了解具有双扩展名的恶意文件 | Stewart Title 博客
”魔鬼在细节,”他们说。今天,我想解释一种除了恶意之外绝对没有合法目的的技术:双延伸。在 Microsoft® Windows® 世界中,文件扩展名至关重要,因为它指示哪个程序将打开文件。例如,document.doc 将由 Word 打开,而 document.txt 将由 Notepad 打开。Windows 操作系统中的每个可能的文件扩展名都有一个与之关联的程序。如果没有,Windows会问你使用什么程序。到目前为止很简单?重要的是要意识到一些扩展是非常危险的。想要欺骗受害者以为自己正在打开合法文件(.doc)而不是恶意程序的攻击者将创建一个双重扩展。在此示例中(图 1),默认 Web 浏览器而非 Microsoft Word 将打开附加的“Scanned.doc.htm”文件。只有最右边时期之后的最后三个或四个字母决定文件扩展名。文件名中的任何其他点只是文件名的无意义部分,被操作系统忽略。
然而,这个例子是一个相对良性的攻击,因为罪犯试图说服收件人,所附的文件是Word文件。如果文件扩展名以“.com”(可执行文件)或“.vbs”(脚本)或“.ps1”(PowerShell®)结尾,则属于同一类型的更严重罪行。如果你要打开这些,你会遇到真正的麻烦。所有这些扩展名都与执行文件内的任何内容相关联。
现在,让我们看看如果你不将此报告为恶意,而是打开它,会发生什么。如果您要打开“Scanned.doc.htm”,您的默认浏览器将打开页面(图 2),该页面只显示一个空白的网页,里面有一个链接。如果您要点击链接,您将最终进入网络钓鱼者的网站(图 3),提示您提供凭据。(是的,它被称为网络钓鱼网站。)
那么,我们今天学到了什么?如果您看到任何带有双分机的附件,请立即删除整个电子邮件。它永远不会是合法的。
在点击之前先思考。