Ocultar extensiones de ficheros con codificación Unicode


No es algo nuevo pero últimamente, el malware se está aprovechando de esta característica especial de codificación que permite engañar al usuario para que crea que un archivo ejecutable no lo es, puesto que ciertos programas lo muestran de forma diferente. Vamos a ver cómo conseguir esto exactamente.





El objetivo del malware es (de toda la vida) intentar que se lance un fichero ejecutable en el sistema. La distribución por correo de estos binarios todavía goza de bastante éxito, así que los atacantes buscan nuevas formas de hacer pensar a la víctima que en realidad está lanzando un archivo inofensivo. Para conseguirlo, se están ayudando de un carácter especial de la codificación Unicode. Esta codificación está pensada para representar multitud de idiomas, incluidos los que se muestran de derecha a izquierda (como el árabe o hebreo). Para ellos, Unicode implementa una serie de códigos especiales llamados "Right to Left" (RTL). A todo lo escrito a partir de ese código Unicode, se le "dará la vuelta" cuando es representado, además de que el código en sí es invisible.

¿Qué ocurre si aprovechamos esta funcionalidad para los nombres de fichero? Pues que podemos hacer que un archivo "Presupuestoslx.cmd" (con extensión real .cmd, o sea, ejecutable) le aparezca al usuario como "Presupuestocmd.xls" en el explorador de Windows, en su cliente de correo... en todos los programas que soporten esta codificación. Veamos cómo y por qué.

En realidad, este nombre de archivo se ha "escrito" así: Presupuesto[U+202E]slx.cmd

Insertando el carácter invisible y especial [U+202E] en el punto exacto, pero Windows, lo mostrará (configurado para mostrar las extensiones... si se ocultan ni siquiera serían necesarias estas técnicas para disfrazar a los ejecutables): Presupuestodmc.xls

No todos los programas lo muestran igual. Por ejemplo en la siguiente imagen se observa que Total Commander lista el mismo fichero con su extensión real.

1

Y, lo que es peor, Windows lo tratará como indica su extensión original, esto es, como un ejecutable "cmd", lo que significa que lo ejecutará si se lanza. Otros ejemplos:

* Presupuesto[U+202E]cod.exe, Windows lo mostrará como Presupuestoexe.doc
* Presupuesto[U+202E]txt.exe, Windows lo mostrará como Presupuestoexe.txt

Si se modifica el icono del archivo (trivial), el engaño es total.

Cómo conseguirlo de forma práctica

Para construir el nombre, podemos ayudarnos de charmap.exe (el mapa de caracteres) en Windows. Copiamos y pegamos el carácter 202E en Unicode (que corresponde con el RTLO, Right to Left Override, aunque con otros caracteres se puede hacer) en el punto adecuado del nombre de archivo a la hora de renombrar, y se conseguirá el efecto.

2

Cuando se deja el puntero sobre el fichero, se observará que se "sombrea" de forma diferente. Las flechas de dirección al recorrerlo también estarán "cambiadas".

3

No sólo en las extensiones

Siempre que el programa soporte este tipo de codificación y no restringa el uso de RTL, es posible realizar algún tipo de engaño visual. Nuestro compañero José Mesa ha creado este correo en el que se engaña al usuario sobre el dominio de la dirección de correo a la que se responde. Por ejemplo, se recibe un email de moc.cesapsih@gmail.com, y al "responder a", el cliente lo hará a moc.liamg@hispasec.com. Para conseguirlo, simplemente se han usado uno de estos caracteres especiales en el fichero .eml para codificar la dirección. Hemos colgado el fichero aquí:

http://blog.hispasec.com/laboratorio/images/noticias/testUnicode.eml

Esta técnica es aplicable también a direcciones URL, por ejemplo.

En definitiva, nada nuevo. Esta funcionalidad se conoce desde hace tiempo pero sí es cierto que ahora, y sobre todo en China, parece que está siendo más aprovechado que nunca por los creadores de malware, puesto que no todas las soluciones de seguridad la tienen en cuenta... y por tanto resulta más "sencillo" eludir restricciones.

Más Información:

Unicode Security Considerations
http://unicode.org/reports/tr36/tr36-8.html

Unicode Character 'RIGHT-TO-LEFT OVERRIDE' (U+202E)
http://www.fileformat.info/info/unicode/char/202e/index.htm

How to enter Unicode characters in Microsoft Windows
http://www.fileformat.info/tip/microsoft/enter_unicode.htm

Fuente de la Información:

Sergio de los Santos - Twitter: @ssantosv
José Mesa Orihuela
http://www.hispasec.com



Otras noticias de interés:

Burla al Pueblo Venezolano
El CNE (Consejo Nacional Electoral) a mostrado una vez más que es manipulado de una forma vil y descarada por Hugo Chavez Frías (Presidente de Venezuela.... por ahora!) Como se puede leer en los diferentes diarios y v...
VALVe portará Source a GNU/Linux
Una noticia que probablemente muchos han deseado alguna vez leer. La migración del motor implica que podremos disfrutar de juegos como Half-Life 2 o Counter-Strike: Source de forma nativa en GNU/Linux....
Microsoft, ¿No quedamos en dejar de utilizar MD5? (I)
Cesar Cerrudo ha presentado un método que podría ser usado para elevar privilegios en Windows de forma relativamente sencilla. Solo es necesario realizar un ataque second-preimage. O sea, A partir de un fichero de sistema, crear otro con un mis...
¿Porque defiendo el Software Libre?
Los creadores de «Falsa Conciencia»[1] frecuentemente trastocan semánticas[2] para que los discursos confundan. Muchos de los que no hemos estudiado suficiente las ciencias de la comunicación somos víctimas al repetir ortogramas[3] de este ti...
Localizando (físicamente) routers inalámbricos a partir del identificador emitido (BSSID)
Una simpática empresa denominada Skyhook lleva años pagando a gente para que realice wardriving en su nombre por todos los Estados Unidos. ...
El derecho a la propia imagen y las Redes Sociales
El derecho a la propia imagen atribuye al individuo la capacidad de decidir libremente sobre la captación, reproducción o difusión de su imagen entendida como representación gráfica de la figura humana. Este derecho faculta a las personas a difu...
Las patentes de software ponen en peligro a la innovación, según Ovum
El actual régimen de patentes en materia de software dificulta la innovación y debe ser modificado de manera radical. Así al menos lo manifiesta la consultora Ovum, después de haber llevado a cabo un estudio de más de seis meses y en el que cons...
Nuevos dominios
ya se puede comprar un dominio web bajo la terminación .dj (Dee Jay). ...
Envenenamiento ARP
El envenenamiento ARP es una técnica usada por atacantes en redes internas cuyo fin es obtener el tráfico de red circundante, aunque no esté destinado al sistema del propio intruso. ...
Feliz Navidad a todos
La Navidad es la época del año, en que dejamos de lado las preocupaciones diarias, para que renazca el espíritu de solidaridad, compañerismo y buenos deseos, hacer llegar a nuestros amigos, familiares y conocidos, nuestros mayores y mejores deseo...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • codificacion
  • computer
  • debian
  • exploits
  • extensiones
  • fedora
  • fice
  • ficheros
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • ocultar
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • unicode
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra