06.10.2015 | 14:34

Adam Haertle

Niebezpieczna sztuczka użyta w ataku na użytkowników ToRepublic

Większość użytkowników prawidłowo rozpoznaje już pliki .DOC.EXE. Co jednak mają zrobić, gdy do skrzynki dociera plik, którego rozszerzenie to .PDF, zgadza się także ikona, lecz plik niestety jest wykonywalnym koniem trojańskim?

Choć sztuczka, która umożliwia sprytne zmodyfikowanie nazwy pliku, ma już kilka lat, to nie widzieliśmy jej w użyciu na polskim rynku. Warto zatem ostrzec przed takim trikiem przestępców.

Przynęta na forum ToRepublic

Na ślad ataku trafił jeden z naszych czytelników na przestępczym forum ToRepublic. Kilka dni temu ktoś umieścił tam w sekcji dla niezarejestrowanych użytkowników wpis o tytule zachęcającym użytkowników do weryfikacji treści wiadomości. W treści znajdował się link do archiwum ZIP umieszczonego w serwisie AnonFiles.com.

Plik ZIP zawierał dużo losowych danych oraz jeden plik, który wzbudził nasze zainteresowanie. W podglądzie zawartości archiwum wyglądało to tak:

Podgląd zawartości archiwum

Podgląd zawartości archiwum

Interesujący jest fakt, że plik ma rozszerzenie PDF, podczas kiedy IZArc wskazuje, że jest to plik wygaszacza ekranu. Archiwum po rozpakowaniu tak wygląda w systemie Windows:

Podgląd listy plików

Podgląd listy plików

Nazwa to nadal PDF, a rodzaj pliku to ciągle wygaszacz. Jeśli ktoś jeszcze nie rozpoznał problemu, to poniżej widok ikon:

Podgląd ikon plików

Podgląd ikon plików

Widzicie literkę „r” która się zabłąkała? To nie błąd systemu, tylko ślad po użytej sztuczce.

Prawy do lewego

Przestępcy użyli tu bardzo prostej sztuczki, znanej od wielu lat autorom złośliwego oprogramowania, czyli kodowania „od prawej do lewej”. W nazwie pliku umieszczono specjalny kod sterujący zmieniający kolejność wyświetlania znaków.

Znak specjalny RLO (right to left override, U+202e) umożliwia zapisywanie słów np. w języku arabskim. Zatem plik zestawieniercs.pdf to tak naprawdę zestawienie[RLO]fdp.scr. Kliknięcie na takim pliku przy próbie wyświetlenia rzekomego dokumentu PDF spowoduje zatem wykonanie pliku SCR, a w konsekwencji instalację złośliwego oprogramowania.

Sam złośliwy program dopiero wczoraj został wrzucony do serwisu Virus Total i jest obecnie rozpoznawany już przez większość przyzwoitych antywirusów.

Podsumowanie

Choć sztuczka z RLO znana jest od co najmniej 6-7 lat, to nie przypominamy sobie, by była kiedykolwiek używana w atakach na Polaków. Czy można ją zablokować? Istnieją różne narzędzia, które można do tego celu wykorzystać, prawdopodobnie da się to także zrobić przez polityki Windowsa (możecie przetestować?).

Co prawda opisany powyżej atak wycelowany był na razie w czytelników forum ToRepublic, to nie można wykluczyć, że wkrótce trafi także do Was, Waszych bliskich i pracowników. Przypomnijcie im zatem, że warto nie tylko sprawdzać rozszerzenia plików, ale także czytać ich opisy. Nie zaszkodzi ich także przeszkolić.

Powrót

Komentarze

  • 2015.10.06 14:46 unroot

    Jak to działa z zewnętrznymi managerami plików, jak Directory Opus czy Total Commander?

    A także – jak wygląda to z poziomu nie-Windowsów które odczytują system plików NTFS?

    Odpowiedz
    • 2015.10.06 14:49 Adam

      Przetestuj i powiedz nam.

