MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

Техника на mitre.org

T1036.002: Использование символа RLO

Злоумышленники могут использовать символ изменения направления письма на левостороннее (RTLO или RLO, U+202E) для маскировки строки или имени файла, чтобы придать им легитимный вид. RTLO — это непечатаемый символ Unicode, который заставляет отображаться следующий за ним текст в обратном порядке (слева направо). Например, имя исполняемого файла экранной заставки Windows March 25 \u202Excod.scr будет отображаться как March 25 rcs.docx. Имя JavaScript-сценария photo_high_re\u202Egnp.js будет отображаться как photo_high_resj.png.

Злоумышленники могут использовать символ RTLO для того, чтобы обманом заставить пользователя запустить файл, выглядящий как легитимный. Эта техника часто используется в целевом фишинге с вложением и атаках, рассчитанных на запуск вредоносных файлов пользователем, так как она позволяет обмануть как конечных пользователей, так и специалистов по безопасности, если они не знают, как их защитные решения обрабатывают и отображают символ RTLO. Использование символа RTLO было замечено во многих целевых атаках и других киберпреступлениях. Символ RTLO может использоваться и в реестре Windows, где regedit.exe отображает реверсированные символы, однако утилита командной строки reg.exe по умолчанию этого не делает.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_initial_access: PT-CR-2301: Suspicious_File_Creation_From_Messenger_Or_Mail: Создан файл с подозрительным расширением от имени программы мгновенного обмена сообщениями или почты либо обнаружена подозрительная активность файла. Это может быть признаком фишинговой атаки или доставки вредоносного программного обеспечения на компьютер пользователя mitre_attck_defense_evasion: PT-CR-2023: RTLO_Symbol_Usage: Злоумышленник может использовать символ RLO, чтобы замаскировать имя файла и заставить пользователя запустить этот файл mitre_attck_defense_evasion: PT-CR-2024: ExtensionSpoofer_Usage: Возможное использование утилиты ExtensionSpoofer, позволяющей изменить значок программы и подменить ее расширение

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Отслеживайте использование в именах файлов распространенных символов RTLO, включая \u202E, [U+202E] и %E2%80%AE. Специалистам по безопасности также рекомендуется проверить свои инструменты анализа и проследить, чтобы те не пытались интерпретировать символы RTLO и выводили настоящее имя файла, содержащее подобные символы.