Техники: T1036 , T1036.001 , T1036.002 , T1036.003 , T1036.004 , T1036.005 , T1036.006 , T1036.007 , T1036.008 , T1036.009 , T1036.010
Злоумышленники могут скрыть истинный тип файла программы, изменив расширение файла. В некоторых типах файлов (в частности, это не работает с расширениями .app) добавление пробела в конец имени файла изменит способ его обработки операционной системой.
Например, если есть исполняемый файл Mach-O под названием evil.bin, то при двойном щелчке пользователь запустит Terminal.app и выполнит его. Если этот файл переименовать в evil.txt, то при двойном щелчке пользователь запустит приложение для редактирования текста по умолчанию (не выполняя двоичный файл). Однако если файл переименован в evil.txt (обратите внимание на пробел в конце), то при двойном щелчке пользователем истинный тип файла будет определен ОС и обработан соответствующим образом, а двоичный файл будет выполнен (цит. по: Mac Backdoors are back).
Злоумышленники могут использовать эту функцию, чтобы обмануть пользователей, заставляя их дважды щелкнуть по доброкачественным файлам любого формата, а в итоге выполнить что-то вредоносное.
https://attack.mitre.org/techniques/T1036/006
Визуализация смежных техник для T1036.006
| № | Техника |
|---|