      Odpowiedz
      • 2015.10.06 16:28 aaa

        Szybki test pod pingwinem:
        1. pcmanfm wyświetla „niepoprawnie” (.pdf)
        2. bash w urxvt ignoruje RLO

        Odpowiedz
        • 2015.10.07 10:12 Test

          dla linuxa ten znak ma inny numer

          Odpowiedz
          • 2015.10.09 04:36 SasQ

            Jak może mieć inny numer? :P
            Czyżby istniał jakiś inny standard Unicode z inną numeracją codepointów? :P

  • 2015.10.06 15:26 tms

    Total Commander na szczęście poprawnie rozpoznaje rozszerzenie. Ustawienie polityki (XP) blokuje uruchomienie z RLO w nazwie oraz loguje event w dzienniku (choć opis eventu jest odwrócony;)

    Odpowiedz
  • 2015.10.06 15:36 Krzyś

    Total Commander w wersji 8.52a nie odwraca kolejności, prawdopodobnie z premedytacją :)

    Windows 2003 wydaje się być niepodatny na sztuczkę (zamiast zmiany kolejności znaków widać kwadracik). XP pewnie tak samo.

    Blokowanie w Windows działa. Jak komuś się nie chce męczyć z secpol.msc, rebootować etc to wklejam poniżej wycięty kawałek rejestru (skompresowany 7zipem i zakodowany base64), którego aplikacja, na moim systemie powoduje automagiczne i natychmiastowe zablokowanie RLO w nazwach plików wykonywalnych.

    Uwaga! Nie ponoszę odpowiedzialności etc etc. Jak nie wierzysz, zrób to policy editorem.
    ———————————————————-
    MIME-Version: 1.0
    Content-Type: application/octet-stream; name=”block-RLO.7z”
    Content-Transfer-Encoding: base64
    Content-Disposition: attachment; filename=”block-RLO.7z”

    N3q8ryccAAMrBXZtLQIAAAAAAABcAAAAAAAAAFOL6DQAf7+GiQMs9AFCgNY6KPFaZ0yWMRlFvk2F
    uWH8sovr24Fr/gUif0PGiV2MhuehqXIfb0txmm8PYsb82g5FyC8MYgIxZ2WMt7MYFh8r+lEvVIwZ
    B58VDU/NeoL37lLBcv3e2COOlwrF1rm8mtmQoRwlrhWgQq4t0I7ratCfZE/Jd0APSiJeW9EhYIVI
    eZH94i1/yb9pUe9CUa1j4l+pOrVCSCnEku5ZpF7DlNqp9jwLQcKm+fwHTD7NgKHT4Rf9gbrWAUox
    efrsHbPBssjqfLn0bwJEydiHtKHJz/Zb9KnnqsEwxLpuanLN5mRhPq5EU/5wQh1npY7eCq8yoYUW
    6EVjr74bRcigPjHNXEgRcLPcGC9fYrRhY4e51QQZmRVLmHnCa+IZZePMR3zSZE+5aZXFi5T13f9X
    gmm5fW5mFS0LkSVplLU4LEjKwdNI8wCgVuYJkUXrpklseiRIPZfhmM4q+DjU6wBoD8t895Gbnadh
    1Idj44gf2QF+iT9lvyjnunRq8zt0+jWr9IQHOBz5i0huDUPvaDqF2JUxGtH2DhI9yVReEcyZRXC0
    zKEhyrj80AfJGsy76LeMdDIMbzMMAOEhtxhaWGLSLPf180rWoXZQTaYX+rN1XWKb/u4q8GvEOis0
    4bexLBTh+AwRHHE1oySvycdB07TXpPQ1Y28LW4i6GOy2KXxoC/JoNFg74GBD4CWxmgRUvh8pf4T8
    2nghPnhwmv38sFxTw1VEsSWUJAEEBgABCYItAAcLAQABIwMBAQVdAAABAAyMMAAICgFWrMcwAAAF
    AREdAGIAbABvAGMAawAtAFIATABPAC4AcgBlAGcAAAAUCgEAzrtb5DkA0QEVBgEAIAgAAAAA

    Odpowiedz
    • 2015.10.06 15:48 tms

      Mylisz się, XP pokazuje fałszywą nazwę pliku. Jedynie jeśli folder wyświetlany jest jako ikony, to ujawniane jest prawdziwe rozszerzenie. Po zmianie tej polityki nie jest konieczny restart.

      Odpowiedz
    • 2015.10.06 16:11 Krzyś

      w tym base64 co wkleiłem trzeba dać nową linię między nagłówkami a ciałem i poprawić cudzysłowy (zostały zamienione na jakieś unikodowe).

