U kunt niet garanderen dat een bestand echt een afbeeldings-, video-, pdf- of tekstbestand is door naar bestandsextensies te kijken. Op Windows kunnen aanvallers een pdf uitvoeren alsof het een EXE is.
Dit is behoorlijk gevaarlijk, omdat een bestand dat u van internet downloadt en het voor een pdf-bestand aanziet, in werkelijkheid een zeer schadelijk virus kan bevatten. Heb je je ooit afgevraagd hoe aanvallers dit doen?
Trojaanse virussen uitgelegd
Trojaanse virussen ontlenen hun naam aan de aanval van de Achaeërs (Grieken) in de Griekse mythologie op de stad Troje in Anatolië. Troje ligt binnen de grenzen van de huidige stad Çanakkale. Volgens de verhalen was er een houten modelpaard gebouwd door Odysseus, een van de Griekse koningen, om de muren van de stad Troje te overwinnen. Soldaten verstopten zich in dit model en kwamen stiekem de stad binnen. Als je het je afvraagt, er is nog steeds een kopie van dit paardenmodel gevonden in Çanakkale, Turkije.
Het paard van Troje vertegenwoordigde ooit een slimme misleiding en een ingenieus technisch staaltje. Tegenwoordig wordt het echter gezien als kwaadaardige digitale malware die als enige doel heeft doelcomputers onopgemerkt te beschadigen. Dit virus wordt een Trojaans paard genoemd vanwege het concept van onopgemerkt blijven en schade veroorzaken.
Trojaanse paarden kunnen wachtwoorden lezen, de toetsen registreren die u op uw toetsenbord indrukt of uw hele computer gijzelen. Ze zijn hiervoor vrij klein en kunnen ernstige schade aanrichten.
Wat is de RLO-methode?
Veel talen kunnen van rechts naar links worden geschreven, zoals Arabisch, Urdu en Perzisch. Veel aanvallers gebruiken deze taal om verschillende aanvallen uit te voeren. Een tekst die voor jou betekenisvol en veilig is als je hem vanaf de linkerkant leest, kan in feite vanaf de rechterkant geschreven zijn en naar een heel ander bestand verwijzen. U kunt de RLO-methode gebruiken die in het Windows-besturingssysteem bestaat om met rechts-naar-links-talen om te gaan.
Er is hiervoor een RLO-teken in Windows. Zodra je dit teken gebruikt, begint je computer de tekst nu van rechts naar links te lezen. Aanvallers die dit gebruiken, krijgen een goede kans om uitvoerbare bestandsnamen en extensies te verbergen.
Stel dat u een Engels woord van links naar rechts typt en dat woord is Software. Als u het Windows-teken RLO achter de letter T toevoegt, wordt alles wat u daarna typt van rechts naar links gelezen. Als gevolg hiervan wordt uw nieuwe woord Softeraw.
Bekijk het onderstaande diagram om dit beter te begrijpen.
Kan een Trojaans paard in een pdf worden geplaatst?
Bij sommige kwaadaardige pdf-aanvallen is het mogelijk om exploits of kwaadaardige scripts in de pdf te plaatsen. Veel verschillende tools en programma's kunnen dit doen. Bovendien is het mogelijk om dit te doen door de bestaande codes van de PDF te wijzigen zonder een programma te gebruiken.
De RLO-methode is echter anders. Met de RLO-methode presenteren aanvallers een bestaande EXE alsof het een pdf is om de doelgebruiker te misleiden. Dus alleen het beeld van de EXE verandert. De doelgebruiker daarentegen opent dit bestand in de overtuiging dat het een onschuldige pdf is.
Hoe de RLO-methode te gebruiken
Bekijk de onderstaande afbeelding voordat u uitlegt hoe u een EXE als PDF kunt weergeven met de RLO-methode. Welke van deze bestanden is PDF?
Dit kun je niet in één oogopslag bepalen. In plaats daarvan, Y=u moet naar de inhoud van het bestand kijken. Maar voor het geval je het je afvroeg: het bestand aan de linkerkant is de eigenlijke pdf.
Deze truc is vrij eenvoudig te doen. Aanvallers schrijven eerst kwaadaardige code en compileren deze. De gecompileerde code geeft een output in exe-formaat. Aanvallers veranderen de naam en het pictogram van deze EXE en veranderen het uiterlijk ervan in een pdf. Dus hoe werkt het naamgevingsproces?
Dit is waar RLO om de hoek komt kijken. Stel dat u een EXE hebt met de naam iamsafefdp.exe. In dit stadium plaatst de aanvaller een RLO-teken tussen ik ben veilig En fdp.exe naar hernoem het bestand. Het is vrij eenvoudig om dit in Windows te doen. Klik met de rechtermuisknop tijdens het hernoemen.
Het enige dat u hier hoeft te begrijpen, is dat nadat Windows het RLO-teken ziet, het van rechts naar links wordt gelezen. Het bestand is nog steeds een EXE. Er is niets veranderd. Het ziet er qua uiterlijk gewoon uit als een pdf.
Na deze fase zal de aanvaller nu het pictogram van de EXE vervangen door een PDF-pictogram en dit bestand naar de doelpersoon sturen.
Onderstaande afbeelding is het antwoord op onze eerdere vraag. De EXE die u rechts ziet, is gemaakt met behulp van de RLO-methode. Qua uiterlijk zijn beide bestanden hetzelfde, maar hun inhoud is compleet anders.
Hoe kunt u zich beschermen tegen dit type aanval?
Zoals met veel beveiligingsproblemen, zijn er verschillende voorzorgsmaatregelen die u kunt nemen bij dit beveiligingsprobleem. De eerste is om de optie hernoemen te gebruiken om het bestand dat u wilt openen te controleren. Als u de optie hernoemen kiest, selecteert het Windows-besturingssysteem automatisch het gebied buiten de extensie van het bestand. Het niet-geselecteerde deel is dus de daadwerkelijke extensie van het bestand. Als u het EXE-formaat in het niet-geselecteerde gedeelte ziet, moet u dit bestand niet openen.
U kunt ook controleren of er een verborgen teken is ingevoegd via de opdrachtregel. Hiervoor gewoon gebruik de richt commando als volgt.
Zoals je kunt zien in de bovenstaande schermafbeelding, is er iets vreemds aan de naam van het bestand met de naam gebruiken. Dit geeft aan dat er iets is waar u achterdochtig over moet zijn.
Neem voorzorgsmaatregelen voordat u een bestand downloadt
Zoals u kunt zien, kan zelfs een eenvoudig pdf-bestand uw apparaat onder controle van aanvallers brengen. Daarom moet u niet elk bestand downloaden dat u op internet ziet. Het maakt niet uit hoe veilig je denkt dat ze zijn, denk altijd twee keer na.
Voordat u een bestand downloadt, zijn er verschillende voorzorgsmaatregelen die u kunt nemen. Allereerst moet u ervoor zorgen dat de site waarvan u downloadt betrouwbaar is. U kunt het bestand dat u later gaat downloaden online controleren. Als u van alles zeker bent, is het geheel aan u om deze beslissing te nemen.
