猫头鹰
信安舆情早知道

细数那些鲜为人知的后缀名隐藏技巧

众所周知,恶意软件利用社会工程学技巧来隐藏自己为可执行文件的身份。恶意附件通过特制的图标伪装成为真正的文件。除此以外,它们经常使用双后缀拓展名。如“.pdf.exe”或“.doc.exe”,它利用了windows默认隐藏后缀名的特性,用户通常不会意识到这一点。

恶意软件也使用不常见的后缀名,如“.scr”。

恶意软件隐藏自身的全部技巧。在本文中,我将介绍恶意软件进行隐藏欺骗的另两种技巧。

使用PIF后缀

这招比较猥琐,即使windows用户禁用隐藏默认文件名,也是默认不显示“.pif”后缀的。

下面图片是一个文件将后缀改为“.pif”的样子。它不仅把后缀隐藏了,而且将原来的图片替代了。文件的全名是“file.txt.pif”。

file_txt_pif

“.pif”后缀文件是可执行文件后缀,双击即可执行。

如果查看文件的详细详情,我们就会发现它是一个“Shortcut to MS-DOS Program”文件,即可执行文件。

type

这个技巧被用在了a recent campaign of Petya/Mischa in Poland

RTLO – Right To Left Override

事实上,大多数的国家,包括欧盟和美国,语言是从右往左书写的。为了支持这类语言,便创建了Unicode字符,作为两模式间的转换。Unicode编码也被恶意使用,用来隐藏文件后缀。这种Unicode编码成为:U + 202e。

我们看一下RTLO是如何实现的。首先需要一个在线的Unicode转换器。比如这个:戳我

对这种技巧演示,先将一个文件命名为“.scr”的可执行文件。然后尝试修改后缀名进行伪装,使它看起来像个“.txt”文件。

第1步:创建一个可执行文件

file_scr

第2步:添加字符翻转字符串循序

addind_reverse

第3步:在末尾添加伪装的扩展名(即“.txt”)

adding_txt

第4步:复制准备了文件名并且重命名文件

file_exe_txt

改变文件图标,这样看起来就更像一个正常的文件。只有查看文件详细信息的时候才会显示文件的真正类型-屏幕保护程序。

scr-1

此外,当我们尝试重命名文件时,鼠标选中部分是不连续的。

rename总结

正如我们所看到的,文件扩展可以通过各种方式被欺骗,禁用Windows隐藏扩展的功能并不能解决所有问题。文件后缀隐藏是很容易实现的。应该警惕每一个下载的文件,即使它下载文件的图标和后缀名看起来是无害的。

转载请注明来自MottoIN,未经允许不得转载!MottoIN » 细数那些鲜为人知的后缀名隐藏技巧

分享到:更多 ()

评论 抢沙发

评论前必须登录!

 

MottoIN 换一个角度看安全

寻求报道联系我们