      A ja tymczasem dodałem też przy okazji analogiczną regułkę na

      *.????.*

      blokującą tradycyjne pliki w rodzaju totallynotavirus.docx.exe / pdf.scr itp

      Odpowiedz
    • 2015.10.06 19:06 kk

      wyglada ok, tylko chyba jest blad w 4 wierszu, 10 kolumnie

      Odpowiedz
  • 2015.10.06 16:06 w4cky

    Ojj było wspomnienie o tym w języku polskim i to chyba na blogu Vizzdoma, Adamie :)

    Odpowiedz
    • 2015.10.06 20:53 Adam

      Pisać o tym na pewno ktoś pisał – lecz nie kojarzę, by było użyte w prawdziwym ataku. Jeśli się mylę to chętnie zobaczę, bo to ciekawe.

      Odpowiedz
  • 2015.10.06 17:13 qiweuiue

    Pewna chińska o ile się nie mylę grupa APT notorycznie wykorzystywała motywy ze znakami specjalnymi w nazwach plików.

    Odpowiedz
  • 2015.10.06 17:51 kiler129

    OS X renderuje po prostu „?” w nazwie pliku ;)

    Odpowiedz
  • 2015.10.06 18:28 Oczko21

    —–BEGIN PGP SIGNED MESSAGE—–
    Hash: SHA1

    hmm… Z3S Dziękuje że jesteście, swoimi materiałami inspirujecie innych użytkowników do działania.
    Dziękujemy.
    —–BEGIN PGP SIGNATURE—–
    Version: GnuPG v1.4.12 (MingW32)

    iQIcBAEBAgAGBQJWE/Z2AAoJEGA9saPVrRrwVlcP/RVPo0kPwjmE9FVvjonbtlji
    w2YW6FWBtrlulhmwRTM7+MHs+X7vnP4ZNtFIvIkKT9tbMmrAdnYbsT14PGYJWS+R
    xe6xF+vnDhtt10R+3y30S0r+RxGtMFWwDN5Gjc6R9UYUYEptnW4R0YVDJbT1+VAZ
    MdChz8B/suhNMsXiONn7vbUImPeMygDh+i0HSShtG+lvmJhd2hatE/7NNDRf+19K
    2WXuP9Q1PNQ0oqCbMkxnJ2dq6qbnh/ObStlzJSVJtUooS+E0NcAk0EGPn1LrbKCr
    Lw6Jgl49rLH14b0xlwNLtVtU1/PX+OL6Inl177fHPhH0bQV4e39y6rGCebldZnuI
    zuDHiNoqUx5daaQzD1YSMK6Zeu/U1345j8eAfb/CjLBTueLFMGMPf/6/D8aYY1wG
    Lu3cpjgPzvLcVntvcqzvZLQRFMOe9B5eKN13+Dbj2uw1wt+ZJx20WSia5z6+IuCd
    M1aDpBUuhN5Umaq9KIl9QeVQRUf0EKvDRsOYzPq2CbV9o9WYfMspAMaieBM0RnKp
    hxh9ET2zodbiCWBdLyGb6Ab66CSSS0+SUmopfhQnYCRWDOobRM0E/LIvPxU/8kN8
    MhNESCHDlgCn+IWEElC2osqxKQfXNECeudrd44mR/iKcEcxxjntR/fbv0a/Pczjs
    3OsVowk/zTPICvJE9A4H
    =Ig9b
    —–END PGP SIGNATURE—–

    Odpowiedz
  • 2015.10.06 19:08 Stare ale jare

    Przed otworzeniem pewnie zastanawiał bym się co jest z tym r ale numer dobry. Kotoś sprawdzał na win7 ?

    pozdro

    Odpowiedz
  • 2015.10.06 19:38 r00t0

    Fajne :) kolegów można tym nabrać

    Odpowiedz
  • 2015.10.06 19:54 hahshdkdk

    Ciekawią mnie dwie rzeczy.

    1. Czy gdyby ofiara miała samego firewalla wgranego, ustawionego by alerty dawał przy każdym programie (nawet zaufanym), to po odpaleniu pliku, firewall by zareagował, czyli zabezpieczył przed wyciekiem danych?

    2. Czy gdyby ofiara miała HIPS, to wtedy plik nie zrobiłby niczego złego, bo byłby spam komunikatów od HIPSa? A ofiara by nie zezwoliła na nic wiedząc, że przy odpalaniu pdfa by alertów nie było.

