Apskatot failu paplašinājumus, nevar garantēt, ka fails patiešām ir attēla, video, PDF vai teksta fails. Operētājsistēmā Windows uzbrucēji var izpildīt PDF tā, it kā tas būtu EXE.
Tas ir diezgan bīstami, jo failā, kuru lejupielādējat no interneta, sajaucot to ar PDF failu, patiesībā var būt ļoti kaitīgs vīruss. Vai esat kādreiz domājuši, kā uzbrucēji to dara?
Trojas vīrusu skaidrojums
Trojas vīrusi savu nosaukumu cēluši no aheju (grieķu) uzbrukuma grieķu mitoloģijā Trojas pilsētai Anatolijā. Troja atrodas mūsdienu Čanakale pilsētas robežās. Saskaņā ar stāstījumiem tur bijis koka zirga paraugs, ko uzcēlis Odisejs, viens no grieķu karaļiem, lai pārvarētu Trojas pilsētas sienas. Karavīri paslēpās šajā modelī un slepeni iekļuva pilsētā. Ja jums rodas jautājums, šī zirga modeļa kopija joprojām ir atrodama Čanakalē, Turcijā.
Trojas zirgs kādreiz bija gudrs maldinājums un ģeniāls inženierijas varoņdarbs. Tomēr šodien tā tiek uzskatīta par ļaunprātīgu digitālo ļaunprogrammatūru, kuras vienīgais mērķis ir neatklāti kaitēt mērķa datoriem. Šis
vīrusu sauc par Trojas zirgu jēdziena dēļ būt neatklātam un nodarīt kaitējumu.Trojas zirgi var nolasīt paroles, ierakstīt tastatūras nospiestos taustiņus vai sagrābt visu jūsu datoru par ķīlnieku. Šim nolūkam tie ir diezgan mazi un var radīt nopietnus bojājumus.
Kas ir RLO metode?
Daudzas valodas var rakstīt no labās puses uz kreiso, piemēram, arābu, urdu un persiešu. Daudzi uzbrucēji izmanto šo valodas veidu, lai veiktu dažādus uzbrukumus. Teksts, kas jums ir jēgpilns un drošs, lasot to no kreisās puses, patiesībā var būt rakstīts no labās puses un attiecas uz pavisam citu failu. Varat izmantot RLO metodi, kas pastāv operētājsistēmā Windows, lai apstrādātu valodas no labās puses uz kreiso.
Sistēmā Windows tam ir rakstzīme RLO. Tiklīdz izmantosit šo rakstzīmi, dators sāks lasīt tekstu no labās uz kreiso pusi. Uzbrucēji, kas to izmanto, gūst labu iespēju paslēpt izpildāmo failu nosaukumus un paplašinājumus.
Piemēram, pieņemsim, ka ierakstāt angļu vārdu no kreisās puses uz labo, un šis vārds ir programmatūra. Ja pēc burta T pievienojat Windows rakstzīmi RLO, viss, ko ierakstāt pēc tam, tiks nolasīts no labās uz kreiso pusi. Rezultātā jūsu jaunais vārds būs Softeraw.
Lai to labāk izprastu, pārskatiet tālāk redzamo diagrammu.
Vai Trojas zirgu var ievietot PDF failā?
Dažos ļaunprātīgos PDF uzbrukumos PDF failā ir iespējams ievietot ļaunprātīgus skriptus. To var izdarīt daudzi dažādi rīki un programmas. Turklāt to ir iespējams izdarīt, mainot esošos PDF kodus, neizmantojot nevienu programmu.
Tomēr RLO metode ir atšķirīga. Izmantojot RLO metodi, uzbrucēji parāda esošu EXE tā, it kā tas būtu PDF, lai maldinātu mērķa lietotāju. Tātad mainās tikai EXE attēls. No otras puses, mērķa lietotājs atver šo failu, uzskatot, ka tas ir nevainīgs PDF fails.
