U kunt er niet zeker van zijn dat een bestand daadwerkelijk een afbeeldings-, video-, PDF- of tekstbestand is door alleen naar de bestandsextensie te kijken. In Windows kan een aanvaller een PDF-bestand uitvoeren alsof het een EXE-bestand is .
Dit is behoorlijk gevaarlijk, omdat een bestand dat u van internet downloadt en denkt dat het een PDF-bestand is, in werkelijkheid een uiterst gevaarlijk virus kan bevatten. Heb je je ooit afgevraagd hoe aanvallers dit kunnen doen?
Wat is de RLO-methode?
Veel talen kunnen van rechts naar links worden geschreven, zoals Arabisch, Urdu en Perzisch. Veel aanvallers gebruiken dit soort taal om verschillende aanvallen uit te voeren. Een document dat betekenisvol en veilig is wanneer het van links wordt gelezen, kan in werkelijkheid een andere inhoud hebben als het van rechts wordt gelezen en naar een heel ander bestand verwijzen. U kunt de RLO-methode gebruiken die in het Windows-besturingssysteem bestaat om talen te verwerken die van rechts naar links zijn geschreven.
Er is hiervoor een RLO-notatie in Windows. Zodra je dit teken gebruikt, begint de computer de tekst van rechts naar links te lezen. Aanvallers profiteren hiervan om de naam en extensie van het uitvoerbare bestand te verbergen.
U typt bijvoorbeeld een Engels woord van links naar rechts en dat woord is Software. Als u het Windows RLO-symbool na de letter T toevoegt, wordt alles wat u daarna typt van rechts naar links gelezen. Als gevolg hiervan zal uw nieuwe woord Softeraw zijn.
Om het beter te begrijpen, zie het onderstaande diagram.
Het RLO-element draait woorden om
Kunnen Trojaanse paarden in PDF-bestanden worden geplaatst?
Bij sommige aanvallen kunnen hackers exploits of kwaadaardige scripts in PDF-bestanden invoegen. Veel verschillende tools en programma's kunnen dit doen. Dit kan zelfs worden gedaan door de bestaande code van de PDF te wijzigen zonder een ander programma te gebruiken.
De RLO-methode is echter anders. Met de RLO-methode presenteren aanvallers een bestaand EXE-bestand alsof het een PDF-bestand is om het beoogde slachtoffer te misleiden. Alleen het uiterlijk van de EXE verandert, dus de doelgebruiker opent het bestand in de veronderstelling dat het een onschadelijk PDF-bestand is.
Hoe de RLO-methode te gebruiken
Voordat we uitleggen hoe u een EXE als PDF kunt weergeven met behulp van de RLO-methode, bekijken we eerst de afbeelding hieronder. Welke van deze bestanden is een PDF?
Maak een onderscheid tussen de twee bestanden
Dit kun je niet in één oogopslag vaststellen. In plaats daarvan moet u de inhoud van het bestand bekijken. (Voor het geval je nieuwsgierig bent: het bestand aan de linkerkant is het daadwerkelijke PDF-bestand).
Deze truc is vrij eenvoudig uit te voeren. Ten eerste schrijven aanvallers kwaadaardige code en compileren deze. Code wordt gecompileerd voor uitvoer in exe-formaat. De aanvallers veranderen de naam en het pictogram van dit EXE-bestand, waardoor het uiterlijk ervan in een PDF verandert. Hoe verloopt het proces van naamsverandering?
Dit is waar RLO in het spel komt. Stel dat u bijvoorbeeld een EXE-bestand hebt met de naam iamsafefdp.exe. In dit stadium plaatst de aanvaller een RLO-symbool tussen iamsafe en fdp.exe om de naam van het bestand te wijzigen. In Windows is dit vrij eenvoudig te doen. Klik met de rechtermuisknop tijdens het hernoemen.
Inversiebewerking van RLO-teken
Het principe is eenvoudig: zodra Windows het RLO-symbool ziet, wordt het van rechts naar links gelezen. Het bestand is nog steeds EXE, er is niets veranderd. Het ziet er gewoon uit als een PDF.
Na deze fase zal de aanvaller het EXE-bestandspictogram vervangen door een PDF-bestandspictogram en dit bestand naar het doel sturen.
