Dosya uzantılarına bakarak bir dosyanın gerçekten bir resim, video, PDF veya metin dosyası olduğunu garanti edemezsiniz. Saldırganlar, Windows'ta bir PDF'yi bir EXE gibi yürütebilir.
Bu oldukça tehlikelidir, çünkü internetten PDF sanarak indirdiğiniz bir dosya aslında çok zararlı bir virüs içerebilir. Saldırganların bunu nasıl yaptığını hiç merak ettiniz mi?
Truva Virüslerinin Açıklaması
Truva virüsleri, adını Yunan mitolojisindeki Achaean'ların (Yunanlılar) Anadolu'daki Truva kentine saldırmasından alır. Truva bugünkü Çanakkale ili sınırları içerisinde yer almaktadır. Anlatılara göre Yunan krallarından Odysseus tarafından Truva şehrinin surlarını aşmak için yaptırılan maket bir tahta at vardır. Askerler bu modelin içine saklanarak gizlice şehre girdiler. Merak ediyorsanız, bu at modelinin bir kopyası hala Çanakkale'de bulunuyor.
Truva atı bir zamanlar zekice bir aldatmacayı ve dahiyane bir mühendislik harikasını temsil ediyordu. Ancak bugün, tek amacı tespit edilmeden hedef bilgisayarlara zarar vermek olan kötü amaçlı dijital kötü amaçlı yazılım olarak görülüyor. Bu virüse trojan denir fark edilmeme ve zarar verme kavramından dolayı.
Truva atları parolaları okuyabilir, klavyenizde bastığınız tuşları kaydedebilir veya tüm bilgisayarınızı rehin alabilir. Bu amaç için oldukça küçüktürler ve ciddi hasara neden olabilirler.
RLO Yöntemi Nedir?
Arapça, Urduca ve Farsça gibi birçok dil sağdan sola yazılabilir. Birçok saldırgan, çeşitli saldırılar başlatmak için bu dil yapısını kullanır. Soldan başlayarak okuduğunuzda sizin için anlamlı ve güvenli görünen bir metin, aslında sağdan yazılmış ve bambaşka bir dosyaya gönderme yapıyor olabilir. Sağdan sola yazılan dillerle uğraşmak için Windows işletim sisteminde bulunan RLO yöntemini kullanabilirsiniz.
Windows'ta bunun için bir RLO karakteri var. Bu karakteri kullandığınız anda bilgisayarınız artık metni sağdan sola doğru okumaya başlayacaktır. Bunu kullanan saldırganlar, yürütülebilir dosya adlarını ve uzantılarını gizlemek için iyi bir fırsat yakalar.
Örneğin, İngilizce bir kelimeyi soldan sağa yazdığınızı ve bu kelimenin Yazılım olduğunu varsayalım. T harfinden sonra Windows karakteri RLO'yu eklerseniz, bundan sonra yazdığınız her şey sağdan sola okunacaktır. Sonuç olarak, yeni kelimeniz Softeraw olacaktır.
Bunu daha iyi anlamak için aşağıdaki şemayı inceleyin.
Bir Truva Atı PDF'e Konabilir mi?
Bazı kötü amaçlı PDF saldırılarında, PDF'nin içine açıklardan yararlanma veya kötü amaçlı komut dosyaları yerleştirmek mümkündür. Birçok farklı araç ve program bunu yapabilir. Üstelik bunu herhangi bir program kullanmadan PDF'in mevcut kodlarını değiştirerek yapmak da mümkün.
Ancak, RLO yöntemi farklıdır. RLO yöntemi ile saldırganlar, hedef kullanıcıyı kandırmak için mevcut bir EXE'yi sanki bir PDF'miş gibi sunar. Yani sadece EXE'nin görüntüsü değişir. Hedef kullanıcı ise bu dosyayı masum bir PDF olduğuna inanarak açar.
RLO Yöntemi Nasıl Kullanılır?
RLO yöntemiyle bir EXE'nin PDF olarak nasıl gösterileceğini açıklamadan önce aşağıdaki görseli inceleyin. Bu dosyalardan hangisi PDF?
Bunu bir bakışta belirleyemezsiniz. Bunun yerine, Y=dosyanın içeriğine bakmanız gerekir. Ancak merak ediyorsanız, soldaki dosya gerçek PDF'dir.
Bu numarayı yapmak oldukça kolaydır. Saldırganlar önce kötü amaçlı kod yazar ve derler. Derlenen kod exe formatında bir çıktı verir. Saldırganlar bu EXE'nin adını ve simgesini değiştirerek görünümünü bir PDF'e dönüştürür. Peki adlandırma işlemi nasıl işliyor?
RLO'nun devreye girdiği yer burasıdır. Örneğin, adında bir EXE'niz olduğunu varsayalım. iamsafefdp.exe. Bu aşamada saldırgan, arasına bir RLO karakteri koyacaktır. güvendeyim Ve fdp.exe ile dosyayı yeniden adlandır. Windows'ta bunu yapmak oldukça kolaydır. Yeniden adlandırırken sağ tıklayın.
Burada anlamanız gereken tek şey, Windows'un RLO karakterini gördükten sonra sağdan sola doğru okuduğudur. Dosya hala bir EXE. Hiçbir şey değişmedi. Sadece görünüşte bir PDF gibi görünüyor.
Saldırgan bu aşamadan sonra artık EXE'in ikonunu bir PDF ikonu ile değiştirecek ve bu dosyayı hedef kişiye gönderecektir.
Aşağıdaki resim bir önceki sorumuzun cevabıdır. Sağda gördüğünüz EXE, RLO yöntemi kullanılarak oluşturuldu. Görünüşte, her iki dosya da aynıdır, ancak içerikleri tamamen farklıdır.
Bu Tür Saldırılardan Nasıl Korunabilirsiniz?
Pek çok güvenlik sorununda olduğu gibi, bu güvenlik sorununda da alabileceğiniz birkaç önlem vardır. Birincisi, açmak istediğiniz dosyayı kontrol etmek için yeniden adlandırma seçeneğini kullanmaktır. Yeniden adlandır seçeneğini seçerseniz, Windows işletim sistemi dosya uzantısı dışındaki alanı otomatik olarak seçecektir. Böylece seçilmeyen kısım, dosyanın gerçek uzantısı olacaktır. Seçili olmayan kısımda EXE formatını görürseniz bu dosyayı açmamalısınız.
Komut satırını kullanarak gizli bir karakterin girilip girilmediğini de kontrol edebilirsiniz. Bunun için basitçe kullan yön emretmek aşağıdaki gibi.
Yukarıdaki ekran görüntüsünde de görebileceğiniz gibi, adlı dosyanın adında bir gariplik var. faydalı. Bu, şüphelenmeniz gereken bir şey olduğunu gösterir.
Bir Dosyayı İndirmeden Önce Önlem Alın
Gördüğünüz gibi basit bir PDF dosyası bile cihazınızın saldırganların kontrolüne geçmesine neden olabilir. Bu yüzden internette gördüğünüz her dosyayı indirmemelisiniz. Ne kadar güvenli olduklarını düşünürseniz düşünün, her zaman iki kere düşünün.
Bir dosyayı indirmeden önce alabileceğiniz birkaç önlem vardır. Öncelikle indirme yaptığınız sitenin güvenilir olduğundan emin olmalısınız. İndireceğiniz dosyayı daha sonra online olarak kontrol edebilirsiniz. Her şeyden eminseniz, bu kararı vermek tamamen size kalmış.