Anda tidak dapat menjamin bahwa suatu file benar-benar file gambar, video, PDF, atau teks dengan melihat ekstensi file. Di Windows, penyerang dapat mengeksekusi PDF seolah-olah itu adalah EXE.
Ini cukup berbahaya, karena file yang Anda unduh dari internet, salah mengira itu file PDF, sebenarnya bisa mengandung virus yang sangat berbahaya. Pernahkah Anda bertanya-tanya bagaimana penyerang melakukan ini?
Virus Trojan Dijelaskan
Virus Trojan mendapatkan namanya dari serangan bangsa Akhaia (Yunani) dalam mitologi Yunani di kota Troy di Anatolia. Troy terletak di perbatasan kota Çanakkale saat ini. Menurut narasi, ada model kuda kayu yang dibangun oleh Odysseus, salah satu raja Yunani, untuk mengatasi tembok kota Troy. Tentara bersembunyi di dalam model ini dan diam-diam memasuki kota. Jika Anda bertanya-tanya, salinan model kuda ini masih ditemukan di Çanakkale, Turki.
Kuda Troya pernah mewakili penipuan yang cerdik dan prestasi teknik yang cerdik. Hari ini, bagaimanapun, itu dipandang sebagai malware digital berbahaya yang tujuan utamanya adalah merusak komputer target tanpa terdeteksi. Ini virus disebut trojan karena konsep tidak terdeteksi dan menyebabkan kerusakan.
Trojan dapat membaca kata sandi, merekam tombol yang Anda tekan pada keyboard, atau menyandera seluruh komputer Anda. Mereka cukup kecil untuk tujuan ini dan dapat menyebabkan kerusakan serius.
Apa itu Metode RLO?
Banyak bahasa dapat ditulis dari kanan ke kiri, seperti bahasa Arab, Urdu, dan Persia. Banyak penyerang menggunakan sifat bahasa ini untuk meluncurkan berbagai serangan. Teks yang bermakna dan aman untuk Anda saat Anda membacanya mulai dari kiri mungkin sebenarnya ditulis dari kanan dan merujuk ke file yang sama sekali berbeda. Anda dapat menggunakan metode RLO yang ada di sistem operasi Windows untuk menangani bahasa dari kanan ke kiri.
Ada karakter RLO untuk ini di Windows. Segera setelah Anda menggunakan karakter ini, komputer Anda sekarang akan mulai membaca teks dari kanan ke kiri. Penyerang yang menggunakan ini mendapatkan peluang bagus untuk menyembunyikan nama file dan ekstensi yang dapat dieksekusi.
Misalnya, Anda mengetik kata bahasa Inggris dari kiri ke kanan, dan kata itu adalah Perangkat Lunak. Jika Anda menambahkan RLO karakter Windows setelah huruf T, apa pun yang Anda ketik setelahnya akan dibaca dari kanan ke kiri. Akibatnya, kata baru Anda akan menjadi Softeraw.
Untuk memahami ini dengan lebih baik, tinjau diagram di bawah ini.
Bisakah Trojan Dimasukkan ke dalam PDF?
Dalam beberapa serangan PDF berbahaya, eksploit atau skrip berbahaya dapat dimasukkan ke dalam PDF. Banyak alat dan program yang berbeda dapat melakukan ini. Selain itu, ini dapat dilakukan dengan mengubah kode PDF yang ada tanpa menggunakan program apa pun.
Namun, metode RLO berbeda. Dengan metode RLO, penyerang menghadirkan EXE yang ada seolah-olah itu adalah PDF untuk mengelabui pengguna target. Jadi hanya gambar EXE yang berubah. Pengguna target, di sisi lain, membuka file ini dengan keyakinan bahwa itu adalah PDF yang tidak bersalah.
Cara Menggunakan Metode RLO
Sebelum menjelaskan cara menampilkan EXE sebagai PDF dengan metode RLO, tinjau gambar di bawah ini. Manakah dari file berikut ini yang merupakan PDF?
Anda tidak dapat menentukan ini secara sekilas. Sebagai gantinya, Y=anda perlu melihat isi file. Tetapi jika Anda bertanya-tanya, file di sebelah kiri adalah PDF yang sebenarnya.
Trik ini cukup mudah dilakukan. Penyerang pertama-tama menulis kode berbahaya dan mengompilasinya. Kode yang dikompilasi memberikan output dalam format exe. Penyerang mengubah nama dan ikon EXE ini dan mengubah tampilannya menjadi PDF. Jadi bagaimana proses penamaan bekerja?
Di sinilah RLO berperan. Misalnya, Anda memiliki nama EXE iamsafefdp.exe. Pada tahap ini, penyerang akan menempatkan karakter RLO di antaranya saya aman Dan fdp.exe ke ganti nama file. Cukup mudah untuk melakukan ini di Windows. Cukup klik kanan saat mengganti nama.
Yang harus Anda pahami di sini adalah setelah Windows melihat karakter RLO, ia membaca dari kanan ke kiri. Filenya masih EXE. Tidak ada yang berubah. Tampilannya seperti PDF.
Setelah tahap ini, penyerang sekarang akan mengganti ikon EXE dengan ikon PDF dan mengirimkan file ini ke orang yang dituju.
Gambar di bawah ini adalah jawaban dari pertanyaan kita sebelumnya. EXE yang Anda lihat di sebelah kanan dibuat menggunakan metode RLO. Secara tampilan, kedua file itu sama, tetapi kontennya sangat berbeda.
Bagaimana Anda Dapat Melindungi Dari Jenis Serangan Ini?
Seperti banyak masalah keamanan, ada beberapa tindakan pencegahan yang dapat Anda lakukan dengan masalah keamanan ini. Yang pertama adalah menggunakan opsi ganti nama untuk memeriksa file yang ingin Anda buka. Jika Anda memilih opsi ganti nama, sistem operasi Windows akan secara otomatis memilih area di luar ekstensi file. Jadi bagian yang tidak dipilih akan menjadi ekstensi sebenarnya dari file tersebut. Jika Anda melihat format EXE di bagian yang tidak dipilih, Anda sebaiknya tidak membuka file ini.
Anda juga dapat memeriksa apakah karakter tersembunyi telah dimasukkan menggunakan baris perintah. Untuk ini, cukup menggunakan dir memerintah sebagai berikut.
Seperti yang Anda lihat pada tangkapan layar di atas, ada yang aneh dengan nama file bernama utilitas. Ini menunjukkan bahwa ada sesuatu yang harus Anda curigai.
Ambil Tindakan Pencegahan Sebelum Mengunduh File
Seperti yang Anda lihat, bahkan file PDF sederhana dapat membuat perangkat Anda berada di bawah kendali penyerang. Itu sebabnya Anda tidak boleh mengunduh setiap file yang Anda lihat di internet. Tidak peduli seberapa aman menurut Anda mereka, selalu berpikir dua kali.
Sebelum mengunduh file, ada beberapa tindakan pencegahan yang dapat Anda lakukan. Pertama-tama, Anda harus memastikan bahwa situs tempat Anda mengunduh dapat diandalkan. Anda dapat memeriksa file yang akan Anda unduh nanti secara online. Jika Anda yakin akan segalanya, sepenuhnya terserah Anda untuk membuat keputusan ini.