Et voi taata, että tiedosto on todella kuva-, video-, PDF- tai tekstitiedosto katsomalla tiedostotunnisteita. Windowsissa hyökkääjät voivat suorittaa PDF-tiedoston ikään kuin se olisi EXE.
Tämä on varsin vaarallista, koska Internetistä lataamasi tiedosto, joka luullaan sen PDF-tiedostoksi, saattaa sisältää erittäin haitallisen viruksen. Oletko koskaan miettinyt, kuinka hyökkääjät tekevät tämän?
Troijan virukset selitetty
Troijalaiset virukset ovat saaneet nimensä kreikkalaisen mytologian akhaalaisten (kreikkalaisten) hyökkäyksestä Troijan kaupunkiin Anatolissa. Troy sijaitsee nykyisen Çanakkalen kaupungin rajojen sisällä. Kertomusten mukaan siellä oli mallipuuhevonen, jonka Odysseus, yksi Kreikan kuninkaista, rakensi voittaakseen Troijan kaupungin muurit. Sotilaat piiloutuivat tämän mallin sisään ja saapuivat salaa kaupunkiin. Jos mietit, kopio tästä hevosmallista löytyy edelleen Çanakkalesta, Turkista.
Troijan hevonen edusti kerran älykästä petosta ja nerokasta suunnittelutyötä. Nykyään sitä kuitenkin pidetään haitallisena digitaalisena haittaohjelmana, jonka ainoana tarkoituksena on vahingoittaa kohdetietokoneita huomaamatta. Tämä virusta kutsutaan troijalaiseksi havaitsemattomuuden ja vahingon aiheuttamisen käsitteen vuoksi.
Troijalaiset voivat lukea salasanoja, tallentaa näppäimistöllä painamasi näppäimet tai ottaa koko tietokoneesi panttivangiksi. Ne ovat melko pieniä tähän tarkoitukseen ja voivat aiheuttaa vakavia vahinkoja.
Mikä on RLO-menetelmä?
Monet kielet voidaan kirjoittaa oikealta vasemmalle, kuten arabia, urdu ja persia. Monet hyökkääjät käyttävät tätä kielenlaatua erilaisten hyökkäysten käynnistämiseen. Teksti, joka on sinulle mielekäs ja turvallinen, kun luet sitä vasemmalta alkaen, voi itse asiassa olla oikealta kirjoitettua ja viitata täysin eri tiedostoon. Voit käyttää Windows-käyttöjärjestelmässä olevaa RLO-menetelmää oikealta vasemmalle luettavien kielten käsittelyyn.
Tätä varten Windowsissa on RLO-merkki. Heti kun käytät tätä merkkiä, tietokoneesi alkaa nyt lukea tekstiä oikealta vasemmalle. Tätä käyttävät hyökkääjät saavat hyvän mahdollisuuden piilottaa suoritettavat tiedostonimet ja laajennukset.
Oletetaan esimerkiksi, että kirjoitat englanninkielisen sanan vasemmalta oikealle, ja tämä sana on Ohjelmisto. Jos lisäät Windows-merkin RLO T-kirjaimen perään, kaikki sen jälkeen kirjoittamasi luetaan oikealta vasemmalle. Tämän seurauksena uusi sanasi on Softeraw.
Ymmärtääksesi tämän paremmin, tutustu alla olevaan kaavioon.
Voidaanko troijalainen laittaa PDF-tiedostoon?
Joissakin haitallisissa PDF-hyökkäyksissä on mahdollista sijoittaa hyväksikäyttöä tai haitallisia komentosarjoja PDF-tiedoston sisään. Monet erilaiset työkalut ja ohjelmat voivat tehdä tämän. Lisäksi on mahdollista tehdä tämä muuttamalla PDF: n olemassa olevia koodeja ilman ohjelmia.
RLO-menetelmä on kuitenkin erilainen. RLO-menetelmällä hyökkääjät esittävät olemassa olevan EXE: n ikään kuin se olisi PDF-tiedosto huijatakseen kohdekäyttäjää. Joten vain EXE: n kuva muuttuu. Kohdekäyttäjä puolestaan avaa tämän tiedoston uskoen sen olevan viaton PDF.
