파일 이름 확장자는 Windows 운영 체제에서 매우 중요하며 파일 이름 끝에 나타납니다. 이미지 또는 실행 가능한 응용 프로그램인지 여부에 관계없이 파일 형식의 유형을 즉시 알 수있을뿐만 아니라 Windows는 기본 프로그램 목록에 등록 된 내용에 따라 실행할 프로그램을 결정할 수도 있습니다.
일반적으로 .EXE .COM .SCR .BAT .VBS .PIF 및 .CMD와 같은 실행 파일 형식은 합법적 인 프로그램 대신 맬웨어 일 수 있으므로 더주의를 기울여야합니다. 예를 들어, PDF 또는 EPUB 확장자로되어 있어야하는 전자 책은 .EXE가 아니어야합니다. 불법 배포를 방지하기 위해 타사 전자 책 컴파일러로 포장 된 경우에도 가능합니다.
Windows 사용자는 실행 파일 확장에 더주의를 기울이고 이미지 형식과 같은 더 안전한 확장에주의를 기울이지 않기 때문에 부주의 한 사용자가 EXE 파일이 JPG 이미지 파일이라고 생각하도록 속이는 몇 가지 방법이 있습니다. 알려진 파일 형식의 확장명 숨기기
폴더 옵션에는 파일 확장자를 숨기고 확장자가 숨겨져있는 동안 파일 이름 만 탐색기에서 볼 수 있도록 설정이 있습니다. 이 설정의 문제점은 기본 옵션이 숨기도록 설정되어 있고 이중 확장이있을 때 덜 신중한 사용자를 속일 수 있습니다. 이중 확장의 예는 다음과 같습니다.
notes.txt.exe
위의 파일은 실제로 실행 파일이지만 폴더 옵션 설정으로 인해 .exe가 숨겨져 notes.txt로 표시됩니다. 파일을보다 확실하게 보이게하려면 다음 단계는 파일 아이콘을 메모장 아이콘으로 변경하는 것입니다. 아래 예제 이미지에서 볼 수 있듯이 일반 텍스트 파일처럼 보입니다.
보기 유형을 "세부 사항"으로 변경하면 Explorer에서 소위 notes.txt 파일이 실제로 애플리케이션임을 매우 명확하게 표시합니다.
파일을 마우스 오른쪽 버튼으로 클릭하고 상황에 맞는 메뉴에서 속성을 선택하고 응용 프로그램 (.exe)을 표시해야하는“파일 형식”을 확인하여이를 더 확인할 수 있습니다.
이것은 매우 오래된 트릭이며 COMODO와 같은 몇 가지 바이러스 백신 응용 프로그램이 파일 이름에서 이중 확장명을 감지하면 경고합니다.
이중 확장 트릭에 빠지지 않도록하는 쉬운 해결책은 제어판> 폴더 옵션>보기 탭에서“ 알려진 파일 형식의 확장명 숨기기 ”옵션을 비활성화하는 것입니다.
2. 오른쪽에서 왼쪽 재정의
이 트릭은 Right to Left 유니 코드를 사용하여 마지막 6자를 뒤집어 확장이 스푸핑되도록합니다. 예를 들어 notes.exe 파일의 이름을 notesexe.txt로 바꿀 수 있습니다. 탐색기에서 파일 확장자가 .txt로 명확하게 표시되지만 Windows 운영 체제는 여전히 파일을 응용 프로그램으로 인식합니다.
오른쪽에서 왼쪽으로 재정의 문자는 키보드에서 입력 할 수없고 Windows에있는 문자표 프로그램에만 표시되므로 BabelMap이라는 무료 타사 프로그램을 다운로드하여 클립 보드에 복사 할 때 RTLO 문자를 생성하여 붙여 넣을 수 있습니다. 파일 이름 바꾸기
다행히 대부분의 주요 웹 브라우저는 사용자가 RTLO 트릭을 사용하여 스푸핑 된 확장자를 가진 파일을 다운로드하려고 할 때 올바른 파일 확장자가 올바르게 표시되도록 오른쪽에서 왼쪽 재정의 문자를 블랙리스트에 올렸습니다. 그 외에도 Explorer에서 "세부 사항"보기를 사용하면 올바른 파일 형식을 결정하는 데 크게 도움이 될 수 있습니다.
3. 소프트웨어 악용
WinRAR 4.20의 이전 버전은 파일 이름 및 확장 스푸핑에 취약합니다. 이것은 16 진 편집기를 사용하여 WinRAR 4.20에 의해 생성 된 ZIP 파일을 GUI에서 다른 파일 이름 및 확장자를 나타내지 만 프로그램에서 직접 실행될 때 다른 확장자를 표시 할 수 있음을 의미합니다. WinRAR 4.20을 사용하여 notes.zip으로 압축 된 notes.exe 파일이 그 예입니다. 그런 다음 16 진 편집기를 사용하여 파일 끝으로 이동하여 notes.exe를 notes.txt로 수정하십시오.
WinRAR 4.20에서 notes.zip 파일을 열면 아카이브 된 파일이 notes.exe 대신 스푸핑 된 notes.txt로 표시됩니다.
WinRAR GUI에서 스푸핑 파일을 두 번 클릭하면 파일이 응용 프로그램으로 실행됩니다. 그러나 파일을 추출하는 사람들은 텍스트 (.txt) 파일이 아니라 추출되는 실행 파일 (.exe)임을 알 수 있으므로이 스푸핑 악용으로부터 안전합니다.
WinRAR 5 이상은이 익스플로잇으로부터 패치되었습니다. 따라서 인터넷 관련 응용 프로그램이 아니더라도 항상 소프트웨어를 최신 상태로 유지하는 것이 좋습니다.
