윈도우에서는 일반적으로 파일 이름을 왼쪽에서 오른쪽으로 읽어나가고 확장자는 맨 오른쪽에 적혀있습니다. 하지만 오른쪽에서 왼쪽으로 읽도록 강제하는 유니코드가 있습니다. ( http://www.fileformat.info/info/unicode/char/202E/index.htm ) 

이 유니코드를 이용하여 파일이름을 거꾸로 읽도록 하면 확장자를 파일명 맨 앞에 두어도 됩니다. 윈도우에서는 이 유니코드가 나오는 순간부터 문자를 거꾸로 읽어 '파일\u202e pwh.exe' 를 '파일 exe.hwp' 로 사용자에게 표시하게 됩니다.


이렇게 되면 윈도우 상에서는 확장자에 맞게 한글 문서로 표시하게 되고, 사용자는 의심없이 파일을 실행합니다. 하지만 윈도우는 표시된 파일명과 별개로 실제 확장자인 exe 파일로 읽어 응용프로그램 형태로 실행합니다. 


이 유니코드는 윈도우는 물론 유니코드를 지원하는 각종 프로그램에는 모두 사용이 가능하기 때문에 파일 전송이 가능한 각종 메신저에서도 실제 파일명 대신에 변조된 파일명을 표시하게 됩니다. 


이를 악용한 악성코드 공격이 실제로도 있고 지금도 발생하고 있습니다. 이 공격기법에 대한 영어 PDF 파일입니다. 한글 PDF 파일을 찾아보려고 했지만 블로그 상에 기술적 내용이 포스팅 된 곳은 많았지만 PDF 파일은 결국 못 찾았습니다. 


관련 포스팅 : 

[주의]한글 이력서 문서파일로 위장한 표적형 공격 발견

http://erteam.nprotect.com/451


Unicode 를 이용한 윈도우 확장자 변조 가능 취약점을 이용한 악성코드 주의

http://viruslab.tistory.com/1986


 Right To Left Override (RLO) Unicode Can Be Used In Multiple Spoofing Cases.pdf



+ Recent posts