Práctico: Cómo ocultar las extensiones de ficheros gracias a la codificación Unicode

De -
No es algo nuevo pero últimamente, el malware se está aprovechando de
esta característica especial de codificación que permite "engañar" al
usuario para que crean que un archivo ejecutable no lo es, puesto que
ciertos programas lo muestran de forma diferente. Vamos a ver cómo
conseguir esto exactamente.

El objetivo del malware es (de toda la vida) intentar que se lance un
fichero ejecutable en el sistema. La distribución por correo de estos
binarios todavía goza de bastante éxito, así que los atacantes buscan
nuevas formas de hacer pensar a la víctima que en realidad está lanzando
un archivo inofensivo. Para conseguirlo, se están ayudando de un
carácter especial de la codificación Unicode. Esta codificación está
pensada para representar multitud de idiomas, incluidos los que se
muestran de derecha a izquierda (como el árabe o hebreo). Para ellos,
Unicode implementa una serie de códigos especiales llamados "Right to
Left" (RTL). A todo lo escrito a partir de ese código Unicode, se le
"dará la vuelta" cuando es representado, además de que el código en sí
es invisible.

¿Qué ocurre si aprovechamos esta funcionalidad para los nombres de
fichero? Pues que podemos hacer que un archivo "Presupuestoslx.cmd"
(con extensión real .cmd, o sea, ejecutable) le aparezca al usuario
como "Presupuestocmd.xls" en el explorador de Windows, en su cliente
de correo... en todos los programas que soporten esta codificación.
Veamos cómo y por qué.

En realidad, este nombre de archivo se ha "escrito" así:
Presupuesto[U+202E]slx.cmd

Insertando el carácter invisible y especial [U+202E] en el punto exacto,
pero Windows, lo mostrará (configurado para mostrar las extensiones...
si se ocultan ni siquiera serían necesarias estas técnicas para
disfrazar a los ejecutables): Presupuestodmc.xls

No a todos los programas lo muestran igual.

Y, lo que es peor, Windows lo tratará como indica su extensión original,
esto es, como un ejecutable "cmd", lo que significa que lo ejecutará si
se lanza. Otros ejemplos:

* Presupuesto[U+202E]cod.exe, Windows lo mostrará como
Presupuestoexe.doc
* Presupuesto[U+202E]txt.exe, Windows lo mostrará como
Presupuestoexe.txt

Si se modifica el icono del archivo (trivial), el engaño es total.

Cómo conseguirlo de forma práctica

Para construir el nombre, podemos ayudarnos de charmap.exe (el mapa de
caracteres) en Windows. Copiamos y pegamos el carácter 202E en Unicode
(que corresponde con el RTLO, Right to Left Override, aunque con otros
caracteres se puede hacer) en el punto adecuado del nombre de archivo
a la hora de renombrar, y se conseguirá el efecto.

Cuando se deja el puntero sobre el fichero, se observará que se
"sombrea" de forma diferente. Las flechas de dirección al recorrerlo
también estarán "cambiadas".

No sólo en las extensiones


Esta técnica es aplicable también a direcciones URL, por ejemplo.

En definitiva, nada nuevo. Esta funcionalidad se conoce desde hace
tiempo pero sí es cierto que ahora, y sobre todo en China, parece que
está siendo más aprovechado que nunca por los creadores de malware,
puesto que no todas las soluciones de seguridad la tienen en cuenta...
y por tanto resulta más "sencillo" eludir restricciones.

Comentarios

Publicar un comentario

Entradas populares de este blog

Corcho Pedagogico

De -
Imagen
Un Supervisor visitó una escuela primaria.        En su recorrida observó algo que le llamó la atención: una maestra estaba atrincherada atrás de su escritorio,los alumnos hacían un gran desorden; el cuadro era caótico.         Decidió presentarse:"Permiso, soy el Supervisor... ¿Algún problema?"         "Estoy abrumada señor, no sé qué hacer con estos chicos... No tengo láminas, no tengo libros, el ministerio no me manda material didáctico, no tengo recursos electrónicos, no tengo nada nuevo que mostrarles ni qué decirles..."          El inspector que era un "Docente de Alma", vio un corcho en el desordenado escritorio, lo tomó y con aplomo se dirigió a los chicos:          ¿Qué es esto? “Un corcho señor "....gritaron los alumnos sorprendidos.         "Bien, ¿De dónde sale el corcho?".         "De la botella señor. Lo coloca una máquina...", "del alcornoque... de un árbol"... "de la madera...",respondían a
Leer más

Significado oculto en los nombres de los programas

De -
Los números de versión son, en ocasiones, todo un enigma. Por lo general, nos dicen de dónde viene un programa y cuánto camino ha recorrido, siguiendo una notación más o menos estándar que refleja las  fases de desarrollo  de un programa. Sin embargo, nosotros creemos que el nombre y la versión de un programa puede decir mucho más. Es por ello que nuestro grupo de expertos lingüistas han interpretado  qué quieren decirnos los programadores con los términos más comunes . Son los siguientes: Alpha Tenía una idea interesante, pero me da pereza desarrollarla Beta Si tiene errores nadie podrá culparme de ello RC El jefe nos amenaza con la carta de despido si no lo terminamos ya RTM Igual a la version final, pero queremos que nuestros clientes se sientan especiales Stable No explota, pero está obsoleta. Unstable Contiene las novedades interesantes, si es que funcionan Build xx Yo compilo mis programas, ¿te enteras? 0.xx Me da vergüenza llamar programa a est
Leer más

El Bidet

De -
Imagen
En un chat multitudinario con amigos surgió un tema interesante: ¿Cómo usás el bidet? No "para qué", eso es sabido; sino, ¿cómo te sentás? La mayoría lo usábamos igual, sentados de espaldas a la pared, manejando las canillas al tacto; pero uno viene con una teoría irrefutable: "El bidet debe usarse de frente a la pared porque el cosito por el que sale el agua te queda justo en el hoyo, podés ver las canillas, la jabonera y la toalla". Tiene lógica, pienso. Cuando me toque, voy a probar. A la mañana siguiente, me tomo mi café... efecto instantáneo. Abrigadito con mi bata me juego un jueguito en el celu mientras hago lo que tengo que hacer en el inodoro. Termino. Hora del buche. Me acuclillo apenas y pivoteo en un pie dando medio giro, casi como en una coreografía de Ginger Rogers; y estaciono en una maniobra sobre el bidet, de frente a la pared. ¡Genial! Puedo acceder a las canillas,   mezclo la caliente con la fría hasta lograr la tibieza justa, manejo la presión
Leer más