在网络钓鱼中经常会使用一种扩展名欺骗的手法,通过给文件名插入Unicode RLO控制字符,让后续文字显示时从右向左(逆向显示文字),从而达到扩展名欺骗的目的。这种攻击在早期网络中命名为“逆名欺骗”攻击。具体怎么做呢?
在windows操作系统上,我们假设有一个文件名为GIMP.exe,如图所示:
我们选中这个文件右键重命名(或者按F2)进入文件名编辑状态,我们先把.exe给删除,然后再在这个编辑框中右键鼠标还会出一个菜单,我们注意到有个区域显示了一组我们很少使用到的功能菜单。这时我们可以勾选”显示 Unicode 控制字符(S)“(不选也没事),然后从 “插入 Unicode 控制字符(I)” 子菜单中选择“ RLO Start of right-to-left override” ( 开始右对左覆盖,表示从该点开始的文字将按照从右向左的顺序来显示):
然后我们输入:xcod.exe,回车,发现他显示为GIMPexe.docx 。
我们看着文件的扩展名成了.docx,但是操作系统并这么认为,操作系统实际知道他的扩展名还是exe。因为这个文件名实际上是”GIMP\u202Excod.exe”,\u202E就是我们插入的RLO控制字符-改变了后续文本的显示顺序,但是这个巧妙的实现了对人眼欺骗。
还可以写一个简单的py脚本来实现重命名:
import os
name = "\u202Excod.exe"
os.rename(os.path.join(os.getcwd(),'GIMP.exe'),os.path.join(os.getcwd(),"GIMP"+name))Code language: JavaScript (javascript)我们来把这个脚本保存成1.py,跑一下如图所示:
