Faililaiendeid vaadates ei saa garanteerida, et fail on tõesti pilt-, video-, PDF- või tekstifail. Windowsis saavad ründajad käivitada PDF-i nii, nagu see oleks EXE.
See on üsna ohtlik, sest Internetist alla laaditud fail, pidades seda PDF-failiks ekslikult, võib tegelikult sisaldada väga kahjulikku viirust. Kas olete kunagi mõelnud, kuidas ründajad seda teevad?
Trooja viiruste selgitus
Trooja viirused on oma nime saanud kreeka mütoloogias ahhaialaste (kreeklaste) rünnakust Trooja linnale Anatoolias. Troy asub tänase Çanakkale linna piirides. Narratiivide järgi oli seal üks Kreeka kuningatest Odysseuse ehitatud puidust hobune mudel, et ületada Trooja linna müürid. Sõdurid peitsid end selle mudeli sisse ja sisenesid salaja linna. Kui huvitab, leidub selle hobusemudeli koopiat endiselt Türgis Çanakkales.
Trooja hobune esindas kunagi nutikat pettust ja geniaalset inseneritöö. Tänapäeval peetakse seda aga pahatahtlikuks digitaalseks pahavaraks, mille ainus eesmärk on sihtarvuteid märkamatult kahjustada. See
viirust nimetatakse troojaks avastamatuks jäämise ja kahju tekitamise kontseptsiooni tõttu.Troojalased saavad lugeda paroole, salvestada klaviatuuril vajutatud klahve või võtta kogu teie arvuti pantvangi. Need on selleks otstarbeks üsna väikesed ja võivad põhjustada tõsist kahju.
Mis on RLO meetod?
Paljusid keeli saab kirjutada paremalt vasakule, näiteks araabia, urdu ja pärsia keelt. Paljud ründajad kasutavad seda keelt erinevate rünnakute käivitamiseks. Tekst, mis on vasakult alustades teile tähendusrikas ja turvaline, võib tegelikult olla kirjutatud paremalt ja viidata hoopis teisele failile. Paremalt vasakule kirjutatavate keelte käsitlemiseks saate kasutada Windowsi operatsioonisüsteemis olemasolevat RLO-meetodit.
Windowsis on selle jaoks RLO märk. Niipea, kui kasutate seda märki, hakkab teie arvuti nüüd teksti paremalt vasakule lugema. Seda kasutavad ründajad saavad hea võimaluse käivitatavate failinimede ja laienduste peitmiseks.
Oletagem näiteks, et tippite ingliskeelse sõna vasakult paremale ja see sõna on Tarkvara. Kui lisate T-tähe järele Windowsi märgi RLO, loetakse kõike, mille sisestate pärast seda, paremalt vasakule. Selle tulemusena on teie uus sõna Softeraw.
Selle paremaks mõistmiseks vaadake allolevat diagrammi.
Kas Trooja saab PDF-i panna?
Mõne pahatahtliku PDF-i rünnaku korral on võimalik PDF-i sisse panna ärakasutusi või pahatahtlikke skripte. Seda saavad teha paljud erinevad tööriistad ja programmid. Lisaks on seda võimalik teha PDF-i olemasolevate koodide muutmisega ilma ühtegi programmi kasutamata.
RLO meetod on aga erinev. RLO meetodi puhul esitavad ründajad sihtkasutaja petmiseks olemasoleva EXE-i nii, nagu see oleks PDF-fail. Seega muutub ainult EXE-i pilt. Sihtkasutaja aga avab selle faili, arvates, et see on süütu PDF-fail.
Kuidas kasutada RLO meetodit
Enne kui selgitate, kuidas EXE-d PDF-failina RLO-meetodil näidata, vaadake allolevat pilti. Milline neist failidest on PDF?
Te ei saa seda ühe pilguga kindlaks teha. Selle asemel Y=peate vaatama faili sisu. Kuid kui teil tekkis küsimus, on vasakpoolne fail tegelik PDF.
Seda trikki on üsna lihtne teha. Ründajad kirjutavad esmalt pahatahtliku koodi ja kompileerivad selle. Koostatud kood annab väljundi exe-vormingus. Ründajad muudavad selle EXE-i nime ja ikooni ning muudavad selle välimuse PDF-iks. Kuidas siis nime andmise protsess toimib?
Siin tuleb mängu RLO. Oletame näiteks, et teil on nimega EXE iamsafefdp.exe. Selles etapis paneb ründaja vahele RLO märgi iamsafe ja fdp.exe juurde faili ümber nimetada. Seda on Windowsis üsna lihtne teha. Lihtsalt paremklõpsake ümbernimetamise ajal.
Siin peate mõistma ainult seda, et pärast seda, kui Windows näeb RLO-märki, loeb see paremalt vasakule. Fail on endiselt EXE. Midagi ei ole muutunud. Välimuselt näeb see lihtsalt välja nagu PDF.
Pärast seda etappi asendab ründaja nüüd EXE-i ikooni PDF-i ikooniga ja saadab selle faili sihtisikule.
Allolev pilt on vastus meie varasemale küsimusele. Paremal kuvatav EXE loodi RLO meetodil. Välimuselt on mõlemad failid samad, kuid nende sisu on täiesti erinev.
Kuidas saate seda tüüpi rünnakute eest kaitsta?
Nagu paljude turvaprobleemide puhul, on ka selle turbeprobleemi puhul mitmeid ettevaatusabinõusid. Esimene on ümbernimetamise suvandi kasutamine, et kontrollida faili, mida soovite avada. Kui valite ümbernimetamise suvandi, valib Windowsi operatsioonisüsteem automaatselt faililaiendist väljaspool asuva ala. Seega on valimata osa faili tegelik laiend. Kui näete valimata osas EXE-vormingut, ei tohiks te seda faili avada.
Samuti saate käsurealt kontrollida, kas peidetud märk on sisestatud. Selleks lihtsalt kasuta rež käsk järgnevalt.
Nagu näete ülaltoodud ekraanipildil, on nimega faili nimes midagi kummalist util. See näitab, et on midagi, mille suhtes peaksite kahtlustama.
Enne faili allalaadimist võtke kasutusele ettevaatusabinõud
Nagu näete, võib isegi lihtne PDF-fail panna teie seadme ründajate kontrolli alla. Seetõttu ei tohiks te alla laadida iga faili, mida Internetis näete. Ükskõik kui turvaliseks te neid arvate, mõelge alati kaks korda.
Enne faili allalaadimist võite võtta mitmeid ettevaatusabinõusid. Kõigepealt peaksite veenduma, et sait, millelt alla laadite, on usaldusväärne. Hiljem allalaaditavat faili saate veebis kontrollida. Kui olete kõiges kindel, on see otsus täielikult teie enda teha.