Типы файлов и их заголовки обычно имеют стандартный формат, который помогает операционным системам понять, как они закодированы и организованы.
Маскировка типа файла
Например, заголовок файла PDF начинается с "0x25 0x50", а расширение файла - ".pdf". Злоумышленники используют предсказуемость форматов файлов, манипулируя шестнадцатеричным кодом заголовка и/или расширением файла вредоносной полезной нагрузки. В результате они обходят проверки валидности файлов и механизмы санации ввода. Атакующие часто используют эту технику при передаче полезной нагрузки, например при передаче инструментов проникновения и при хранении вредоносных программ. Изменяя заголовок и расширение, злоумышленники могут обходить проверки безопасности и протоколы хранения, не вызывая подозрений и не провоцируя обнаружения, эффективно маскируя свои вредоносные намерения.
В декабре 2023 года CISA сообщила, что злоумышленникам удалось проникнуть в одно из федеральных агентств и развернуть веб-оболочку. Хотя веб-оболочка была загружена на взломанную систему под именем «conf.txt», на самом деле это был файл .jsp, который позволял злоумышленникам устанавливать постоянные соединения.
В другом примере JPCERT наблюдал, как злоумышленники смогли вставить вредоносный макрос в формате MHT в PDF-файл. Поскольку информация о заголовке и расширении осталась прежней, файл был распознан как PDF и обойден обнаружением. Если подделанный файл открыть в MS Word, то вставленный макрос также будет выполнен.