Où se cache le serpent ?
En coulisse
3815

Un petit hack de temps en temps : Faire passer des fichiers pour d'autres fichiers

Dominik Bärlocher
7/8/2017
Traduction: traduction automatique

Un PDF est-il vraiment un PDF ? Oui, dit votre ordinateur. Non, répondons-nous. Car nous pouvons, par des moyens simples, faire croire à un utilisateur qu'il est face à un fichier de type A, mais qu'il voit en réalité un fichier de type B.

Les pirates ne comptent pas seulement sur eux-mêmes. C'est souvent un utilisateur du système cible qui ouvre la porte aux criminels. En effet, pourquoi un hacker passerait-il à travers un pare-feu s'il peut le contourner ? Mieux encore, pourquoi un pirate se donnerait-il du mal s'il peut facilement faire croire à un utilisateur qu'il ne fait qu'ouvrir une image inoffensive?
.
Simulons une attaque visant à tromper la naïveté de la victime.

La préparation

Avant de nous consacrer au script, nous devons effectuer un réglage dans Windows, si vous ne l'avez pas déjà fait. Dans la deuxième étape, nous avons besoin d'extensions de nom de fichier. Il s'agit des lettres qui suivent le point dans chaque nom de fichier. Une image trouvée sur Internet est généralement un .jpg, un document Word est un .docx, une vidéo est un .mp4, et ainsi de suite. Mais comme Microsoft a fini par penser que cela ne ferait que perturber inutilement les utilisateurs non avertis, ils ont masqué les extensions de nom de fichier par défaut.

Mais nous, nous en avons besoin, certainement dans un seul dossier.

  1. Ouvrez "Mes documents"
  1. Créez le dossier "hacktheplanet". Ce sera notre dossier de projet pour le petit hack
  1. Cliquez sur Affichage en haut
  1. Activez les extensions de nom de fichier

.
Voilà, c'est tout pour le moment. Allons programmer.

La charge utile

Chaque attaque de ce type est composée de deux parties
.

  1. L'emballage : ce que l'utilisateur voit. Quelque chose en quoi il a confiance et qui semble propre. C'est souvent moyennement convaincant
  1. La charge utile : Le code malveillant

Je vous explique dans cet article comment reproduire une attaque très simple. Votre ordinateur va afficher un JPG, mais en réalité nous avons un petit programme qui ouvre simplement digitec.ch. Pour simplifier, nous utilisons un script batch, c'est-à-dire un fichier bat. Non pas parce que les hackers en sont particulièrement friands, mais simplement parce que n'importe quel ordinateur sous Windows peut les manipuler facilement.

  1. Ouvrez notepad.exe ou l'éditeur de texte de votre choix. Je travaille avec des Brackets
  1. Ecrivez cette ligne dans le fichier

start "&quot ; https://digitec.ch

  1. Sauvegardez le fichier en tant que digitecjpg.bat dans votre dossier hackthe_planet

Le code ne fait rien d'autre que d'ouvrir votre navigateur par défaut et d'accéder au site digitec. Rien de bien fou donc. Si vous rencontrez des fichiers bat dans la nature ou dans votre boîte de réception d'e-mails, soyez prudent, car ouvrir une URL est loin d'être tout ce qu'ils peuvent faire.

Mais dans le contexte de ce seul fichier bat, nous pouvons lui faire confiance, puisque nous l'avons programmé nous-mêmes.

L'exploit RTL Override

La technique que nous utilisons aujourd'hui est appelée Right-to-Left Override, RTL Override, ou RTLO. En gros, nous demandons à l'ordinateur de changer le sens de lecture au milieu du nom du fichier. Pour cela, nous avons besoin d'un caractère spécial qui change le sens du texte. C'est le RTLO. Le RTLO existe parce qu'il y a des langues comme l'arabe ou l'hébreu. Celles-ci s'écrivent et se lisent de droite à gauche, et non de gauche à droite comme notre alphabet.

La façon la plus simple de le faire est d'utiliser une fonctionnalité fournie par Windows : Character Map. Il s'agit d'une liste de tous les caractères que vous pouvez écrire avec votre ordinateur.

  1. Appuyez sur Démarrer
  1. Touchez Character Map
  1. Appuyez sur Entrée lorsqu'il ne reste plus qu'une option

.
Au début, c'est très simple. A la fin, notre fichier - actuellement appelé digitecjpg.bat - doit se nommer ainsi : digitectab.jpg. Vous voyez donc déjà où nous allons tourner le texte. Le format d'un nom de fichier avec RTLO est le suivant : $filename + RTLO + $fichierFinRéel + $extensionFichierIncorrect
.
Dans notre cas, cela ressemble à ceci :

  • $filename = digitec
  • RTLO
  • $fichierFinRéelRetour = tab
  • $extension de fichier incorrecte = jpg

Nous allons donc composer le nom du fichier comme suit.

