Unicode控制字元:RTLO技巧命名攻擊
一個很古老的攻擊手法了,也滿有趣的,就紀錄順便分享一下。
首先我們可以看一則先前技服的通報資訊:
國家資通安全會報 技術服務中心
內容說明:
技術服務中心於近日接獲通報,駭客偽冒行政院院長室發送社交工程攻擊信件,內文中包含有關人員之簽名檔,製作惡意程式(使用RTLO方法)誘使使用者點擊,以取得使用者權限或執行遠端程式。當使用者點擊這類檔案時,可能於受攻擊成功後遭植入惡意程式,攻擊者將可控制受害系統執行任意惡意行為。
該手法係利用作業系統解讀檔案名稱時,若遇到Unicode控制字元,會改變檔案名稱的顯示方式進行攻擊。駭客可以在檔案名稱中,插入特定的Unicode控制字元,導致作業系統在顯示該檔案名稱時,誤導使用者。
例如,駭客可能將惡意程式命名為:提醒[202E]TXT.SCR,即會顯示為:提醒RCS.TXT,讓收件人誤以為是純文字檔,提升點擊的機率。
本中心已發現使用該弱點之惡意文件,經由電子郵件進行攻擊。建議使用者參照以下建議措施來防堵這類的攻擊手法。
其他參考
< APT 攻擊>看起來是 .PPT 附件,竟是 .SCR !!針對台灣政府單位的 RTLO技術目標攻擊(含社交工程信件樣本)
Demo
CASE 1
1.開NOTEPAD,PGJ
2.在PGJ前面按下右鍵,插入unicode控制字元,RLO
3.這樣就會變成副檔名看起來是JPG的執行檔
CASE 2
1.新增一個副檔名BAT,隨便輸入一個檔名後面加上PGJ
2.在PGJ前面按下右鍵,插入unicode控制字元,RLO
3.這樣就會變成副檔名看起來是JPG的執行檔
可以簡單的利用其他工具,譬如resource hacker,去修改掉這個圖示(icon),讓檔案看起來更像是真的,不過也只是檔名跟圖示會偽裝而已,如果針對檔案點右鍵看內容,裡面檔案類型還是會是最原本真實的。