Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1036 , T1036.001 , T1036.002 , T1036.003 , T1036.004 , T1036.005 , T1036.006 , T1036.007 , T1036.008 , T1036.009 , T1036.010
Злоумышленники могут злоупотреблять символом переориентации справа налево (RTLO или RLO) (U+202E), чтобы замаскировать строку и/или имя файла и придать ему доброкачественный вид. RTLO - это непечатаемый символ Юникода, который заставляет текст, следующий за ним, отображаться в обратном порядке. Например, исполняемый файл заставки Windows с именем March 25 \u202Excod.scr будет отображаться как March 25 rcs.docx.Файл JavaScript с именем photo_high_re\u202Egnp.js будет отображаться как photo_high_resj.png.(Цитата: Infosecinstitute RTLO Technique)
Злоумышленники могут использовать символ RTLO как средство обмана пользователя, чтобы заставить его выполнить то, что он считает доброкачественным типом файла. Эта техника часто используется в Spearphishing Attachment/Malicious File, поскольку она может обмануть как конечных пользователей, так и защитников, если они не знают, как их инструменты отображают и визуализируют символ RTLO.Использование символа RTLO было замечено во многих попытках целевого вторжения и преступной деятельности.(Цитата: Trend Micro PLEAD RTLO)(Цитата: Kaspersky RTLO Cyber Crime) RTLO может использоваться и в реестре Windows, где regedit.exe отображает обратные символы, а инструмент командной строки reg.exe по умолчанию этого не делает.
https://attack.mitre.org/techniques/T1036/002
Визуализация смежных техник для T1036.002
| № | Техника |
|---|