  1. Dans le champ en bas de la character map, tapez digitec
  1. Dans la liste des caractères, trouvez le Right To Left Override. Il se trouve un peu plus bas, près des espaces entiers
  1. Entrez maintenant la chaîne gpj.bat
    .
  1. Cliquez sur Copy

Le nom de fichier semble actuellement encore un peu étrange et inversé. Cela est dû au fait que le RTLO est bien là, mais n'est pas affiché correctement. Je ne peux pas non plus vous dire pourquoi il en est ainsi.

La conclusion

Actuellement, le nouveau nom de fichier que nous avons composé dans la character map est dans le presse-papier. Par conséquent, retournez dans le dossier hacktheplanet. Le fichier digitec_jpg.bat y est prêt.

  1. Cliquez à droite sur digitec_jpg.bat
  1. Sélectionnez Propriétés
  1. Insérez le nom du fichier dans le champ correspondant
  1. Cliquez sur OK
    .

Voilà, le fichier a maintenant l'air de s'appeler digitec_tab.jpg. Lorsque vous l'ouvrez, vous activez le script ci-dessus et digitec s'ouvre. En bref, les pirates peuvent ainsi vous faire croire que vous ouvrez une image, mais en réalité vous exécutez un code malveillant.

"Oui mais", je vous entends dire, "tout le monde voit tout de suite que ce n'est pas un jpg. Le nom du fichier est à peine masqué !"

C'est vrai. Dans notre cas, tout est évident, mais c'est aussi le but de l'exercice. Vous pouvez ainsi comprendre de A à Z ce qui s'est passé. Mais imaginez que le fichier porte un nom aléatoire comme "iYYprTjZEETAb.jpg". De tels schémas de nommage et d'autres similaires sont utilisés par les réseaux sociaux et les réseaux de diffusion de contenu (CDN), ce qui fait souvent que ces noms de fichiers ne sont pas remis en question.

Cela ne se limite évidemment pas au .bat, mais à une multitude d'autres formats de fichiers. Les plus efficaces sont probablement :

  • .bat
  • .exe
  • .cmd
  • .com
  • .lnk
  • .pif
  • .scr
  • .vb
  • .vbe
  • .vbs
  • .wsh

Comment vous protéger?

La protection contre cette attaque est très simple. Au lieu de simplement ouvrir tout ce qui vous est présenté : Soyez méfiant. De plus, vous pouvez détecter ce type d'attaque assez rapidement en changeant l'affichage de votre dossier en "Grandes icônes" dans les options d'affichage. En effet, l'icône du véritable type de fichier s'affichera là où apparaît habituellement un petit aperçu.

Ou mieux encore, mais beaucoup moins joli : mettez l'affichage sur "Détails", car votre ordinateur reconnaîtra le fichier pour ce qu'il est. Cette attaque ne trompe vraiment que l'utilisateur, pas la machine.

.
Vous avez de la chance : de nombreux programmes anti-malware filtrent automatiquement ces fichiers, vous avertissent et le système refuse parfois d'exécuter le code. Mais dans le cas de notre .bat, vous remarquez qu'aucune vérification n'a été effectuée. D'où cet article.

Mais si vous cherchez la façon la plus compliquée de créer un raccourci, vous pouvez maintenant le faire avec un .bat déguisé en .jpg.

La solution à l'énigme

Ci-dessus, dans l'image principale de cette page, j'ai demandé si vous voyiez le serpent camouflé. Le voici :

Cela pourrait aussi vous intéresser

  • En coulisse

    Un petit hack entre-temps : Comment ouvrir l'invite de commande avec MSPaint

    par Dominik Bärlocher

Photo d’en-tête : Où se cache le serpent ?

Cet article plaît à 38 personne(s)

User Avatar
User Avatar
Dominik Bärlocher
Senior Editor
dominik.baerlocher@digitecgalaxus.ch

Journaliste. Auteur. Hackers. Je suis un conteur d'histoires à la recherche de limites, de secrets et de tabous. Je documente le monde noir sur blanc. Non pas parce que je peux, mais parce que je ne peux pas m'en empêcher.

15 commentaires

Avatar
later