Skoči na vsebino

Končnica, ki to ni

Po neki raziskavi je za zagon skoraj 45% vseh zlonamernih programov potrebna interakcija samega uporabnika. V vseh primerih pa to ne pomeni, da veselo klikamo na čisto vse povezave in odpiramo raznorazne izvršljive datoteke, včasih je dovolj samo majhna nepozornost.

Predstavljajte si, da dobite elektronsko sporočilo, lahko tudi od znane osebe, v katerem prejmete neko poročilo:

Primer elektronskega sporočila
Primer elektronskega sporočila

Sporočilu je priložen RAR arhiv, zaščiten z geslom, geslo pa je navedeno s samem sporočilu. Tako pošiljanje poročil vsekakor ni običajno, in to bi že moral biti prvi znak za večjo previdnost. S pošiljanjem zakriptanih priponk se namreč napadalec lahko izogne filtrom na poštnih strežnikih, ki ponavadi takih priponk ne znajo analizirati.

Če RAR arhiv razpakiramo, v njem najdemo eno samo datoteko, ki na prvi pogled izgleda kot PDF dokument (mimogrede, ikono izvršljive datoteke v Windows sistemih je zelo enostavno ponarediti):

Ikona, ki prikazuje lažno pdf datoteko
Lažna pdf datoteka

Če pa smo malce bolj pozorni, pa lahko opazimo neke neobičajnosti: v sistemu Windows XP je razvidna končnica datoteke SCR (če imamo v sistemu vklopljen prikaz vseh končnic), v sistemih Windows 7 in Vista pa je sicer razvidna končnica PDF, se pa na sami ikoni nahaja znak, ki prikazuje, da so za zagon datoteke potrebne administratorske pravice. Da gre dejansko za SCR datoteko, je razvidno šele iz ukazne lupine:

Ukazna lupina
Ukazna lupina

Zakaj torej nekateri sistemi prikazujejo končnico .PDF, čeprav to ni? Analiza je pokazala, da ime datoteke vsebuje dodaten unicode znak 202E – “right-to-left-override”, ki je del podpore za prikaz pisav, ki se pišejo iz desne strani. Po vstavitvi tega znaka se vsi nadaljni znaki v programih, ki imajo unicode podporo, pišejo od desne proti levi:

Ime datoteke vsebuje dodaten unicode znak
Ime datoteke vsebuje dodaten unicode znak

SCR datoteka vsebuje izvršljivo programsko kodo. Če bi jo odprli, bi zelo verjetno okužili svoj sistem. V času analize datoteke jo je kot zlonamerno prepoznalo 5 od 42 anvitirusov:

Zaslon, ki prikazuje, kateri antivirusni programi so prepoznali škodljivo datoteko
5 od 42 antivirusnih programov je prepoznalo škodljivo datoteko

Windows XP privzeto nima podpore za pisave, ki se pišejo iz desne strani, zato v privzeti konfiguraciji prikazuje pravilno končnico. Izkoriščanje te “funkcionalnosti” je tako trenutno mogoče v sistemih Windows 7 in Vista, ter v vseh programih, ki imajo podporo prikaza unicode pisav. Sam problem pa ni vezan zgolj na prikaz končnice datotek, ampak tudi npr. na zapis URL naslova. Katero spletno stran nam bo odprl Thunderbird?

Zaslon, ki prikazuje miško na spletni povezavi, ki pelje na drugo spletno mesto
Kam pelje spletna povezava?

Preberite tudi

SI-CERT s prenovljenim spletnim mestom

Glavna vodila pri prenovi so bila: bolj jasna vsebinska struktura, enostavna navigacija za obiskovalce in hitrejša orientacija na vstopni strani. V skladu z našimi zakonsko predpisanimi nalogami smo na najvidnejše mesto postavili aktualno varnostno obvestilo.
Več

“Kripto zlorabe” Twitter računov

V sredo, 15. 7 .2020, je bila družbena platforma Twitter tarča dosedaj najbolj odmevnega kibernetskega napada.
Več

SI-CERT prejel Slovensko veliko nagrado varnosti za program Varni na internetu

SI-CERT je letos prejel Slovensko veliko nagrado varnosti za program Varni na internetu
Več