Всем привет.
Часто меня спрашивают в личной переписке, как-же запустить своего зверька у жертвы.
Обычно я советую прибегать к СИ (социальная инженерия), что-бы "жертва" сама запустила зверька.
Но есть способы автозапуска, использующие уязвимости, причем не такие-уж и сложные в реализации.
Хочу рассказать об одном таком способе, вернее заклятые друзья всех вирусописателей, ЛК, сами рассказали в своем исследовании (ацкий смех).
Вообще способ древний, тут где-то на форуме года два назад обсуждалось, смысл в том что-бы использовать в имени файла специальный непечатыемый символ, котоый перевернет символы в имени файла, пример:
photo_high_re*U+202E*gnp.js
Где *U+202E* — RLO символ, реально файл будет отображаться так photo_high_rejs.png.
Но при этом файл будет исполняться как js, или например как exe.
На этом и основана атака например в месседжере Телеграмм:
Процесс эксплуатации такой уязвимости в Telegram выглядел следующим образом:
Так-что будьте осторожны, не всегда картинка, на самом деле картинка ! :)
Часто меня спрашивают в личной переписке, как-же запустить своего зверька у жертвы.
Обычно я советую прибегать к СИ (социальная инженерия), что-бы "жертва" сама запустила зверька.
Но есть способы автозапуска, использующие уязвимости, причем не такие-уж и сложные в реализации.
Хочу рассказать об одном таком способе, вернее заклятые друзья всех вирусописателей, ЛК, сами рассказали в своем исследовании (ацкий смех).
Вообще способ древний, тут где-то на форуме года два назад обсуждалось, смысл в том что-бы использовать в имени файла специальный непечатыемый символ, котоый перевернет символы в имени файла, пример:
photo_high_re*U+202E*gnp.js
Где *U+202E* — RLO символ, реально файл будет отображаться так photo_high_rejs.png.
Но при этом файл будет исполняться как js, или например как exe.
На этом и основана атака например в месседжере Телеграмм:
Процесс эксплуатации такой уязвимости в Telegram выглядел следующим образом:
- Злоумышленник подготавливает зловред к отправке. Например, JS-файл он переименовывает следующим образом:
evil.js -> photo_high_re*U+202E*gnp.js
Где *U+202E* — RLO символ, который должен заставить Telegram перевернуть оставшиеся символы gnp.js. Обратите внимание, что это — все тот же файл с расширением *.js. - Атакующий отправляет сообщение и вместо JS-файла получатель видит — сюрприз! — PNG-картинку:
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
- При клике по файлу появится стандартное уведомление безопасности Windows:
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Так-что будьте осторожны, не всегда картинка, на самом деле картинка ! :)