이중 확장으로 악성 파일 이해 | Stewart 권원 블로그

가악은 세부사항에 있습니다. 오늘 저는 악의적인 것 외에는 절대적으로 합법적인 목적이 없는 기법을 설명하고자 합니다. 이중 내선 번호. Microsoft® Windows® 세계에서 파일 확장자는 파일을 열 프로그램을 나타내므로 매우 중요합니다. 예를 들어 document.doc는 Word로 열리지만 document.txt는 메모장으로 열립니다. Windows 운영 체제에서 가능한 모든 파일 확장명에는 이와 관련된 프로그램이 있습니다. 그렇지 않으면 Windows에서 어떤 프로그램을 사용할지 묻습니다. 지금까지는 간단했나요? 일부 연장은 매우 위험하다는 점을 인식하는 것이 중요합니다. 피해자를 속여 악성 프로그램 대신 합법적인 문서(.doc)를 열고 있다고 생각하는 공격자는 이중 확장을 생성합니다. 이 예제(이미지 1)에서는 Microsoft Word가 아닌 기본 웹 브라우저가 첨부된 'Scanned.doc.htm' 파일을 엽니다. 가장 오른쪽 기간 이후의 마지막 3개 또는 4개 문자만 파일 확장자를 결정합니다. 파일 이름의 다른 점은 파일 이름의 비감각적인 부분일 뿐이며, 운영 체제에서는 이를 무시합니다.


http://blog.stewart.com/stewart/wp-content/uploads/sites/11/205740/7/60061_571322236691375_7361251101242294272_n.jpg

그러나 이 예는 비교적 양성 공격이었습니다. 범죄자가 수령인에게 첨부된 파일이 Word 문서라는 것을 설득하려고 했기 때문입니다. 동일한 유형의 더 심각한 범죄는 파일 확장자가 '.com'(실행 가능) 또는 '.vbs'(스크립트) 또는 '.ps1'(PowerShell®)로 종료되는 경우입니다. 그걸 열어보면 정말 곤경에 처할 거예요. 이러한 모든 확장자는 파일 내에 있는 의 실행과 관련이 있습니다.

이제 이를 악의적인 것으로 보고하지 않고 대신 열면 어떻게 될지 살펴보겠습니다. 'Scanned.doc.htm'을 열려면 기본 브라우저가 페이지(이미지 2)를 열면 링크가 포함된 빈 웹 페이지만 표시됩니다. 링크를 클릭하면 피싱꾼의 웹 사이트(이미지 3)에 자격 증명이 표시됩니다. (예, 피싱 사이트로 알려져 있습니다.)


http://blog.stewart.com/stewart/wp-content/uploads/sites/11/205838/7/67709_571322263358039_3841328434970099712_n.jpg


http://blog.stewart.com/stewart/wp-content/uploads/sites/11/205756/7/65431_571322300024702_4897819028904476672_n.jpg

오늘 무엇을 배웠나요? 이중 내선 번호가 있는 첨부 파일이 있으면 전체 E-mail을 즉시 삭제합니다. 결코 적법하지 않을 것입니다.

클릭하기 전에 생각하십시오.

Powered by