木馬如何利用RLO方法冒充PDF文件

僅透過查看檔案副檔名無法確定檔案實際上是圖像、影片、PDF 或文字檔案。在 Windows 上，攻擊者可以像執行EXE 檔案一樣執行PDF 檔案。

這是相當危險的，因為您從 Internet 下載並認為是 PDF 文件的文件實際上可能包含極其危險的病毒。您有沒有想過攻擊者是如何做到這一點的？

什麼是 RLO 方法？

許多語言都可以從右向左書寫，例如阿拉伯語、烏爾都語和波斯語。許多攻擊者使用此類語言來發動各種攻擊。從左側閱讀時有意義且安全的文件在從右側閱讀時實際上可能具有不同的內容並引用完全不同的文件。可以使用Windows作業系統中存在的RLO方法來處理從右向左書寫的語言。

Windows 中有一個 RLO 表示法。一旦您使用此字符，計算機就會開始從右向左閱讀文字。攻擊者利用這一點來隱藏可執行檔名和副檔名。

例如，您從左到右輸入一個英文單字，該單字是Software。如果在字母 T 之後新增 Windows RLO 符號，則在其後鍵入的任何內容都會從右向左讀取。因此，您的新單字將是Softeraw。

為了更好地理解，請參見下圖。

RLO 元素反轉單字

PDF檔案中可以植入木馬嗎？

在某些攻擊中，駭客可以在 PDF 檔案中插入漏洞或惡意腳本。許多不同的工具和程式都可以做到這一點。這甚至可以透過更改 PDF 的現有程式碼來完成，而無需使用任何其他程式。

然而，RLO 方法不同。透過 RLO 方法，攻擊者將現有的 EXE 檔案當作 PDF 檔案來欺騙目標受害者。僅 EXE 的外觀發生變化，因此目標使用者在開啟該檔案時會認為它是無害的 PDF 檔案。

如何使用 RLO 方法

在解釋如何使用 RLO 方法將 EXE 顯示為 PDF 之前，讓我們先回顧一下下圖。以下哪個文件是 PDF？

請區分這兩份文件

你無法一眼就確定這一點。相反，您需要查看文件的內容。 （如果您好奇的話，左邊的文件是實際的 PDF 文件）。

這個技巧很容易做到。首先，攻擊者編寫惡意程式碼並對其進行編譯。程式碼編譯後以 exe 格式輸出。攻擊者更改此 EXE 檔案的名稱和圖標，將其外觀變成 PDF。那麼更名過程是如何進行的呢？

這就是 RLO 發揮作用的地方。例如，假設您有一個名為iamsafefdp.exe 的 EXE 檔案。在此階段，攻擊者將在 iamsafe 和 fdp.exe 之間放置 RLO 符號來重新命名該檔案。在 Windows 中執行此操作非常容易。重命名時只需右鍵單擊即可。

RLO 字元的反轉操作

原理很簡單，一旦Windows看到RLO符號，它就會從右向左讀取。該檔案仍然是 EXE，沒有任何改變。它只是外觀上看起來像 PDF。

在此階段之後，攻擊者將用 PDF 文件圖標替換 EXE 文件圖標，並將該文件發送到目標。

下圖是上一個問題的答案。您在右側看到的 EXE 是使用 RLO 方法建立的。從外觀上看，這兩個文件很相似，但內容卻完全不同。

比較文件內容

如何防禦此類攻擊？

與許多安全事件一樣，您可以採取一些預防措施來防止此類攻擊。第一種是使用重命名選項來檢查要開啟的檔案。如果選擇重新命名選項，Windows 作業系統將自動選擇可編輯區域以及檔案副檔名。未選擇的部分將是實際的檔案副檔名。如果您在未選擇的部分中看到 EXE 格式，則不應開啟此檔案。

您也可以使用命令列檢查是否插入了隱藏字元。為此，只需使用 dir 命令，如下所示。

使用 dir 指令檢查文件

正如您在上面的螢幕截圖中看到的，util是一個奇怪的文件，因此您應該保持懷疑。

下載檔案前請小心！

正如您所看到的，即使是簡單的 PDF 檔案也可能讓您的裝置落入攻擊者手中。這就是為什麼您不應該隨意下載您在互聯網上看到的每個文件。無論您認為它們有多安全，都要小心！

在下載文件之前，您可以採取一些預防措施，例如確保您下載的網站值得信賴並使用線上文件檢查器掃描文件。