Kuinka käyttää RLO-menetelmää
Ennen kuin selität EXE-tiedoston näyttämisen PDF-tiedostona RLO-menetelmällä, katso alla oleva kuva. Mikä näistä tiedostoista on PDF?
Et voi määrittää tätä yhdellä silmäyksellä. Sen sijaan Y=sinun täytyy katsoa tiedoston sisältöä. Mutta jos mietit, vasemmalla oleva tiedosto on todellinen PDF.
Tämä temppu on melko helppo tehdä. Hyökkääjät kirjoittavat ensin haitallisen koodin ja kääntävät sen. Käännetty koodi antaa tulosteen exe-muodossa. Hyökkääjät muuttavat tämän EXE: n nimen ja kuvakkeen ja muuttavat sen ulkoasun PDF-tiedostoksi. Joten miten nimeämisprosessi toimii?
Tässä RLO tulee peliin. Oletetaan esimerkiksi, että sinulla on EXE-niminen iamsafefdp.exe. Tässä vaiheessa hyökkääjä asettaa RLO-merkin väliin iamsafe ja fdp.exe to nimeä tiedosto uudelleen. Tämä on melko helppoa tehdä Windowsissa. Napsauta hiiren kakkospainikkeella uudelleennimeämisen aikana.
Sinun tarvitsee vain ymmärtää, että kun Windows näkee RLO-merkin, se lukee oikealta vasemmalle. Tiedosto on edelleen EXE. Mikään ei ole muuttunut. Se vain näyttää ulkonäöltään PDF-tiedostolta.
Tämän vaiheen jälkeen hyökkääjä korvaa nyt EXE-kuvakkeen PDF-kuvakkeella ja lähettää tämän tiedoston kohdehenkilölle.
Alla oleva kuva on vastaus aikaisempaan kysymykseemme. Oikealla näkyvä EXE luotiin RLO-menetelmällä. Ulkonäöltään molemmat tiedostot ovat samoja, mutta niiden sisältö on täysin erilainen.
Kuinka voit suojautua tämän tyyppiseltä hyökkäykseltä?
Kuten monien tietoturvaongelmien kohdalla, voit ryhtyä useisiin varotoimiin tämän tietoturvaongelman kanssa. Ensimmäinen on käyttää uudelleennimeämisvaihtoehtoa tarkistaaksesi tiedoston, jonka haluat avata. Jos valitset uudelleennimeämisvaihtoehdon, Windows-käyttöjärjestelmä valitsee automaattisesti tiedoston laajennuksen ulkopuolella olevan alueen. Joten valitsematon osa on tiedoston todellinen laajennus. Jos näet EXE-muodon valitsemattomassa osassa, sinun ei pitäisi avata tätä tiedostoa.
Voit myös tarkistaa, onko piilotettu merkki lisätty komentorivillä. Tätä varten yksinkertaisesti Käytä ohj komento seuraavasti.
Kuten yllä olevasta kuvakaappauksesta näet, nimetyn tiedoston nimessä on jotain outoa util. Tämä osoittaa, että on jotain, jota sinun pitäisi epäillä.
Ryhdy varotoimiin ennen tiedoston lataamista
Kuten näet, jopa yksinkertainen PDF-tiedosto voi saada laitteesi hyökkääjien hallintaan. Tästä syystä sinun ei pitäisi ladata kaikkia Internetissä näkemiäsi tiedostoja. Huolimatta siitä, kuinka turvallisia luulet heidän olevan, mieti aina kahdesti.
Ennen tiedoston lataamista voit suorittaa useita varotoimia. Ensinnäkin sinun tulee varmistaa, että sivusto, josta lataat, on luotettava. Voit tarkistaa myöhemmin lataamasi tiedoston verkosta. Jos olet varma kaikesta, on täysin sinun tehtäväsi tehdä tämä päätös.
