ดู: 111|ตอบกลับ: 0

ZIPPER BROKEN สุดยอดการหลอกลวงของแฮกเกอร์ ด้วยการเปลี่ยนชื่อชนิดไฟล์ภายใน Winrar

[คัดลอกลิงก์]
泉こなた2(いずみ・-)

        ใครใช้ winrar และชอบดาวน์โหลดไฟล์หนัง ไฟล์เพลง ไฟล์ภาพ ที่ใส่ไว้ใน Winrar ระวังให้ดี เพราะท่านอาจเจอภัย ZIPPER BROKEN โดยแฮกเกอร์จะหลอกคุณด้วยชื่อชนิดของไฟล์ภายในตัวไฟล์ winzip หรือ winrar ที่เปิดผ่านโปรแกรม Winrar ในงานสัมมนา CYBER DEFENSE INITIATIVE CONFERENCE 2015  ( CDIC 2015 ) ที่ BITEC บางนา 29 ตุลาคม 2015 มี Live Demo โชว์สาธิตการแฮกที่ผู้ใช้อินเทอร์เน็ตต้องระวังจากการแตกไฟล์ zip , ไฟล์ rar จากโปรแกรมดัง Winrar ที่คุณคุ้นเคย ซึ่งถ้าเผลอละก็จะเจอภัย ZIPPER BROKEN ซึ่งก็คือ ไฟล์ในตัว winzip , winrar แบบหลอกที่สร้างโดยแฮกเกอร์ เช่น แฮกเกอร์สร้างมัลแวร์ไว้ในแบบ exe แล้วใส่ใน winrar และใช้วิธีเปลี่ยนชื่อไฟล์ที่แสดงเป็น .exe เป็นไฟล์อื่นๆเช่น .pdf , gif , jpg , mp3 , png และไฟล์สกุลยอดนิยมตัวอื่นๆหากหลงกลแฮกเกอร์ทำการ extract ไฟล์ดังกล่าวออกมาจากตัว winrar ไฟล์ที่ปลอมนั้นก็จะกลายเป็นไฟล์ไวรัส มัลแวร์ โปรแกรมอันตรายเข้าคอมของคุณโดยทันที


ยกตัวอย่างตัวทดสอบ pop-up ธรรมดา สร้างเป็นไฟล์ messagebox.exe เค้าใช้วิธี add ใส่ใน winrar ตั้งชื่อไฟล์ที่บีบอัดแล้วว่า file.zip  เปิดดูข้างในก็เป็น messagebox.exe  


แต่แฮกเกอร์ก็จะมีวิธีหลอกได้ เพราะช่องโหว่ของ Winrar คือ เค้าจะอ่านไฟล์จาก filename เลยแฮกเกอร์จะใช้วิธีแก้ชื่อ filename ที่บีบอัดอยู่ใน file.zip ผ่านทางเครื่องมือ free hex editor

พอเข้า free hex editor แล้วเปิดไฟล์ file.zip ก็ทำการแก้ไขเปลี่ยนชื่อไฟล์ ที่จุดนามสกุลของไฟล์ จาก messagebox.exe เป็นชื่อ messagebox.txt  แล้วคลิก save ทับ


คราวนี้ดับเบิ้ลคลิกที่ file.zip จะเห็นว่าเป็น messagebox.txt แล้ว ซึ่งคนดูทั่วไปก็นึกว่าไฟล์นี้เป็นไฟล์งานธรรมดา เลยลองดับเบิ้ลคลิก ซึ่งติดกับดักแฮกเกอร์ทันที แต่ตัวอย่างนี้แค่ pop-up เฉยๆ


และถ้าลอง extract ไฟล์ messagebox.txt ออกมาจาก file.zip จะพบว่าเป็น messagebox.exe


คราวนี้ลองเอามัลแวร์ของจริงบ้าง ชื่อว่า notepad_malware.exe ซึ่งถ้าสแกนด้วย เว็บไซต์ virustotal ซึ่งมี antivirus ถึง 55 ตัวสแกนผ่านทางเน็ต ปรากฎว่ารายงานพบไวรัสแค่ 5 ราย


คราวนี้สมมุติแฮกเกอร์ นำไฟล์นี้ notepad_malware.exe มาปล่อย โดยเริ่มจากเปลี่ยนชื่อไฟล์นี้เลยเป็น notepadmanual.exe >> แล้วคลิกขวาที่ไฟล์นี้ เลือก winrar add to archive…>> แล้วตั้งชื่อไฟล์เป็น notepad manual.zip เลือกเป็น zip ดังรูป   ก็ได้ไฟล์ notepad manual.zip ที่มี notepadmanual.exe อยู่ด้านใน


คราวนี้แฮกเกอร์ก็ใช้เครื่องมือ free hex editor  นี้ แก้ไขชื่อชนิดของไฟล์ภายใน notepad manual.zip ให้ไฟล์ข้างในที่เป็นชื่อ notepadmanual.exe  มาเปลี่ยนชื่อเป็น notepadmanual.pdf


แค่นี้ ภายในไฟล์ notepad manual.zip กลายเป็น notepadmanual.pdf ซึ่งความจริงแล้ว ไฟล์นั้นคือไฟล์exe


พอรันไฟล์ notepadmanual.pdf  แล้ว มีแจ้งเตือน User Account  Control แจ้งเตือนว่าคุณกำลังรันไฟล์สำคัญแปลกๆที่อาจกระทบกับเครื่องได้ (ความจริงแล้วไฟล์ .pdf จะไม่มีแจ้งเตือนแบบนี้เลย ส่วนใหญ่จะแจ้งเฉพาะที่เป็นโปรแกรมเท่านั้น )   ซึ่งคนส่วนใหญ่จะกด yes เพื่อรันไฟล์ เมื่อกด yes แล้ว ไฟล์ไวรัสมัลแวร์ notepadmanual.exe ก็จะทำงานเข้าคอมของคุณเรียบร้อย
ช่องโหว่ ZIPPER BROKEN ลักษณะนี้เป็นช่องโหว่ของ Winrar 4.20  
     วิธีป้องกันคือ ให้อัพเดต Winrar ให้เป็นเวอร์ชั่นที่ใหม่กว่า เวอร์ชั่น 4.20 หรือใช้โปรแกรมบีบไฟล์อัดตัวอื่นไปเลยเช่น winzip , 7zip เป็นต้น และลองนำไฟล์ zip , ไฟล์ rar มาสแกนผ่านทาง virustotal ดูว่ามีไวรัสหรือไม่
ดังนั้นใครที่โหลดไฟล์ด้วย Winrar เวอร์ชั่น 4.20 หรือเวอร์ชั่นที่ต่ำกว่า ระวังตัวจากภัย ZIPPER BROKEN ไว้ด้วย

ข้อมูลจาก IT 24 Hrs
ขออภัย! คุณไม่ได้รับสิทธิ์ในการดำเนินการในส่วนนี้ กรุณาเลือกอย่างใดอย่างหนึ่ง ลงชื่อเข้าใช้ | ลงทะเบียน

รายละเอียดเครดิต

ประวัติการแบน|Anime-Thai | สังคมของคนรักอนิเมะ Google+

GMT+7, 8-12-2016 03:07 , Processed in 0.033379 second(s), 13 queries , Gzip On, Xcache On.

Powered by Discuz!

© 2001-2013 Comsenz Inc.

ตอบกระทู้ ขึ้นไปด้านบน ไปที่หน้ารายการกระทู้