File Extension Spoofing – Trickkiste der Blackhats

Immer wieder stelle ich hier die Tools/Techniken von Blackhats vor. Zur Erinnerung Blackhats sind Hacker mit bösen Absichten. Hier in diesem Fall geht es um Extension Spoofing, dieser Begriff ist noch kein Tool sondern eine Technik. Ziel dabei ist es eine .exe so aussehen zu lassen als ob es eine mp3 oder Bild-Datei wäre. Ein sehr beliebter Trick der gerade bei unerfahrenen PC-Nutzern gut funktioniert.

Gehen wir also davon aus unsere Datei heißt Trojaner.exe. Nun wollen wir die Dateiendung zu .mp3 umbennen. Nach dem erfolgreichen Spoofing sieht die Datei dann so aus: Trojanerexe.mp3. Die Dateiendung stimmt schon einmal, aber hinter Trojaner steht nun exe. Nun gibt es zwei Möglichkeiten, entweder Sie sind Kreaitv und bennen es so wie im Screenshot um. Oder Sie machen einen ewig langen Dateinamen.

UnbenanntNatürlich besteht nun noch die Möglichkeit das Icon z.B. mit ResHacker zu ändern.

Die bekannteste Methode für File Extension Spoofing ist RTLO (Right-to-left-Override). Das ganze funktioniert über ein ganz bestimmtes Unicode zeichen.

UnbenanntDa das ganz normale DOS-Fenster dieses Unicode zeichen nicht anzeigen kann, kommt so ein komisches Quadrat dabei raus.

Extension Spoofer nehmen einem die Arbeit zwar ab, aber in diesem Themengebiet heißt es eben einmal Learning-by-doing. Das heißt probieren Sie es einmal selber aus über die Eingabeaufforderung mit Unicode Zeichen eine Datei erfolgreich zu Spoofen. Ein kleiner Tipp noch. Hier gibt es ein passendes Tool für die Eingabeaufforderung. Das magische Unicode zeichen verrate ich ihnen eben auch noch U+202E. Falls sie trotzdem schwierigkeiten haben, ganz unten im Artikel verrate ich die Lösung.

Nun aber weiter im Text. Kommen wir nun zum wichtigen Teil:

Gegenwehr gegen Extension Spoofing
Es gibt zwei Möglichkeiten Extension Spoofing zu erkennen.
1. Klicken Sie auf die Datei mit einem Rechtsklick, wählen Sie im Kontextmenü dann „Einstellungen“. Das ganze sollte bei einer gefälschten Datei dann folgendermaßen aussehen:

Unbenannt

Na erkennen Sie den Fehler? Die Datei heißt zwar Hexe.mp3 doch bei Dateityp steht ganz klar „Anwendung (.exe).“

2. Es gibt auch noch einen weiteren schnelleren Trick. Bei einer mp3 Datei gibt es im Kontextmenü immer die Option „Öffnen mit…“ – Das steht ihnen bei dieser Datei gar nicht zur wahl.

Allgemein sollten unseriöse Datein immer auf Extension Spoofing geprüft werden und immer über Öffnen mit geöffnet werden.

Wen das Thema interessiert: Ich arbeite gerade an einem Extension Spoofer in C++. Der Extension Spoofer wird natürlich Open-Source und ich werde einen Artikel darüber schreiben. In diesem Sinne bis bald.

Die Lösung: Vorrausgesetzt Sie haben das Unicode Programm richtig installiert sollte es so funktionieren: Starten sie die Eingabeaufforderung und Tippen Sie dort:
„copy Hmp3.exe H“ – klicken Sie nun „Alt und +“ um das Programm zu öffnen. Geben Sie nun das Unicode zeichen ein „202E“. Klicken Sie dann auf „Send“. Weiter gehts im Text mit:
„3pm.exe“.

UnbenanntNatürlich muss ihr Trojaner auch vorher in „Hmp3.exe“ umbenannt werden. Falls sich ein paar fragen warum hinter dem Unicode zeichen 3pm geschrieben werden muss und nicht mp3.exe. Das ganze heißt RTLO. Deshalb wird 3pm umgedreht zu mp3. Wollen Sie also eine Dateiendung mit pdf müssen Sie fdp schreiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.