|
在網路上發現2014年5月時,曾爆發了一波針對台灣政府單位進行的RTLO攻擊。
其實RTLO的攻擊手法在OS邁入了Unicode的時代後,就已經時有所聞。
這個手法主要利用檔案名稱顯示方式的變更,將一般由左到右的顯示,改為由右到左,
來達到副檔名變更的效果,欺騙使用者,進而入侵到使用者的電腦。
例如將txt.bat反轉,變成tab.txt來,讓使用者以為是單純的文字檔而降低戒心。
在使用這類攻擊時,要注意兩個重點才能提高攻擊的成攻率,
- 首先是要變更病毒檔案的圖示。
例如,經過RTLO手法後,txt.bat雖然看起來已經變成tab.txt了,
但在圖示上,還會是原本bat檔的圖示。
(因為只是顯示方式不同,對電腦而言,它還是bat檔,自然是顯示bat檔的圖示。)
這時若能再透過工具來變更此檔案的顯示圖示為txt的圖示,
才能更有效的降低使用者戒心,以達效果。
- 這個病毒夾檔必需做成壓縮檔才能提高攻擊成功率。
若直接以附加檔案的方式來寄送,很容易就被防毒軟體偵測到而刪除。
以壓縮檔的方式來寄送,可以再提高一些攻擊的成功率。
知道了RTLO的攻擊手法後,順子好奇的是,什麼時候才會用到RTLO?
如何產生RTLO檔名的檔案?
在爬網後發現,一般英語系國家使用的都是由左到右的顯示方式,
但在一些中東國家其書寫方式則是由右到左,因此才會有這種需求的產生。
事實上以中文直書的方式來說,也是由上到下,由右到左,
只是電腦沒有由上到下這種書寫方式,所以才會被由左到右這種方式所融合,
也算是跟的上時代的腳步了...?
(不信你去看一些古蹟的牌坊,由右到左與由左到右這兩種都看的到耶∼)
如何產生RTLO檔名的檔案呢?
以本文的txt.bat為例,先建立一個簡單的txt.bat檔,
並於檔案中,輸入以下命令。
ipconfig /all
pause
然後去編輯檔名,在txt.bat最前面插入一個“RLO的Unicode控制字元”
插入後,你會發現它的檔名顯示方式已由txt.bat反轉變成tab.txt了!
執行這個檔案試試,你會發現它還是bat檔,會執行檔案中的批次命令。
一個欺騙世人的tab.txt檔就完成啦∼
參考資料
< APT 攻擊>看起來是 .PPT 附件,竟是...交工程信件樣本)
浅谈RTLO技术
RTLO是怎麼樣的攻擊啊?
♥順子老婆的網拍,請多關照∼
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|
2015-05-03, 20:50
《分享》RTLO技術