    Odpowiedz
    • 2015.10.07 15:42 steppe

      Głównie trzeba odpowiedzieć na pytanie, jak ktoś skonfigurował te rozwiązania. Jeśli dobrze, to powinny pokazać się alarmy. W 2. punkcie sprawa mocno dotyczy tego, o czym jest wzmianka w artykule: przeszkolenia i świadomości użytkownika :D

      Odpowiedz
  • 2015.10.06 19:56 hahshdkdk

    A gdyby ktoś odpalił ten plik na linuxie to nic by się nie stało? Czy mogłoby się coś stać? (oczywiście zakładamy, że nie odpala pliku jako root, ale linuxiarz ma zainstalowany WINE oraz jak większość linuxiarzy, nie zaprząta sobie głowy firewallem).

    Odpowiedz
  • 2015.10.06 21:46 RoTepublic

    No sie nareszcie za tych bandziorkow ktos wzial. Mam nadzieje ze skuteczny atak to byl i paru kolesi zostalo zdemaskowanych.

    Odpowiedz
  • 2015.10.06 22:51 s

    Każdy system ma na koncie koszmarne wpadki, np. Stagefright w Androidzie, ale Microsoft bije wszystko na głowę tym jak jego systemy pozwalają na manipulację rozszerzeniami i majstrowanie z nazwą pliku. Problem podwójnego rozszerzenia znany jest od lat i mimo faktu, że jest powszechnie wykorzystywany do ataków to systemy nadal nie zostały przed nim zabezpieczone. A opisany wariant bije na głowę wszystko. Niech mi ktoś wytłumaczy na cholerę system parsuje ten znak odwracania kolejności w nazwach plików, a do tego parsuje go już po wyświetleniu nazwy, a przed otworzeniem przez system?

    Odpowiedz
    • 2015.10.07 08:53 Andrzej

      Popieram.
      Foch++

      Odpowiedz
    • 2015.10.09 04:42 SasQ

      Z tego samego powodu, dla którego wprowadzono obsługę Unicode. Niekiedy przydaje się możliwość pisania nazw plików ze znakami z różnych „odwrotnych” języków, jak arabski, hebrajski itd. I wtedy taki znak przychodzi z pomocą. To, że ktoś może go wykorzystać w niecnych celach, to już osobna historia…

      Odpowiedz
  • 2015.10.07 01:02 Ostrzegamy

    „Warto zatem ostrzec przed takim trikiem przestępców” :-)

    Najpierw przestępców, a później zwykłych użytkowników.

    Odpowiedz
  • 2015.10.07 08:11 Tomek

    Ładne nazwy jotpegów :D

    Odpowiedz
  • 2015.10.07 08:37 rekt jp2gmd

    Nawet przy pobieraniu Tor Browsera jest napisane:
    Don’t open documents downloaded through Tor while online

    The Tor Browser will warn you before automatically opening documents that are handled by external applications. DO NOT IGNORE THIS WARNING. You should be very careful when downloading documents via Tor (especially DOC and PDF files) as these documents can contain Internet resources that will be downloaded outside of Tor by the application that opens them. This will reveal your non-Tor IP address. If you must work with DOC and/or PDF files, we strongly recommend either using a disconnected computer, downloading the free VirtualBox and using it with a virtual machine image with networking disabled, or using Tails. Under no circumstances is it safe to use BitTorrent and Tor together, however.

    Odpowiedz
  • 2015.10.07 09:31 nie

    reg delete „HKEY_CLASSES_ROOT\.scr” /f
    reg delete „HKEY_CLASSES_ROOT\scrfile” /f
    shutdown -r -t 0

    Odpowiedz
  • 2015.10.07 14:59 user

    Linix Mint nabiera się na ta sztuczke
    http://i.imgur.com/XFBOLHI.png

    Odpowiedz
    • 2015.10.11 07:52 marsjaninzmarsa

      Na szczęście ikonka i mimetype są wyświetlane poprawnie. :)

      Odpowiedz
  • 2015.10.07 22:36 teścior

    ;) https://zaufana‮ lp.anortsaicezrt

    Odpowiedz
  • 2015.10.14 15:17 Krzysiek

    W tym temacie mam tylko jedno do powiedzenia:
    ¡¡ıʞuoɹpǝıq z ʎɹnʇɐıʍɐlʞ ǝıɔɾndnʞ ǝıu
    ;)

    Odpowiedz

Zostaw odpowiedź do Oczko21

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Niebezpieczna sztuczka użyta w ataku na użytkowników ToRepublic

Komentarze