| 我在FreeBuf上到了 [APT攻击]趋势科技捕获一次APT攻击活动 这篇文章,然后就自己去探探究竟,文章地址在下面 传送门 RLO控制符是Unicode控制符的一种,使得字符显示从右至左的顺序,攻击者可以利用RTLO技术来达到欺骗目标,从而使得可执行文件的运行 首先Windows系统在解析文件名时,当遇到unicode控制符时,会改变文件名的显示方式,利用这一特性,可以将exe、scr、com等可执行文件伪装成doc、jpg、txt、ppt等 例如:我首先创建一个bat文件,命名为txt.bat,里面内容写为ping baidu.com,下面就是重点了,我们进行重命名,选择“插入unicode控制字符”,然后就到了这个菜单栏,我们选择RLO,输入txt.bat <ignore_js_op> 我们可以看到此时文件名已经显示为tab.txt <ignore_js_op> 不过我们看到它是一个window批处理文件(bat),可以正常执行指令 当然文件的图标方面也是可以修改的,这样可以显得文件的确是一个txt文档,从而诱使目标打开,增加成功几率 简单的一笔 给自己做个记录 |