技术文章

当RLO编码遇上社工

技术文章 2022年 12月 1日

内容纲要

是怎么想起这个东西的呢?事出有因了,因为我的微信好友里面,有这么一个大佬,我一切的思考都是因为他的微信名称,情况是这样的~

file

因为本人是个强迫症,所以,一切当然要按照规矩来,我加了微信后,给打改了一个备注“DL(大佬)◎巴拉巴拉”,但是我慢慢的发现每次他发朋友圈后如果评论朋友圈的话就会变成上面的那样,给他的备注会在中间分开,并且评论的内容都是反着的,我当时以为是微信的bug,但是发现全朋友圈都是备注的这个格式,就这一个是这样的状况,我也怀疑是不是备注的符号跟后面的字起了反应,我将这个备注换到其他人的备注上发现确实正常,看了他的个人信息都是正常,微信号也正常,鬼知道是怎么回事,可能是大佬有什么秘密操作吧。然后我就去网上查看一下有没有什么类似的操作好学习一下吧。于是我就搜到了下面这个~

file

这个是好多年前在QQ上的一个玩头,就是讲自己的QQ号反转过来,也是就当别人@你的时候,@你之后的话都会反着显示,~样这在现是像就。

简单的看了一下原理,原来是输入的编码在搞鬼
https://www.qqjike.com/tools/unicode/index.html

这是一个可以在线反转名称的网站,其实利用的是unicode的一种编码方式,也就是我们今天主要要说的RLO

RLO是微软的中东Unicode字符(Middleeast Unicode)中的一个,Unicode编码为0x202E,其作用是强制其后的字符变为从右到左的方式显示,一般用于中东语言(如阿拉伯语)的强制显示,但是在非中东语言中Explorer遇到此字符仍然是默认右-左显示,例如本來”setup-txt.exe”这样的文件名,在txt前面插入RLO控制字符之后变成”setup-exe.txt”

这个时候我们就发现这个东西岂不是可以隐藏我们的文件名,至少可以在视觉角度上,我上网搜了一下,RLO文件名欺骗这个东西已经很多年了,而且利用在病毒木马的攻击中也非常多

也可以发现有很多的APT攻击都有RLO的影子,本来是老东西了,但是到目前为止仍然是存在很大风险的,并且如果在增加一些东西更可以会“弄假成真”

首先我们先来弄出一个我们用的东西,我选择的东西是windows电脑自带的计算机,calc.exe,图省事改成了1.exe

file

我们可以选择刚才提供的下面网址去进行转换,但是比较麻烦,也可以用图片中这种方法去构造RLO
 https://www.qqjike.com/tools/unicode/index.html

首先我们选中我们的文件进行重命名操作,然后再选中我们要重命名的“1”再次右键,这个时候我们就发现有一个选项就是插入unicode控制字符,我们选中这个选项

file

接下来会显示出很多的的编码方式,我们用到了我们说的RLO,这个时候就可以愉快的进行输入了

输入的时候是这样的~

file

但是确认后就变成了下面的这个样子,我们可以看到已经进行了反转

file

这个时候我们就可以把它变成我们想要的样子了,譬如输入gpj,将他变成下面这样

file

从名字上面看起来就像是一个图片对吧,但是图片上面的显示还是出卖了他的样子,是一个计算器,我的环境是win10还好,如果win7的话就会变成这样

file

看起来也不像一个图片,图片最次也不是一个这样的东东对吧

file

尤其是如果我们模拟的是一个word文档,就像上面的肯定也不行,但是我们可以给我们的病毒添加一个壳,把壳上配一下我们这个图片的样子,要不就是直接换成一个大美女,嘿嘿,这回大大加强这个图片的可信度。至于怎么操作大家自行百度

这个东西我在mac上还有linux试过,都不太可以,是这样的

file

我网上看了一下,以前mac上有这种攻击,可能是现在和谐了吧,所以说windows用户需要注意

我上面说的这些网上基本都有,算是整理了一下,但是我又仔细的看了一下,又一些小方法可以深入一下,这就不得不说windows的一个机制

这个机制是,当你的文件名称过长的话会进行简略显示就像是下面的这样

file

这个时候我们如果将这个反转名字的文件名称长度有效的控制一下,会怎么样呢?首先我们先利用RLO输入GPJ,让他变成我们想要的jpg后缀格式

file

因为是反写,我们需要按住我们的←方向键,到名字的最左边,再输入picture

你会发现变成了这样

file

这当然是单机一下显示的状态,但是如果我们不选中,我们看一下效果

file

你可能会问,我们为啥要这么做,给他弄成这样的不就行了?下图

file

或者就直接exe.jpg,因为如果直接将exe等字符直接暴露在名字上面的话多多少少会有一下老司机,或者是了解RLO的识破

我们将原有后缀进行了隐藏

这个时候如果我们把默认的图标修改成美女,你怕不怕。您的肉狗已经上线~

如果我们把它利用到社工上,向对方发送一个这样的文件,他可能会毫不留情的点上去。增加了被攻击的可能性。造成不好的影响

我们需要怎么去防护他呢,其实也非常的简单,遇到可疑文件时,查看一下属性,查看一下文件类型就好了,不双击,单击选中看一下是不是包含exe等字符

file

到最后我也不知道我这个朋友圈的大佬名字为什么是这样, 也没好意思问,你们要是知道偷偷告诉我哦~