{"id":354,"date":"2012-10-25T16:13:40","date_gmt":"2012-10-25T14:13:40","guid":{"rendered":"https:\/\/www.asafety.fr\/?p=354"},"modified":"2014-10-18T16:41:52","modified_gmt":"2014-10-18T14:41:52","slug":"rtlo-ou-comment-camoufler-lextension-dun-exe","status":"publish","type":"post","link":"https:\/\/www.asafety.fr\/en\/invisibilite-et-camouflage\/rtlo-ou-comment-camoufler-lextension-dun-exe\/","title":{"rendered":"RTLO ou comment camoufler l’extension d’un EXE"},"content":{"rendered":"

<\/p>\n

La technique du RTLO pour “Right To Left Override” en guise de camouflage (spoofing) d’extension de fichier n’est pas nouvelle, mais reste relativement m\u00e9connue. Longtemps exploit\u00e9e pour rendre l’apparence de malware\u00a0inoffensif, il convient de s’attarder sur cette technique qui fonctionne \u00e0 merveille sur tous les Windows (XP, 7 et 8).<\/p>\n

Le RTLO est un caract\u00e8re unicode (\\xe2\\x80\\xae) dont son \u00e9quivalent inverse est le LTRO (Left To Right Override) (\\xe2\\x80\\xad). Ces caract\u00e8res permettent d’engendrer l’inversion de la cha\u00eene de caract\u00e8re qui suit pour une lecture de gauche \u00e0 droite ou de droite \u00e0 gauche. A l’origine exploit\u00e9 pour renverser des cha\u00eenes de caract\u00e8res pour une langue pr\u00e9cise qui se lit de droite \u00e0 gauche, ce caract\u00e8re permet de camoufler ais\u00e9ment des noms de fichiers potentiellement dangereux.<\/p>\n

Il est ainsi possible au travers du RTLO de rendre le nom d’un fichier ex\u00e9cutable (.exe) camoufl\u00e9 au sein d’un fichier plus anodin comme un PDF, DOC, XLS ou JPG. L’id\u00e9e est d’ins\u00e9rer le caract\u00e8re RTLO dans le nom du fichier, ce qui inversera la suite du nom pour lui donner une autre apparence. Coupl\u00e9 \u00e0 un changement d’ic\u00f4ne judicieux de l’ex\u00e9cutable, les attaquants raffolent de cette m\u00e9thode pour infecter des victimes.<\/p>\n

Prenons l’exemple de la commande Windows que l’on transforme en un fichier RAR. Il convient tout d’abord de changer l’ic\u00f4ne du programme cmd.exe par celui d’un fichier RAR simple. Le tr\u00e8s connu “Resource Hacker” permet de r\u00e9aliser cela sans difficult\u00e9 :<\/p>\n

\"Modification<\/a>

Modification de cmd.exe et localisation des ic\u00f4nes<\/p><\/div>\n

On choisi une nouvelle ressources banales pour ses ic\u00f4nes, comme “WinRAR.exe” :<\/p>\n

\"Choix<\/a>

Choix des ic\u00f4nes de WinRAR<\/p><\/div>\n

Enregistrement du nouvel ex\u00e9cutable dans les ic\u00f4nes ont \u00e9t\u00e9 modifi\u00e9s. Ne pas oublier de v\u00e9rifier que l’ex\u00e9cutable est toujours fonctionnel apr\u00e8s modification :<\/p>\n

\"Nouveau<\/a>

Nouveau programme cmd2.exe avec l’ic\u00f4ne de WniRAR<\/p><\/div>\n

Une fois le programme avec l’ic\u00f4ne qui convient, la t\u00e2che d’injection du RTLO dans son nom est r\u00e9alisable. Pour cela, il faut d\u00e9finir le futur nom d’int\u00e9r\u00eat de l’application. Dans le cas pr\u00e9sent, l’ic\u00f4ne \u00e9tant celui d’un fichier .rar, il convient que l’extension finale sera celle-ci. Il faut noter \u00e9galement que l’extension “.exe” ne\u00a0dispara\u00eetra\u00a0pas compl\u00e8tement du futur nom de l’application, sinon celle-ci ne sera plus fonctionnelle. Le nom final doit donc r\u00e9pondre au masque suivant “*rar.exe” avec ce que l’on souhaite \u00e0 la place de l’\u00e9toile. Par exemple :<\/p>\n