Shunze 學園 >電腦資訊學系 >病毒追追追 > 《分享》RTLO技術 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2328

shunze 離線
《分享》RTLO技術引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在網路上發現2014年5月時,曾爆發了一波針對台灣政府單位進行的RTLO攻擊
其實RTLO的攻擊手法在OS邁入了Unicode的時代後,就已經時有所聞。
這個手法主要利用檔案名稱顯示方式的變更,將一般由左到右的顯示,改為由右到左,
來達到副檔名變更的效果,欺騙使用者,進而入侵到使用者的電腦。
例如將txt.bat反轉,變成tab.txt來,讓使用者以為是單純的文字檔而降低戒心。

在使用這類攻擊時,要注意兩個重點才能提高攻擊的成攻率,

  1. 首先是要變更病毒檔案的圖示。
    例如,經過RTLO手法後,txt.bat雖然看起來已經變成tab.txt了,
    但在圖示上,還會是原本bat檔的圖示。
    (因為只是顯示方式不同,對電腦而言,它還是bat檔,自然是顯示bat檔的圖示。)

    這時若能再透過工具來變更此檔案的顯示圖示為txt的圖示,
    才能更有效的降低使用者戒心,以達效果。

  2. 這個病毒夾檔必需做成壓縮檔才能提高攻擊成功率。
    若直接以附加檔案的方式來寄送,很容易就被防毒軟體偵測到而刪除。
    以壓縮檔的方式來寄送,可以再提高一些攻擊的成功率。



知道了RTLO的攻擊手法後,順子好奇的是,什麼時候才會用到RTLO
如何產生RTLO檔名的檔案

在爬網後發現,一般英語系國家使用的都是由左到右的顯示方式,
但在一些中東國家其書寫方式則是由右到左,因此才會有這種需求的產生。
事實上以中文直書的方式來說,也是由上到下,由右到左,
只是電腦沒有由上到下這種書寫方式,所以才會被由左到右這種方式所融合,
也算是跟的上時代的腳步了...?
(不信你去看一些古蹟的牌坊,由右到左與由左到右這兩種都看的到耶∼)

如何產生RTLO檔名的檔案呢?
以本文的txt.bat為例,先建立一個簡單的txt.bat檔,
並於檔案中,輸入以下命令。
ipconfig /all
pause


然後去編輯檔名,在txt.bat最前面插入一個“RLO的Unicode控制字元



插入後,你會發現它的檔名顯示方式已由txt.bat反轉變成tab.txt了!



執行這個檔案試試,你會發現它還是bat檔,會執行檔案中的批次命令。



一個欺騙世人的tab.txt檔就完成啦∼


參考資料
< APT 攻擊>看起來是 .PPT 附件,竟是...交工程信件樣本)
浅谈RTLO技术
RTLO是怎麼樣的攻擊啊?



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2015-05-03, 20:50 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR