RLO による拡張子の偽装

RLO による拡張子の偽装

RLO は
Right to Left Override の略で
Unicode の制御文字 U+202E のこと

文字の流れを右から左の向きに帰るために使われる

アラビア語やヘブライ語は
右から左に向けて記述するので
こういった言語のために用意されている制御文字

これを使うことでファイルの拡張子の偽装に使われる

例として
tecfdp.exe の c と f の間に
RLO を挿入すると tecexe.pdf と表示される

実践するなら
Windows 10 で
エクスプローラーを開き
calc.exe をデスクトップへコピペ

calc.exe は
C:\\Windows\System32\calc.exe にある

右クリック > 名前の変更で
calcgpj.exe
とする

次に
名前の変更で
c と g の間にカーソルを移動して
右クリック > Unicode制御文字の挿入 > RLO
とすると
ファイル名が calcexe.jpg というようになりファイル名が偽装される

次に KaliLinux の場合
meterpreter セッションが確立しているときに

download amazing_wallpaper.exe

で windows10 で作成したファイルをダウンロードしておく

これはリアルタイム保護が有効になったときに削除されてしまうため
再度 windows10 でファイル作成する手間も省ける

次にファイル名の偽装
まず作成したいのは a.jpgにしたいので
ファイル名を agpj.exe と変える

次に Show Applications をクリック

characters
で検索し起動

202E
で検索し 表示された Right-to-left Override をクリック

Copy Character をクリック

これで
agpj.exe のファイル名を変更するときに
a と gpj.exe の間に貼り付けると
aexe.jpg とファイル名が変わる

なお、Windows10 でこのファイルの偽装については
プロパティを確認することで
ファイルの種類を表示できるのでこれで確認する

もしくは
コマンドプロンプトを起動し
dir コマンドで調べることもできる

Downloads ディレクトリを調べるなら

dir Downloads

とすればOK

KaliLinux の場合なら
ls コマンドで表示できる