanza facile da fare. Gli aggressori prima scrivono codice dannoso e lo compilano. Il codice compilato fornisce un output in formato exe. Gli aggressori cambiano il nome e l'icona di questo EXE e ne trasformano l'aspetto in un PDF. Quindi, come funziona il processo di denominazione?
È qui che entra in gioco RLO. Ad esempio, supponi di avere un file EXE denominato iamsafefdp.exe. In questa fase, l'attaccante inserirà un personaggio RLO in mezzo Io sono al sicuro E fdp.exe A rinominare il file. È abbastanza facile farlo in Windows. Basta fare clic con il tasto destro durante la ridenominazione.
Tutto quello che devi capire qui è che dopo che Windows vede il carattere RLO, legge da destra a sinistra. Il file è ancora un EXE. Niente è cambiato. Sembra solo un PDF in apparenza.
Dopo questa fase, l'attaccante ora sostituirà l'icona dell'EXE con un'icona PDF e invierà questo file alla persona presa di mira.
L'immagine qui sotto è la risposta alla nostra domanda precedente. L'EXE che vedi a destra è stato creato utilizzando il metodo RLO. In apparenza, entrambi i file sono uguali, ma il loro contenuto è completamente diverso.
Come ci si può proteggere da questo tipo di attacco?
Come per molti problemi di sicurezza, ci sono diverse precauzioni che puoi prendere con questo problema di sicurezza. Il primo è utilizzare l'opzione di rinomina per controllare il file che si desidera aprire. Se scegli l'opzione di rinomina, il sistema operativo Windows selezionerà automaticamente l'area al di fuori dell'estensione del file. Quindi la parte non selezionata sarà l'estensione effettiva del file. Se vedi il formato EXE nella parte non selezionata, non dovresti aprire questo file.
Puoi anche verificare se è stato inserito un carattere nascosto utilizzando la riga di comando. Per questo, semplicemente Usa il dir comando come segue.
Come puoi vedere nello screenshot qui sopra, c'è qualcosa di strano nel nome del file nominato utile. Questo indica che c'è qualcosa di cui dovresti essere sospettoso.
Prendere precauzioni prima di scaricare un file
Come puoi vedere, anche un semplice file PDF può far cadere il tuo dispositivo sotto il controllo degli aggressori. Ecco perché non dovresti scaricare tutti i file che vedi su Internet. Non importa quanto tu pensi che siano al sicuro, pensaci sempre due volte.
Prima di scaricare un file, ci sono diverse precauzioni che puoi prendere. Prima di tutto, dovresti assicurarti che il sito da cui stai scaricando sia affidabile. Puoi controllare il file che scaricherai in seguito online. Se sei sicuro di tutto, spetta interamente a te prendere questa decisione.