众所周知,使用社会工程技巧的恶意软件旨在隐藏自己,使其不成为明显的可执行文件。恶意附件通过精心制作的图标发送,这些图标假装是真实的文档文件。除此之外,他们经常使用双扩展名,如“.pdf.exe”或“.doc.exe”,利用Windows默认隐藏扩展名的事实,因此有时用户不会注意到哪个文件是它声称的文件。

它们还使用不太为人所知的可执行格式扩展,例如“.scr”。

但这并不是全部。在这简短的文章中,我们将介绍欺骗用户的另外两个常见的技巧。

PIF扩展

这个技巧很狡猾,因为即使用户禁用了Windows上的扩展隐藏功能,它也会隐藏真正的扩展。

这就是将扩展名更改为“pif”后可执行文件的外观-不仅扩展名完全隐藏,而且原始图标也完全隐藏。显示文件的全名为“file.txt.pif“:

file_txt_pif.

PIF扩展名仍然允许执行文件。双击将引导我们部署它。

如果我们显示文件的详细信息,我们可以揭示其真实文件类型,这是一个“与MS-DOS程序的快捷方式”。

类型

这一伎俩已在实际中使用过最近在波兰举行的佩蒂亚/米沙运动.

RTLO–从右向左超越

这一技巧利用了一个事实,即一些语言是从右向左书写的,这与包括欧洲和美洲在内的大多数国家使用的方式形成了对比。为了支持这类语言,已经创建了一个Unicode字符,作为这两种模式之间的切换。它可能被恶意使用,以取代显示的扩展。此字符有一个代码:U+202e

让我们看看它是如何工作的。例如,我们可以使用一些在线Unicode转换器这个.

为了展示诀窍,首先我们将为扩展名“SCR”提供可执行文件的名称。然后,我们将尝试欺骗扩展并使其看起来像“TXT”:

第1步:为可执行文件创建名称

档案室

步骤2:添加字符以反转字符顺序

阿迪丁丁

步骤3:最后添加欺骗扩展(即“TXT”)

添加_txt

步骤4:复制准备好的名称并重命名文件

file_exe_txt.

如果我们更改可执行文件的图标,它将看起来完全像一个普通的文本文件。仅当我们显示实际文件类型在本例中显示的详细信息时,它才是一个屏幕保护程序:

可控硅

此外,如果尝试重命名文件,我们可以看到选择模式不是连续的:

改名

结论

正如我们所看到的,扩展可以通过各种方式进行欺骗,禁用在Windows上隐藏扩展的功能并不是所有问题的解决方案。这些技巧很容易实现,也很有效。我们应该警惕我们下载的每一个文件,不管它的扩展名和图标看起来是否无害。

这是一篇由Hasherezade撰写的客座文章,Hasherezade是一位对InfoSec非常感兴趣的独立研究员和程序员。她喜欢详细说明恶意软件并与社区分享威胁信息。在推特上查看她@哈舍雷扎德以及她的个人博客:https://hshrzd.wordpress.com.