Kā lietot RLO metodi
Pirms paskaidrojat, kā parādīt EXE kā PDF, izmantojot RLO metodi, pārskatiet tālāk redzamo attēlu. Kurš no šiem failiem ir PDF?
Jūs to nevarat noteikt vienā mirklī. Tā vietā Y=jums ir jāaplūko faila saturs. Bet, ja jums radās jautājums, kreisajā pusē esošais fails ir faktiskais PDF fails.
Šo triku ir diezgan viegli izdarīt. Uzbrucēji vispirms uzraksta ļaunprātīgu kodu un kompilē to. Apkopotais kods nodrošina izvadi exe formātā. Uzbrucēji maina šī EXE nosaukumu un ikonu un pārvērš tā izskatu PDF failā. Tātad, kā notiek nosaukuma piešķiršanas process?
Šeit spēlē RLO. Piemēram, pieņemsim, ka jums ir nosaukts EXE iamsafefdp.exe. Šajā posmā uzbrucējs ievietos RLO rakstzīmi starp iamsafe un fdp.exe uz pārdēvējiet failu. To ir diezgan viegli izdarīt operētājsistēmā Windows. Pārdēvēšanas laikā vienkārši noklikšķiniet ar peles labo pogu.
Viss, kas jums šeit ir jāsaprot, ir tas, ka pēc tam, kad Windows redz RLO rakstzīmi, tas tiek lasīts no labās uz kreiso pusi. Fails joprojām ir EXE. Nekas nav mainījies. Pēc izskata tas tikai izskatās kā PDF.
Pēc šī posma uzbrucējs aizstās EXE ikonu ar PDF ikonu un nosūtīs šo failu mērķa personai.
Zemāk redzamais attēls ir atbilde uz mūsu iepriekšējo jautājumu. Labajā pusē redzamais EXE tika izveidots, izmantojot RLO metodi. Pēc izskata abi faili ir vienādi, taču to saturs ir pilnīgi atšķirīgs.
Kā jūs varat pasargāt sevi no šāda veida uzbrukumiem?
Tāpat kā daudzu drošības problēmu gadījumā, arī šīs drošības problēmas gadījumā varat veikt vairākus piesardzības pasākumus. Pirmais ir izmantot pārdēvēšanas opciju, lai pārbaudītu failu, kuru vēlaties atvērt. Ja izvēlaties pārdēvēšanas opciju, Windows operētājsistēma automātiski atlasīs apgabalu ārpus faila paplašinājuma. Tātad neatlasītā daļa būs faktiskais faila paplašinājums. Ja neatlasītajā daļā redzat EXE formātu, jums nevajadzētu atvērt šo failu.
Varat arī pārbaudīt, vai ir ievietota slēpta rakstzīme, izmantojot komandrindu. Šim nolūkam vienkārši izmantojiet rež komandu sekojoši.
Kā redzat iepriekš redzamajā ekrānuzņēmumā, nosauktā faila nosaukumā ir kaut kas dīvains util. Tas norāda, ka ir kaut kas, par ko jums vajadzētu būt aizdomām.
Pirms faila lejupielādes veiciet piesardzības pasākumus
Kā redzat, pat vienkāršs PDF fails var likt jūsu ierīcei nonākt uzbrucēju kontrolē. Tāpēc nevajadzētu lejupielādēt katru failu, ko redzat internetā. Neatkarīgi no tā, cik droši jūs domājat, ka viņi ir, vienmēr padomājiet divreiz.
Pirms faila lejupielādes varat veikt vairākus piesardzības pasākumus. Pirmkārt, jums jāpārliecinās, vai vietne, no kuras lejupielādējat, ir uzticama. Failu, kuru vēlāk lejupielādēsit, varat pārbaudīt tiešsaistē. Ja esat par visu pārliecināts, šis lēmums ir pilnībā atkarīgs no jums.