你怎么会被U+202E的诡计所愚弄?(2013)

2022-02-17 10:52:22

恶意攻击者用来欺骗受害者的一种常见技术是,使用Unicode特殊字符U+202E(从右到左称为无效),使恶意文件显示为PDF文档,而不是潜在危险的可执行文件。

要理解这个概念,让';假设我们的恶意文件是";文件exe和#34;(见图1):

查找并复制Unicode字符U+202E。请注意,左下角显示了字符的ASCII值(参见图2)。

输入您想要的扩展名,但反过来输入,例如,如果我们想要";博士";,我们需要写";cod和#34;,或者如果我们想要";pdf";,然后我们需要写";fdp";。

结果类似于图3所示的文件。最后,考虑到";exe和#34;否则,原有的扩展必须保留。例如。:

图4:伪装成Microsoft Word文件的恶意文件,为了保留原始扩展名并欺骗用户,使用了一个狡猾的名称。

恶意文件已准备好交付给目标,出现以下情况:

如果受害者执行恶意软件(双击或输入),将出现以下屏幕:

现在,让';让我们看看贝壳的标题:";附件。博士";,显然,我们的技术近乎完美,因为我们可以';即使在命令行中也看不到原始扩展,或者我们可以?

可能的对策:如果我们尝试重命名文件(F2),我们会看到一些奇怪的东西,这种效果是由特殊字符产生的,因此这是一条认识到某些错误的线索。

如果您在基于GNU/Linux的系统中,可以使用一些命令检查文件的标题。

另一个可以用来验证任何文件及其扩展名的技巧是使用命令提示符,但是如何验证呢?

为了证明这个理论,我们需要打开一个新的#34;cmd。exe和#34;在可疑文件的位置,然后写下名字的前两个字符,然后按";表34;,系统将自动完成真实姓名,然后我们将知道真相!!(见图7)。

如图7所示,文件名包含(一个或多个)奇怪的字符,这些字符不是';t识别并显示为2个问号,显示"的存在;U+202E和#34;性格,那';就这些,希望你喜欢这个帖子。=)