RLO による拡張子の偽装
RLO は
Right to Left Override の略で
Unicode の制御文字 U+202E のこと
文字の流れを右から左の向きに帰るために使われる
アラビア語やヘブライ語は
右から左に向けて記述するので
こういった言語のために用意されている制御文字
これを使うことでファイルの拡張子の偽装に使われる
例として
tecfdp.exe の c と f の間に
RLO を挿入すると tecexe.pdf と表示される
実践するなら
Windows 10 で
エクスプローラーを開き
calc.exe をデスクトップへコピペ
calc.exe は
C:\\Windows\System32\calc.exe にある
右クリック > 名前の変更で
calcgpj.exe
とする
次に
名前の変更で
c と g の間にカーソルを移動して
右クリック > Unicode制御文字の挿入 > RLO
とすると
ファイル名が calcexe.jpg というようになりファイル名が偽装される
次に KaliLinux の場合
meterpreter セッションが確立しているときに
download amazing_wallpaper.exe
で windows10 で作成したファイルをダウンロードしておく
これはリアルタイム保護が有効になったときに削除されてしまうため
再度 windows10 でファイル作成する手間も省ける
次にファイル名の偽装
まず作成したいのは a.jpgにしたいので
ファイル名を agpj.exe と変える
次に Show Applications をクリック
characters
で検索し起動
202E
で検索し 表示された Right-to-left Override をクリック
Copy Character をクリック
これで
agpj.exe のファイル名を変更するときに
a と gpj.exe の間に貼り付けると
aexe.jpg とファイル名が変わる
なお、Windows10 でこのファイルの偽装については
プロパティを確認することで
ファイルの種類を表示できるのでこれで確認する
もしくは
コマンドプロンプトを起動し
dir コマンドで調べることもできる
Downloads ディレクトリを調べるなら
dir Downloads
とすればOK
KaliLinux の場合なら
ls コマンドで表示できる