Onderstaande afbeelding is het antwoord op de vorige vraag. De EXE die u aan de rechterkant ziet, is gemaakt met behulp van de RLO-methode. Qua uiterlijk lijken beide bestanden op elkaar, maar hun inhoud is totaal verschillend.
Vergelijk de inhoud van bestanden
Hoe zich te verdedigen tegen dit soort aanvallen?
Zoals bij veel beveiligingsincidenten zijn er enkele voorzorgsmaatregelen die u kunt nemen om dit soort aanvallen te voorkomen. De eerste is om de hernoemingsoptie te gebruiken om het bestand te controleren dat u wilt openen. Als u de optie voor hernoemen kiest, selecteert het Windows-besturingssysteem automatisch het bewerkbare gebied, naast de bestandsextensie. Het niet-geselecteerde deel is de daadwerkelijke bestandsextensie. Als u het EXE-formaat in het niet-geselecteerde gedeelte ziet, moet u dit bestand niet openen.
U kunt ook controleren of er verborgen tekens zijn ingevoegd via de opdrachtregel. Om dit te doen, gebruikt u eenvoudigweg de opdracht dir als volgt.
Controleer het bestand met de opdracht dir
Zoals je in de bovenstaande schermafbeelding kunt zien, is util een vreemd bestand, dus je moet achterdochtig zijn.
Wees voorzichtig voordat u bestanden downloadt!
Zoals u kunt zien, kan zelfs een eenvoudig PDF-bestand uw apparaat in handen van aanvallers brengen. Daarom mag u niet willekeurig elk bestand downloaden dat u op internet ziet. Hoe veilig je ook denkt dat ze zijn, wees voorzichtig!
Voordat u een bestand downloadt, kunt u een aantal voorzorgsmaatregelen nemen, zoals ervoor zorgen dat de website waarvan u downloadt betrouwbaar is en het bestand scannen met een online bestandscontrole .
Ziet u een activeringsmelding voor Windows 10 in de rechterhoek van het scherm? In dit artikel wordt uitgelegd hoe u de kennisgeving van een auteursrechtverzoek op Windows 10 verwijdert.
Onlangs heeft Microsoft de nieuwste cumulatieve update voor Windows 10 pc-gebruikers uitgebracht, genaamd Build 14393.222. Deze update voor Windows 10 repareert voornamelijk bugs op basis van gebruikersfeedback en verbetert de prestatie-ervaring van het besturingssysteem.
Heeft u computers op uw lokale netwerk die externe toegang nodig hebben? Het gebruik van een bastionhost als poortwachter voor uw netwerk kan een goede oplossing zijn.
Soms moet u oude gebeurtenislogboeken in één keer verwijderen. In deze handleiding laat Quantrimang.com u 3 manieren zien om snel alle gebeurtenislogboeken in Windows 10 Event Viewer te verwijderen.
Als je liever een oud klassiek toetsenbord gebruikt, zoals het IBM Model M, dat geen fysieke Windows-sleutel bevat, kun je er eenvoudig meer toevoegen door een sleutel te lenen die je niet vaak gebruikt.
WindowTop is een tool waarmee u alle toepassingsvensters en programma's op computers met Windows 10 kunt dimmen. Of u kunt een donkere achtergrondinterface op Windows gebruiken.
In veel eerdere artikelen hebben we vermeld dat online anoniem blijven uiterst belangrijk is. Elk jaar lekt privé-informatie uit, waardoor online beveiliging steeds noodzakelijker wordt. Dat is ook de reden dat we virtuele IP-adressen moeten gebruiken. Hieronder zullen we leren over methoden om nep-IP's te maken!
De Taalbalk op Windows 8 is een miniatuurtaalwerkbalk die is ontworpen om automatisch op het bureaublad te worden weergegeven. Veel mensen willen deze taalbalk echter op de taakbalk verbergen.
Het maximaliseren van de internetsnelheid is essentieel voor het optimaliseren van uw netwerkverbinding. U kunt een optimale entertainment- en werkervaring hebben met behulp van computers, internet-tv's, gameconsoles, enz.
Draadloze connectiviteit is tegenwoordig een noodzaak en daarom is draadloze beveiliging essentieel om de veiligheid in uw interne netwerk te garanderen.
