Hiểu các tệp độc hại với hai lần mở rộng | Blog của Stewart Title
Phát hành trên: Ngày 8 tháng sáu năm 2019
BỞI GENADY VISHNEVETSKY
"Quỷ dữ ở trong chi tiết," họ nói như vậy. Hôm nay tôi muốn giải thích một kỹ thuật hoàn toàn không phục vụ mục đích hợp pháp nào khác ngoài mục đích độc hại: mở rộng gấp đôi. Trong thế giới Microsoft® Windows®, phần mở rộng tệp là rất quan trọng vì nó cho biết chương trình nào sẽ mở tệp. Ví dụ: document.doc sẽ được mở bởi Word, nhưng document.txt sẽ được mở bởi Notepad. Mỗi phần mở rộng tệp có thể có trong hệ điều hành Windows đều có một chương trình liên kết với nó. Nếu không, Windows sẽ hỏi bạn nên sử dụng chương trình nào. Cho đến nay thì sao? Điều quan trọng cần lưu ý là một số phần mở rộng rất nguy hiểm. Kẻ tấn công muốn lừa dối nạn nhân của mình nghĩ rằng mình đang mở một tài liệu hợp pháp (.doc) thay vì một chương trình độc hại sẽ tạo ra một phần mở rộng kép. Trong ví dụ này (hình 1), trình duyệt Web mặc định, thay vì Microsoft Word, sẽ mở tệp "Scanned.doc.htm" đính kèm. Chỉ có ba hoặc bốn chữ cái cuối cùng sau khoảng thời gian tận cùng bên phải xác định phần mở rộng tệp. Bất kỳ dấu chấm nào khác trong tên tệp chỉ là các phần vô nghĩa của tên tệp, bị hệ điều hành bỏ qua.
Tuy nhiên, ví dụ này là một cuộc tấn công tương đối lành tính vì tên tội phạm đang cố gắng thuyết phục người nhận rằng tệp đính kèm là tài liệu Word. Một hành vi phạm tội nghiêm trọng hơn cùng loại sẽ là nếu phần mở rộng tệp kết thúc bằng ".com" (có thể thực thi) hoặc ".vbs" (kịch bản) hoặc ".ps1" (PowerShell®). Nếu bạn mở những thứ đó, bạn sẽ gặp rắc rối thực sự. Tất cả các phần mở rộng này đều liên quan đến việc thực thi bất kỳ nội dung nào bên trong tệp.
Bây giờ, hãy xem điều gì sẽ xảy ra nếu bạn không báo cáo điều này là độc hại và thay vào đó, hãy mở nó. Nếu bạn mở "Scanned.doc.htm", trình duyệt mặc định của bạn sẽ mở trang (hình ảnh 2), trang này sẽ hiển thị không có gì ngoài một trang Web trống có liên kết bên trong. Nếu bạn nhấp vào liên kết, bạn sẽ kết thúc trên trang web của phisher (hình ảnh 3) nhắc bạn xác thực. (Và có, đó được biết đến là một trang web lừa đảo.)
Vậy, hôm nay chúng ta đã học được gì? Nếu bạn thấy bất kỳ tệp đính kèm nào có phần mở rộng kép, hãy xóa toàn bộ email ngay lập tức. Nó sẽ không bao giờ hợp pháp.
Hãy suy nghĩ trước khi nhấp chuột.